Meta, Şifre Güvenlik İhlali İçin 101.5 Milyon Dolar Cezaya Çarptırıldı

Avrupa Birliği’nin önde gelen gizlilik düzenleyicisi, kullanıcı şifreleri konusunda yetersiz güvenlik önlemleri nedeniyle Meta’yı 91 milyon Euro ($101.5 milyon) para cezasına çarptırdı.

Bugün, İrlanda Veri Koruma Komisyonu (DPC) son kararını Meta Platforms Ireland Limited (MPIL) ile ilgili bir soruşturmada açıkladı.

Duyuruda, soruşturmanın Nisan 2019’da, MPIL’in yanlışlıkla belirli sosyal medya kullanıcılarının şifrelerini “düz metin” olarak sakladığını bildirdiği zaman başladığı belirtiliyor, yani şifreler, dahili sistemlerinde herhangi bir şifreleme veya kriptografik koruma olmadan saklandı.

Bu durum, kullanıcı veri güvenliği ve Genel Veri Koruma Yönetmeliği (GDPR) uyumu konusunda önemli endişeler yarattı.

Başkomiser Graham Doyle, parolaların düz metin olarak saklanmasının ciddiyeti üzerinde durdu ve duyuruda şunları söyledi:

“Kullanıcı parolalarının düz metin olarak saklanmaması, bu tür verilere erişim sağlayan kişilerden kaynaklanan kötüye kullanma risklerini göz önünde bulundurarak, genişçe kabul görmüştür.”

“Unutulmamalıdır ki, bu durumda ele alınan şifreler, kullanıcıların sosyal medya hesaplarına erişimi sağlayacak şekilde özellikle hassastır,” dedi.

Haziran 2024’te, DPC, davayla ilgili bir taslak kararı Avrupa Birliği ve Avrupa Ekonomik Alanı’ndaki diğer ilgili denetim otoritelerine sundu.

Tasarıya karşı herhangi bir itiraz yükseltilmediği için DPC, kararını sonlandırmaya devam etti. 26 Eylül’de DPC, MPIL’ye ihmalinden dolayı sert bir kınama ve yaklaşık 101,5 milyon dolar (€91 milyon) tutarında ağır bir ceza uygulanacağını bildirdi.

DPC, bulgularında GDPR’nin birden çok ihlalini tespit etti. Özellikle, MPIL, kullanıcı şifrelerinin şifrelenmemiş olarak saklanması konusundaki kişisel veri ihlali hakkında DPC’yi bilgilendirmemesi nedeniyle eleştirildi.

Ayrıca, komisyon MPIL’in ihlalleri belgelendirmediğini belirtti. Ek olarak, DPC, MPIL’in kullanıcı şifrelerini yetkisiz erişimden korumak için uygun teknik veya organizasyonel önlemleri uygulamadığını tespit etti.

Son olarak, DPC, MPIL’i şifre işlemeyle ilgili risklere uygun yeterli güvenlik önlemlerini uygulamamakla suçluyor.

Bir Meta sözcüsü, Bloomberg‘a e-posta yoluyla yaptığı açıklamada, sorunun 2019 yılında yapılan bir güvenlik incelemesi sırasında keşfedildiğini belirtti.

Sözcü, “Bu hatayı düzeltmek için hemen harekete geçtik ve bu şifrelerin kötüye kullanıldığına ya da uygunsuz bir şekilde erişildiğine dair hiçbir kanıt yok.” diye yazdı.

“Bu konuyu önceden fark ederek ana düzenleyicimiz olan İrlanda Veri Koruma Komisyonu’na ilettik ve bu sorgulama boyunca onlarla yapıcı bir şekilde işbirliği yaptık” diye belirtti sözcü.

Bu son ceza, Meta’nın giderek artan GDPR cezalarına ekleniyor. Bu cezalar, TechCrunch‘ın da bildirdiği gibi, teknoloji devlerine daha önce uygulanan en büyük cezaları bile içeriyor.

Bu, şirketin sürekli gizlilik uyumu ile mücadelesini vurgular ve kullanıcı verilerini etkili bir şekilde koruma yeteneği hakkında soruları gündeme getirir.