Meta kreeg een boete van $102 miljoen opgelegd voor het opslaan van wachtwoorden in leesbare tekst

Meta riskeert een boete van $102 miljoen voor het opslaan van de wachtwoorden van sommige gebruikers in “plaintext”. De socialemediagigant heeft toegegeven dat het wachtwoordbeheer slecht is.

Meta riskeert een boete van $102 miljoen vanwege slecht wachtwoordbeheer

De Ierse Data Protection Commission (DPC) heeft Meta een boete van $101,5 miljoen (€91 miljoen) opgelegd. De boete volgt op een onderzoek naar een inbreuk op de beveiliging in 2019.

Meta had de Ierse autoriteit laten weten dat zij bepaalde wachtwoorden van socialemediagebruikers in ‘plaintext’ had opgeslagen. Simpel gezegd bewaarde de technologiegigant de inloggegevens van een groot aantal gebruikers zonder enige versleuteling op zijn interne systemen. Dit is een uiterst riskante methode, omdat deze gemakkelijk kan worden uitgebuit om de veiligheid van accounts in gevaar te brengen, zei plaatsvervangend commissaris bij de Ierse DPC, Graham Doyle, in een verklaring.

“Het is algemeen aanvaard dat gebruikerswachtwoorden niet in leesbare tekst mogen worden opgeslagen, gezien de risico’s van misbruik die voortvloeien uit personen die toegang krijgen tot dergelijke gegevens. We moeten niet vergeten dat de wachtwoorden die in dit geval aan de orde zijn, bijzonder gevoelig zijn, omdat ze toegang tot de sociale media-accounts van gebruikers mogelijk maken.”

De Ierse toezichthouder die helpt bij het toezicht op de gegevensprivacy van de Europese Unie heeft zijn onderzoek eerder dit jaar afgerond. Vervolgens heeft zij in juni 2024 een ontwerpbesluit ingediend bij de andere nationale toezichthoudende autoriteiten in de EU.

Facebook-medewerkers hadden gemakkelijk toegang tot deze wachtwoorden

De Data Protection Commission heeft Meta bekritiseerd vanwege de verschrikkelijke methoden om met gebruikersgegevens om te gaan. Het bedrijf slaagde er niet alleen niet in om passende veiligheidsmaatregelen te treffen om de wachtwoordgegevens van gebruikers te beschermen, maar deed er ook veel te lang over om de toezichthouder op de hoogte te stellen van de kwestie, bestrafte de Ierse toezichthouder.

Meta heeft nog geen specifieke cijfers onthuld. Toen het bedrijf echter dit gebrek aan beveiliging toegaf, gaf een rapport aan dat er bij het incident mogelijk wel 600 miljoen wachtwoorden betrokken waren.

Sommige wachtwoorden werden naar verluidt sinds 2012 in leesbare tekst opgeslagen op de servers van het bedrijf. Wat nog zorgwekkender is, is dat bijna 20.000 Facebook-werknemers gemakkelijk toegang hadden tot deze wachtwoorden. Met andere woorden: intern waren deze wachtwoorden gemakkelijk doorzoekbaar of verkrijgbaar. De Ierse toezichthouder heeft duidelijk gemaakt dat deze inloggegevens voor niemand buiten Facebook beschikbaar waren.

Het is onwaarschijnlijk dat Meta deze boete zal aanvechten, omdat het heeft toegegeven dat er sprake is van verkeerd gebruik van wachtwoorden. Het bedrijf wordt echter geconfronteerd met veel hogere boetes van de EU wegens het vermeend onderdrukken van de concurrentie en andere twijfelachtige zakelijke praktijken.

Thijs Van der Does