De Ierse beschermingsdienst voor data heeft Meta een boete van 91 miljoen euro gegeven omdat het wachtwoorden in platte tekst bewaarde
De Ierse Data Protection Commission (DPC) heeft Meta een boete van 91 miljoen euro opgelegd na een onderzoek naar een beveiligingslek in 2019. Meta bleek gebruikerswachtwoorden onterecht in platte tekst te hebben opgeslagen, waardoor ze intern door duizenden medewerkers konden worden geraadpleegd.
De wachtwoorden werden sinds 2012 in platte tekst opgeslagen op de servers van Meta. Volgens de DPC konden meer dan 20.000 medewerkers van het bedrijf de wachtwoorden doorzoeken. Hoewel de wachtwoorden niet toegankelijk waren voor externe partijen, concludeerde de DPC dat Meta verschillende regels van de GDPR had geschonden.
Onderzoek en overtredingen
Het beveiligingslek kwam in januari 2019 aan het licht, toen Meta aankondigde dat sommige gebruikerswachtwoorden in platte tekst op de eigen servers stonden. Een maand later bleek dat ook miljoenen Instagram-wachtwoorden verkeerd waren opgeslagen. Meta heeft destijds niet aangegeven hoeveel accounts precies betrokken waren bij het incident. Een interne bron bij het bedrijf gaf volgens Engadget aan dat mogelijk tot 600 miljoen wachtwoorden in platte tekst werden opgeslagen.
De DPC stelde dat Meta niet tijdig melding had gemaakt van het datalek en dat het bedrijf geen adequate technische maatregelen had genomen om de veiligheid van gebruikerswachtwoorden te garanderen. Daarnaast ontbrak het aan correcte documentatie van het incident, wat eveneens een schending van de GDPR betekent.
Gevolgen voor Meta
Naast de boete kreeg Meta ook een officiële berisping van de DPC. Wat dit precies inhoudt voor het bedrijf, zal later duidelijk worden wanneer de volledige beslissing van de DPC openbaar wordt gemaakt. De boete van 91 miljoen euro benadrukt echter de ernst van de overtredingen en de verantwoordelijkheden van bedrijven zoals Meta om gebruikersgegevens goed te beschermen.