חברת מטא נקנסה ב-101.5 מיליון דולר לאחר שהתגלה כי עד 600 מיליון סיסמאות משתמשים נשמרו כטקסט גלוי במשך שנים
בפרשה מדאיגה שמטלטלת את עולם הטכנולוגיה, נציבות הגנת המידע האירית (DPC) הטילה קנס כבד על ענקית הרשתות החברתיות מטא (לשעבר פייסבוק) בעקבות חקירה של פרצת אבטחה משנת 2019, אז התגלה כי החברה שמרה סיסמאות של מאות מיליוני משתמשי פייסבוק ואינסטגרם בפורמט לא מוצפן, מה שחשף רשלנות מטרידה בהגנה על מידע רגיש של משתמשים.
לפי דיווחים, חלק מהסיסמאות נשמרו ללא הגנה כבר משנת 2012, כשלמעלה מ-20,000 עובדי החברה יכלו לגשת אליהן בקלות. בעוד שמטא לא חשפה את המספר המדויק של החשבונות שנפגעו, מקור בכיר בחברה מסר לאתר Krebs on Security כי מדובר בעד 600 מיליון סיסמאות. חשוב לציין כי ה-DPC אישרה שהסיסמאות היו נגישות לחיפוש על ידי עובדי פייסבוק, אך הדגישה כי הן לא נחשפו לגורמים חיצוניים.
נציבות הגנת המידע האירית קבעה כי מטא הפרה מספר כללים של תקנות הגנת המידע האירופאיות (GDPR). בין ההפרות:
- כשל בדיווח מיידי על הפרצה לרשויות
- אי-תיעוד מתאים של האירוע
- שימוש באמצעים טכניים לא מספקים להגנה על סיסמאות המשתמשים
גראהם דויל, סגן נציב ה-DPC, הדגיש את חשיבות אבטחת הסיסמאות: "מקובל על הכל כי סיסמאות משתמשים לא אמורות להישמר בטקסט גלוי, בהתחשב בסיכונים לניצול לרעה הנובעים מגישה למידע כזה". הוא הוסיף כי "הסיסמאות הנדונות במקרה זה הן רגישות במיוחד, שכן הן מאפשרות גישה לחשבונות המדיה החברתית של המשתמשים".
האירוע התגלה לראשונה בינואר 2019, כאשר מטא חשפה את הבעיה. מאוחר יותר התברר כי גם מיליוני סיסמאות של משתמשי אינסטגרם הושפעו מאותה בעיה, מה שהרחיב משמעותית את היקף הפרצה.
כתוצאה מההפרות הללו, הוטל על החברה קנס של 101.5 מיליון דולר. עם זאת, יש הטוענים כי סכום זה עדיין נמוך ביחס לחומרת האירוע ולמשך הזמן שבו התקיים. חוק ה-GDPR מאפשר להטיל קנסות של עד 4% מההכנסות הגלובליות של חברה במקרים של הפרת פרטיות חמורה.
האירוע מדגיש את הצורך הדחוף בשיפור אבטחת המידע בחברות טכנולוגיה גדולות. עבור משתמשי פייסבוק ואינסטגרם, זו תזכורת חשובה לשקול שינוי סיסמאות מידי פעם וכן להשתמש באימות דו-שלבי כדי להגן על חשבונותיהם.
בעידן שבו מידע אישי הופך לנכס יקר ערך, על חברות כמו מטא מוטלת אחריות כבדה להגן על פרטיות משתמשיהן. נותר לראות האם קנס זה יוביל לשינוי משמעותי בגישת החברה לאבטחת מידע, או שמא יידרשו צעדים חמורים יותר מצד הרגולטורים כדי להבטיח שמירה ראויה על פרטיות המשתמשים.