Irlandzka Komisja Ochrony Danych (DPC) nałożyła na Meta karę w wysokości 101,5 mln dolarów (91 mln euro) po zakończeniu dochodzenia w sprawie naruszenia bezpieczeństwa w 2019 r., w wyniku którego firma przez pomyłkę przechowywane hasła użytkowników w postaci zwykłego tekstu. W pierwotnym ogłoszeniu Meta mówiła jedynie o tym, jak w styczniu tego roku znalazła na swoich serwerach niektóre hasła użytkowników przechowywane w postaci zwykłego tekstu. Ale miesiąc później zaktualizował swoje ogłoszenie, aby to ujawnić miliony haseł do Instagrama były również przechowywane w łatwo czytelnym formacie.
Chociaż Meta nie powiedziała, ilu kont dotyczy problem, powiedział starszy pracownik Krebsa o bezpieczeństwie wówczas, że incydent dotyczył aż 600 milionów haseł. Niektóre hasła były przechowywane w łatwym do odczytania formacie na serwerach firmy od 2012 r. Według doniesień ponad 20 000 pracowników Facebooka mogło je przeszukiwać, chociaż DPC w swojej decyzji wyjaśniło, że przynajmniej nie udostępniono ich stronom zewnętrznym.
DPC stwierdził, że Meta naruszyła kilka zasad RODO związanych z tym naruszeniem. Ustaliła, że firma nie „powiadomiła DPC o naruszeniu ochrony danych osobowych dotyczącym przechowywania haseł użytkowników w postaci zwykłego tekstu” bez zbędnej zwłoki i nie „udokumentowała naruszeń danych osobowych dotyczących przechowywania haseł użytkowników w postaci zwykłego tekstu”. Stwierdziła także, że Meta naruszyła RODO nie stosując odpowiednich środków technicznych zapewniających bezpieczeństwo haseł użytkowników przed nieuprawnionym przetwarzaniem.
„Powszechnie przyjmuje się, że hasła użytkowników nie powinny być przechowywane w postaci zwykłego tekstu, ze względu na ryzyko nadużyć, jakie stwarzają osoby uzyskujące dostęp do takich danych. Należy mieć na uwadze, że hasła będące przedmiotem rozważań w tym przypadku są szczególnie wrażliwe, ponieważ umożliwiłyby one dostęp do kont użytkowników w mediach społecznościowych” – stwierdził w oświadczeniu zastępca komisarza DPC, Graham Doyle.
Oprócz kary DPC udzieliło firmie również nagany. Być może dowiemy się więcej o tym, co to oznacza dla Meta, kiedy komisja opublikuje w przyszłości pełną ostateczną decyzję i inne powiązane informacje.