تم تغريم Meta بمبلغ 101.5 مليون دولار بسبب خرق أمان كلمة المرور

فرض المنظم الأوروبي الرئيسي لخصوصية الاتحاد الأوروبي غرامة قدرها 91 مليون يورو (101.5 مليون دولار) على Meta لعدم كفايتها في تدابير الأمان المتعلقة بكلمات مرور المستخدمين.

اليوم، أعلنت لجنة حماية البيانات الأيرلندية (DPC) قرارها النهائي في تحقيق تتعلق بشركة Meta Platforms Ireland Limited (MPIL).

جاء في الإعلان أن التحقيق بدأ في أبريل 2019 عندما أبلغت MPIL بأنها قد قامت عن طريق الخطأ بتخزين كلمات مرور بعض مستخدمي وسائل التواصل الاجتماعي في “نص عادي”، مما يعني أنها تم الاحتفاظ بها بدون أي تشفير أو حماية تشفيرية على أنظمتها الداخلية.

أثار هذا الخرق مخاوف كبيرة حول أمان بيانات المستخدم والامتثال للوائح العامة لحماية البيانات (GDPR).

أكد نائب المفوض غراهام دويل على خطورة تخزين كلمات المرور بنص عادي، وقال في الإعلان،

“من المقبول على نطاق واسع أنه لا يجب تخزين كلمات مرور المستخدمين بنص عادي، نظراً لمخاطر الإساءة التي يمكن أن تنشأ من الأشخاص الذين يصلون إلى هذه البيانات.”

“يجب أن نضع في اعتبارنا أن كلمات المرور المرتبطة بهذه القضية تعتبر حساسة بشكل خاص، حيث أنها ستتيح الوصول إلى حسابات مستخدمي وسائل التواصل الاجتماعي،” أضاف.

في يونيو 2024، قدمت الهيئة الحمائية للبيانات (DPC) مشروع قرار بشأن القضية إلى السلطات الرقابية المعنية الأخرى في جميع أنحاء الاتحاد الأوروبي والمنطقة الاقتصادية الأوروبية.

بما أنه لم يتم تقديم أي اعتراضات ضد المسودة، قامت الDPC بإتمام قرارها. في 26 سبتمبر، أبلغت الDPC الشركة MPIL بأنها ستواجه توبيخاً إضافةً إلى غرامة كبيرة قدرها 91 مليون يورو (تقريباً 101.5 مليون دولار) بسبب إهمالها.

حددت الDPC العديد من الانتهاكات للGDPR في نتائجها. بشكل محدد، تم توجيه اللوم إلى MPIL لعدم إبلاغها الDPC عن خرق البيانات الشخصية المتعلق بتخزين كلمات المرور للمستخدمين دون التشفير.

وعلاوة على ذلك، لاحظت اللجنة أن MPIL لم تقم بتوثيق الانتهاكات. بالإضافة إلى ذلك، وجدت DPC أن MPIL لم تنفذ الإجراءات التقنية أو التنظيمية المناسبة لحماية كلمات مرور المستخدمين من الوصول غير المصرح به.

وأخيرًا، تتهم DPC MPIL بعدم تنفيذ تدابير الأمان الكافية المناسبة للمخاطر المرتبطة بمعالجة كلمات المرور.

وفقًا لمتحدث باسم Meta في رسالة بريد إلكتروني إلى بلومبرج، تم اكتشاف المشكلة خلال مراجعة أمنية في عام 2019.

كتب المتحدث، “اتخذنا إجراءً فوريًا لإصلاح هذا الخطأ، ولا توجد أدلة على أن هذه الكلمات السرية تم استخدامها بطريقة سيئة أو الوصول إليها بطريقة غير صحيحة.”

“لقد أشرنا بنشاط إلى هذه المشكلة للمنظم الرئيسي لدينا، وهو الهيئة الأيرلندية لحماية البيانات، وتعاونا بشكل بناء معهم طوال هذا الاستفسار،” كما ذكر المتحدث.

تضيف هذه الغرامة الأخيرة إلى قائمة غرامات النظام الأساسي العام لحماية البيانات (GDPR) الخاصة بميتا المتزايدة، والتي تشمل بالفعل عدة من أكبر الغرامات التي تم توقيعها على عمالقة التكنولوجيا، كما أفاد تيك كرنش.

هذا يسلط الضوء على الصراعات المستمرة التي تعاني منها الشركة بشأن الامتثال للخصوصية ويثير تساؤلات حول قدرتها على حماية بيانات المستخدمين بفعالية.