Facebook uchovával heslá svojich používateľov v obyčajnom nešifrovanom texte. Hlavný regulátor ochrany osobných údajov mu za to udelil pokutu vo výške 91 miliónov eur. Portál BGR informuje, že vyšetrovanie tohto incidentu začalo pred piatimi rokmi.

Ochrana používateľov

Írska komisia pre ochranu údajov (DPC) oznámila svoje rozhodnutie, ktoré zahŕňa pokarhanie a pokutu vo výške 91 miliónov eur v súlade s nariadeniami EÚ o GDPR. Všeobecné nariadenie Európskej únie o ochrane údajov, ktoré prišlo do platnosti v polovici roka 2018, donútilo technologické spoločnosti poskytnúť zákazníkom väčšiu kontrolu nad zhromažďovanými údajmi.

Používatelia tak mohli spoločnosti, ako je aj Meta, žiadať o prístup k svojim údajom a mohli žiadať aby odstránili ich účty. Používatelia tiež môžu namietať voči zhromažďovaniu údajov prostredníctvom súborov cookie a iných nástrojov. Dôležité je aj to, aby samotné spoločnosti hlásili porušenie ochrany údajov. Zároveň spoločnosti povinne musia mať zavedené bezpečnostné opatrenia na ochranu údajov používateľov a to vrátane zabezpečenia ich hesiel.

Heslá v obyčajnom texte

„Všeobecne sa uznáva, že používateľské heslá by sa nemali uchovávať v obyčajnom texte, berúc do úvahy riziká zneužitia, ktoré vyplývajú z osôb, ktoré pristupujú k takýmto údajom. Treba mať na pamäti, že heslá, ktoré sú v tomto prípade predmetom úvah, sú obzvlášť citlivé, pretože by umožnili prístup k účtom používateľov na sociálnych sieťach,“ uviedol Graham Doyle, zástupca komisára DPC na margo prípadu Mety.

Meta v roku 2019 uviedla, že stovky miliónov používateľov mali svoje heslá uložené v otvorenom texte, presný počet však nespresnila. Meta vraj nenašla dôkazy o tom, že by jej zamestnanci v tom čase mali prístup k týmto heslám. Avšak nakoniec uviedla, že dotknutých používateľov bude informovať.

600 miliónov hesiel

Väčšinu zasiahnutých tvorili stovky miliónov používateľov Facebooku lite. Ide o verziu aplikácie, ktorá je dostupná na platforme Android a je určená hlavne pre používateľov s horšou kvalitou internetového pripojenia. To naznačuje, že ide o používateľov najmä mimo USA, avšak týka sa to aj miliónov používateľov Facebooku a desiatok tisíc používateľov Instagramu.

Aj keď Meta tvrdí, že nenašla dôkazy o tom, že by zamestnanci mali prístup ku heslám používateľov, bezpečnostný výskumník Brian Krebs tvrdí opak. Uviedol, že od zdroja z Facebooku zistil, že zamestnanci mali prístup k heslám v nešifrovanej podobe už od roku 2012. Heslá bolo dokonca možné vyhľadávať v zozname.

Zhruba 2 000 inžinierov a vývojárov údajne uskutočnilo deväť miliónov interných dopytov na dátové prvky, ktoré obsahovali heslá v obyčajnom nezabezpečenom texte. Zdroj z Facebooku tiež Krebsa informoval, že rozsah nezabezpečených hesiel sa týka 600 miliónov účtov.

Heslá používateľov neunikli online a nebolo ich potrebné v tom čase meniť. Pravidelné aktualizovanie hesiel však nikdy nie je na škodu, hlavne pre služby ako sú sociálne siete, email či streamingové platformy.