Meta, Ocak 2019’da kullanıcı şifrelerinin sunucularında düz metin olarak saklandığını fark ettiğini duyurmuştu. Ancak bir ay sonra yaptığı güncellemede, milyonlarca Instagram şifresinin de okunabilir formatta depolandığını açıkladı.
Meta, kaç hesabın etkilendiğini resmi olarak açıklamamış olsa da, o dönemde bir çalışan, Krebs on Security’ye olayın yaklaşık 600 milyon şifreyi içerdiğini bildirmişti. Bazı şifrelerin 2012 yılından beri şirketin sunucularında bu şekilde saklandığı ve bu şifrelere 20.000’den fazla Facebook çalışanının erişebildiği belirtilmişti. Ancak DPC, şifrelerin en azından dış taraflara sunulmadığını belirtti.
DPC, Meta’nın bu ihlalle ilgili olarak Genel Veri Koruma Yönetmeliği (GDPR) kurallarını ihlal ettiğini tespit etti. Meta’nın, düz metin olarak saklanan şifrelerle ilgili veri ihlalini DPC’ye “gecikmeksizin” bildirmediği ve bu ihlali düzgün şekilde belgelendirmediği sonucuna varıldı. Ayrıca, kullanıcı şifrelerinin yetkisiz erişimden korunmasını sağlayacak uygun teknik önlemler alınmadığı gerekçesiyle GDPR’nin ihlal edildiği belirtildi.
DPC Başkan Yardımcısı Graham Doyle, şifrelerin düz metin olarak saklanmasının kabul edilemez olduğunu belirterek, bu şifrelerin kullanıcıların sosyal medya hesaplarına erişim sağlayacak kadar hassas olduğunu vurguladı. Bu durumun, şifrelerin kötüye kullanımına yol açabileceğini ifade etti.
Para cezasına ek olarak, DPC Meta’ya resmi bir uyarı da verdi. Bu uyarının Meta için ne anlama geleceği, DPC’nin nihai kararını ve ilgili bilgileri yayımlamasıyla daha netleşecek. Bu ihlal, Meta’nın veri güvenliği konusundaki zafiyetlerini ortaya koyarken, şirketin gelecekte daha dikkatli olması gerektiğini gösteriyor.