کمیسیون حفاظت از دادهها (DPC) در ایرلند، شرکت Meta Platforms Ireland Limited (MPIL) را به دلیل ذخیره کردن رمزهای عبور صدها میلیون کاربر به صورت متن ساده (plaintext)، مبلغ ۹۱ میلیون یورو جریمه کرده است.
این اتفاق در سال ۲۰۱۹ رخ داد. در آن زمان، شرکت Meta این موضوع را بهطور عمومی اعلام کرد و کمیسیون حفاظت از دادهها (DPC) را نیز مطلع ساخت. سپس DPC تحقیقات خود را در مورد نحوه ذخیرهسازی دادههای حساس کاربران توسط این شرکت فناوری آغاز کرد.
طبق اعلامیه DPC ، در ماه مارس ۲۰۱۹، شرکت Meta Platforms Ireland Limited (MPIL) به کمیسیون حفاظت از دادهها (DPC) اطلاع داد که بهطور غیرعمدی برخی از رمزهای عبور کاربران شبکههای اجتماعی را در سیستمهای داخلی خود به صورت متن ساده ذخیره کرده است
در افشای اطلاعات سال ۲۰۱۹، شرکت Meta اعلام کرد که در طی یک بررسی امنیتی معمول در ابتدای سال، متوجه شده است که “برخی از رمزهای عبور کاربران” در سیستمهای آن به صورت قابل خواندن ذخیره شدهاند.
اگرچه شرکت تعداد دقیق کاربرانی که تحت تأثیر قرار گرفتهاند را اعلام نکرد، اما تخمین زد که به “صدها میلیون کاربر Facebook Lite، دهها میلیون کاربر دیگر فیسبوک” و میلیونها کاربر اینستاگرام اطلاعرسانی خواهد کرد.
شایان ذکر است که این رمزهای عبور برای طرفهای خارجی در دسترس بودند، اما در بررسیها هیچ مدرکی از سوءاستفاده یا دسترسی نادرست یافت نشد.
ذخیرهسازی رمزهای عبور حسابهای کاربری بدون حفاظتهای مناسب، مانند رمزنگاری و کنترل دسترسی، نقض چندین ماده از مقررات عمومی حفاظت از دادهها (GDPR) محسوب میشود که مربوط به تدابیری است که مسئولان داده (data controllers) باید برای تضمین امنیت اطلاعات افراد اتخاذ کنند.
طبق ماده ۳۳(۱) – اطلاعرسانی در مورد نقض دادههای شخصی، شرکت Meta نتوانست بهموقع کمیسیون حفاظت از دادهها (DPC) را مطلع کند که رمزهای عبور کاربران را بهصورت متن ساده (plaintext) ذخیره کرده است، که این خود یک نقض دادههای شخصی محسوب میشود.
طبق ماده ۳۳(۵) – مستندسازی نقض دادههای شخصی، شرکت Meta به درستی نقض دادههای شخصی مربوط به ذخیرهسازی رمزهای عبور کاربران به صورت متن ساده (plaintext) را مستند نکرده و نتوانسته سوابق کافی از این حادثه را نگه دارد.
طبق ماده ۵(۱)(f) – یکپارچگی و محرمانگی، شرکت Meta اقدام به اجرای تدابیر امنیتی کافی برای حفاظت از رمزهای عبور کاربران نکرده است، زیرا این رمزها به صورت متن ساده (plaintext) ذخیره شده بودند و هیچ گونه رمزنگاری یا حفاظت رمزنگاری بر روی آنها اعمال نشده بود.
طبق ماده ۳۲(۱) – امنیت پردازش، شرکت Meta نتوانسته تدابیر فنی و سازمانی مناسب را برای حفاظت از رمزهای عبور اجرا کند، مانند رمزنگاری، که میتوانست محرمانگی دادهها را حفظ کرده و خطر دسترسی غیرمجاز را کاهش دهد.
به خاطر نقضهای مذکور و با توجه به این که Meta بهطور داوطلبانه مقام حفاظت از دادههای ایرلند را مطلع کرده است، کمیسیون حفاظت از دادهها (DPC) یک توبیخ رسمی و جریمه اداری به مبلغ ۹۱ میلیون یورو اعمال میکند.
کمیسیون حفاظت از دادهها (DPC) در تاریخ آیندهای، تصمیم کامل خود و اطلاعات مربوط به این حادثه را منتشر خواهد کرد.
سلام .ایا شخص ثالث میتواند به حسابهای من وولت های من دسترسی داشته باشد یا از انها برداشت کند .ونگذارد من از حسابهایم برداشتی داشته باشم .لطفا بگین من با این مشکل چیکارباید بکنم.متشکرم.