Meta, prej znana kot Facebook Inc., združuje nekaj največjih družbenih platform, kot so Facebook, Instagram in WhatsApp. Podjetje stremi k razvoju virtualnih okolij v okviru svoje vizije “metaverse”. Njihovo poslovanje pa vključuje tudi shranjevanje ogromnih količin občutljivih uporabniških podatkov, zaradi česar so obvezani k spoštovanju strogih predpisov o varstvu podatkov.
Irska komisija za varstvo podatkov (DPC), ki deluje kot neodvisni regulatorni organ v okviru Evropske unije, je po petletni preiskavi ugotovila, da je podjetje Meta kršilo zakonske zahteve zaščite podatkov, kot jih določa Splošna uredba o varstvu podatkov (GDPR). Preiskava je razkrila, da so bila gesla več sto milijonov uporabnikov nepravilno shranjena brez ustrezne zaščite.
Inženirji pri Meti so napako sicer odkrili že leta 2019 in zagotovili, da bodo obvestili vse prizadete uporabnike. Ob tem so poudarili, da so bila gesla dostopna zgolj internim uslužbencem in da ni dokazov, da bi bila zlorabljena. Kljub temu pa so se pojavili resni očitki glede varnosti in zaščite osebnih podatkov uporabnikov.
DPC je Meti naložila globo zaradi več kršitev GDPR, med katerimi so tudi neobveščanje regulatorja o kršitvah varnosti podatkov in neustrezno tehnično varovanje gesel uporabnikov. GDPR, ki je začela veljati leta 2018, podjetjem nalaga obveznost skrbnega ravnanja z osebnimi podatki in obveščanje regulatorjev o morebitnih kršitvah.
Po mnenju DPC bi morala Meta gesla uporabnikov varovati z industrijskimi kriptografskimi tehnikami, kar je običajna praksa pri zaščiti občutljivih podatkov. Zakaj je to pri določenem številu uporabnikov Facebooka in Instagrama odpovedalo, ostaja nepojasnjeno. Namestnik komisarja pri DPC Graham Doyle je poudaril: “Gesla uporabnikov nikoli ne bi smela biti shranjena v odprtem besedilu, saj to povečuje tveganje za zlorabo. V tem primeru gre za posebej občutljive podatke, saj omogočajo dostop do računov na družbenih omrežjih.”
Pri podjetju Meta trdijo, da običajno varujejo gesla uporabnikov s standardnimi kriptografskimi tehnikami, vendar ta incident kaže na pomanjkljivosti v njihovih varnostnih praksah. Shranjevanje gesel v odprtem besedilu pomeni, da so bila ta gesla potencialno izpostavljena tveganjem, čeprav je Meta zagotovila, da so bila vidna le omejenemu številu njihovih zaposlenih.
Kazni, ki jih GDPR nalaga kršiteljem, so lahko zelo visoke, in v primeru Mete gre za eno največjih doslej izrečenih glob v tehnološkem sektorju. Ta incident je pomembno opozorilo za vsa tehnološka podjetja o nujnosti strogih varnostnih ukrepov pri zaščiti občutljivih podatkov uporabnikov.
Čeprav Meta zagotavlja, da ni dokazov o zlorabi gesel, je za uporabnike vedno priporočljivo redno menjavanje gesel, uporaba močnih in unikatnih gesel ter dvofaktorske avtentikacije za dodatno zaščito računov. Ta primer pa kaže tudi na pomembnost večje transparentnosti podjetij glede ravnanja z osebnimi podatki in nujnost regulacije, ki skrbi za zaščito pravic uporabnikov v digitalnem svetu.
