2min Security

Meta beboet voor het opslaan van wachtwoorden in platte tekst

Meta beboet voor het opslaan van wachtwoorden in platte tekst

Meta, het moederbedrijf van Facebook en Instagram, is door de Ierse Data Protection Commission (DPC) beboet met €91 miljoen ($101,56 miljoen) vanwege een ernstige beveiligingsfout in maart 2019. Tijdens deze fout heeft Meta per ongeluk miljoenen gebruikerswachtwoorden binnen Facebook en Instagram in platte tekst opgeslagen in zijn systemen, een ernstige overtreding van de Europese Algemene Verordening Gegevensbescherming (AVG).

Wachtwoorden

Het onderzoek naar dit datalek, dat door de DPC in april 2019 werd gestart, toonde aan dat Meta vier verschillende artikelen van de AVG heeft geschonden. De toezichthouder bekritiseerde Meta onder meer voor het niet tijdig melden van het datalek bij de DPC, het niet documenteren van de datalekken in verband met de opslag van gebruikerswachtwoorden in platte tekst, en het nalaten van het implementeren van de juiste technische maatregelen om de vertrouwelijkheid van deze wachtwoorden te waarborgen.

Gebruikerswachtwoorden

Meta maakte aanvankelijk bekend dat een subset van gebruikerswachtwoorden van Facebook in platte tekst waren opgeslagen, maar benadrukte dat er geen bewijs was dat deze wachtwoorden op ongepaste wijze waren benaderd of intern waren misbruikt. Echter, het probleem bleek omvangrijker dan eerst gedacht. Volgens beveiligingsonderzoeker Krebs on Security dateren sommige van deze wachtwoorden al uit 2012, en zouden naar verluidt zo’n 2.000 ingenieurs of ontwikkelaars ongeveer negen miljoen interne zoekopdrachten hebben uitgevoerd naar gegevens die platte tekst gebruikerswachtwoorden bevatten.

Een maand na de eerste onthulling erkende Meta dat ook miljoenen Instagram-wachtwoorden op dezelfde manier waren opgeslagen. De betrokken gebruikers werden op de hoogte gebracht van het lek. Graham Doyle, plaatsvervangend commissaris van de DPC, benadrukte in een verklaring dat het opslaan van wachtwoorden in platte tekst “algemeen als onverantwoordelijk wordt beschouwd, gezien de aanzienlijke risico’s van misbruik.” Hij voegde eraan toe dat dergelijke wachtwoorden bijzonder gevoelig zijn omdat ze directe toegang geven tot de social media-accounts van gebruikers.

Meta verklaarde dat het “onmiddellijke actie” heeft ondernomen om de fout te herstellen en dat het de kwestie “proactief” heeft gemeld bij de DPC.