De Ierse Data Protection Commission (DPC) heeft Meta Platforms Ireland Limited (MPIL) een boete van maar liefst € 91 miljoen opgelegd voor het opslaan van gebruikerswachtwoorden in platte tekst, een grove nalatigheid die gevoelige gegevens onbeschermd liet. Het incident, dat aan het licht kwam in 2019, betrof honderden miljoenen gebruikersaccounts van Facebook en Instagram.
In maart 2019 bracht Meta naar buiten dat het tijdens een routinematige beveiligingscontrole had ontdekt dat “enkele gebruikerswachtwoorden” in een onbeveiligd en leesbaar formaat op interne systemen waren opgeslagen. Dit nieuws schokte de techwereld, omdat wachtwoorden doorgaans versleuteld worden opgeslagen om de veiligheid van gebruikers te garanderen. Meta meldde de situatie direct bij de DPC, wat leidde tot een onderzoek naar hun omgang met gevoelige gebruikersgegevens.
Hoe konden deze wachtwoorden in platte tekst terechtkomen?
Het klinkt bijna ongelooflijk, maar in plaats van de wachtwoorden te beveiligen met encryptie—een standaard beveiligingsmaatregel—werden ze zonder enige vorm van cryptografische bescherming opgeslagen. Dit betekent dat de wachtwoorden voor iedereen die toegang had tot de interne systemen van Meta eenvoudig leesbaar waren, alsof ze gewoon in een tekstbestand stonden. Hoewel er geen bewijs is gevonden dat deze wachtwoorden door externe partijen zijn misbruikt, vormt het opslaan van wachtwoorden in platte tekst een ernstige beveiligingsfout.
Waarom is het opslaan van wachtwoorden in platte tekst zo dom?
Het opslaan van wachtwoorden in platte tekst is een fundamentele fout in de wereld van databeveiliging. Het biedt hackers en kwaadwillenden een eenvoudige weg naar gevoelige gegevens, aangezien versleuteling ontbreekt. Encryptie is bedoeld om wachtwoorden onleesbaar te maken, zelfs als iemand toegang krijgt tot de gegevens. Zonder deze bescherming liggen de digitale sleutels tot persoonlijke accounts voor het grijpen, en dat is precies wat er bij Meta gebeurde.
Het is alsof je een kluis bouwt zonder de deur op slot te doen: de illusie van veiligheid, maar zodra iemand binnen is, ligt alles voor het oprapen.
Schending van de AVG-regels
Volgens de DPC heeft Meta verschillende fundamentele principes van de Algemene Verordening Gegevensbescherming (AVG) geschonden, waaronder:
- Artikel 33(1): Het nalaten om tijdig melding te doen van de inbreuk.
- Artikel 5(1)(f): Het niet waarborgen van de integriteit en vertrouwelijkheid van de wachtwoorden.
- Artikel 32(1): Het niet implementeren van adequate technische maatregelen zoals encryptie om gebruikersgegevens te beschermen.
Deze overtredingen ondermijnen het vertrouwen in Meta’s vermogen om gevoelige gegevens te beveiligen, wat bijdraagt aan de aanzienlijke boete van € 91 miljoen.
Een dure les
Hoewel Meta het incident in 2019 vrijwillig aan de DPC meldde en er geen bewijs is van misbruik, onderstreept deze situatie het belang van basale beveiligingsmaatregelen. Het opslaan van wachtwoorden in platte tekst is een praktijk die eenvoudig te vermijden is door de juiste encryptie toe te passen. Het niet naleven van deze norm heeft Meta nu een flinke boete opgeleverd en benadrukt nogmaals hoe belangrijk het is om gebruikersgegevens op de juiste manier te beveiligen.
De volledige details van de uitspraak van de DPC worden binnenkort openbaar gemaakt, maar één ding is duidelijk: zelfs techgiganten zoals Meta kunnen dure fouten maken door basisprincipes van beveiliging te veronachtzamen.