Ha adatvédelemről van szó egy közösségi platformnál, akkor a felhasználói adatok megóvása a legfontosabb, azon belül pedig értelemszerűen a belépési információk védelme, amit nem szabad elhanyagolni. Ehhez képest a Metának pont ezt sikerült éveken keresztül hibás gyakorlat mentén végezni, és ez már 2019-ben kiderült, de a büntetést a súlyos vétségért csak most szabták ki a szabályozók.

Először a Krebs on Security számolt be arról még 2019-ben, hogy a Metánál egy biztonsági vizsgálat során a szakemberek felfedezték, hogy a vállalat nagy mennyiségben tárolta a felhasználók jelszavait egyszerű szöveges formában, mindenféle titkosítás nélkül. Ráadásul a tárolt adatokhoz rengeteg belső dolgozónak volt hozzáférése. Óriási biztonsági kockázatról beszélhetünk, aminek akár beláthatatlan következményei lehettek volna.

A jelszavakat már hosszú ideje szigorú előírásoknak megfelelően, titkosított formában kell tárolnia a vállalatoknak. Ebben pedig a Meta égisze alatt Facebook nagyon komoly hibát vétett. A korábbi elemzések alapján 200 és 600 millió közé tehető azoknak a felhasználóknak a száma, akiknek a belépési adatihoz szabadon hozzáférhettek a cég szakemberei.

A feltárás szerint nagyjából 20 ezer dolgozónak volt olyan jogosultsága, amivel elérhette azokat a fájlokat, amikben titkosítatlanul szerepeltek a jelszavak. És bár arra semmi bizonyíték nincs, hogy történt volna bármilyen visszaélés az érzékeny adatokkal, állítólag akár 2000 dolgozó is betekintést nyerhetett a jelszavakba.

A beszámolók szerint egészen 2012-ig nyúlt vissza ez az ügy, hét éven keresztül lehettek elérhetők a jelszavak egyszerű szövegként. Miután a hibát feltárták, a Meta megtette a szükséges lépéseket, és így a Facebook felhasználók belépési adatai már megfelelő módon vannak kezelve. Legalábbis a korábbi biztonsági rést felszámolták.

Az írek az Európai Unióban általánosan érvényben levő GDPR alapján folytatták le az eljárást. Ennek során megállapították, hogy a Meta nem tett meg minden tőle telhetőt az adatok megóvása érdekében, nem gondoskodott a jelszavak titkosításáról az előírásoknak megfelelően. Ezen felül nem gondoskodott a rendszeres technikai és szervezeti vizsgálatokról a kockázati szintnek megfelelően. Továbbá a Meta európai leányvállalata elmulasztotta az adatvédelmi hatóság értesítését a biztonsági probléma felfedezését követően. És nem dokumentálta megfelelően a hiba kezelését a feltárás után.

A büntetés mértéke is GDPR-ral összhangban lett meghatározva. Azért nem magasabb a bírság, mert a vállalat végig együttműködött a hatósággal, és igyekeztek a feltárt problémákat minél hamarabb orvosolni. Továbbá enyhítő körülményként értékelte az ír adatvédelmi bizottság azt is, hogy jelen állás szerint nem találtak arra utaló jelet, hogy bárki visszaélést követett volna el, és megkaparintotta volna az adatokat.