De Ierse toezichthouder, Data Protection Commission (DPC), heeft Meta (voorheen bekend als Facebook) een boete van 91 miljoen euro opgelegd. Het socialemediabedrijf had tussen 2012 en 2019 de wachtwoorden van naar schatting 200 miljoen tot 600 miljoen gebruikers van Facebook en Instagram in platte tekst opgeslagen op interne systemen, zonder enige vorm van versleuteling. Dit grootschalige datalek brengt ernstige beveiligingsrisico’s met zich mee en is in strijd met de Europese privacywetgeving (AVG).
De Bevindingen van de DPC
De DPC werd in 2019 op de hoogte gebracht van het probleem met de wachtwoorden en heeft sindsdien een uitgebreid onderzoek uitgevoerd. Volgens de DPC heeft Meta jarenlang de wachtwoorden van honderden miljoenen gebruikers van Facebook, Facebook Lite en Instagram onversleuteld opgeslagen. Dit betekent dat de wachtwoorden in leesbare vorm stonden opgeslagen, waardoor duizenden medewerkers toegang hadden tot deze gevoelige gegevens.
In een persverklaring laat de toezichthouder weten dat dit een grove schending is van de AVG-wetgeving, die vereist dat bedrijven passende beveiligingsmaatregelen nemen om persoonsgegevens te beschermen. De officiële verklaring van de DPC is hier te lezen.
“De Ierse toezichthouder neemt het Meta niet alleen kwalijk dat de wachtwoorden in de eerste plaats niet goed beschermd waren, maar ook dat het bedrijf de DPC niet tijdig van het beveiligingslek op de hoogte heeft gesteld.” — DPC
De Vertraging in de Melding van Meta
Een ander aspect dat heeft bijgedragen aan de hoogte van de boete is het feit dat Meta de DPC niet tijdig op de hoogte heeft gesteld van de beveiligingsfout. Meta ontdekte het probleem al in januari 2019, maar bracht de toezichthouder pas enkele maanden later op de hoogte. De AVG-wetgeving stelt dat datalekken binnen 72 uur gemeld moeten worden, iets waar Meta niet aan heeft voldaan.
De fout lag bij applicaties voor het loggen van gegevens, waardoor wachtwoorden onbedoeld in platte tekst werden opgeslagen. Meta heeft in datzelfde jaar ook openbaar gemaakt dat deze fout jarenlang onopgemerkt bleef en het probleem potentieel tot miljoenen gebruikers treft.
Beveiligingsrisico’s en Reactie van Meta
Het opslaan van wachtwoorden in platte tekst vormt een groot beveiligingsrisico. Hoewel er geen bewijs is dat de wachtwoorden in deze periode zijn misbruikt, wijst dit incident op ernstige beveiligingsfouten bij Meta. In een reactie aan Reuters benadrukt Meta dat er geen aanwijzingen zijn dat de wachtwoorden ooit daadwerkelijk zijn misbruikt door medewerkers of derden.
Conclusie
De boete van 91 miljoen euro benadrukt het belang van het naleven van de AVG-richtlijnen, vooral als het gaat om de bescherming van gevoelige persoonsgegevens zoals wachtwoorden. Het incident bij Meta illustreert hoe een gebrek aan goede beveiligingsmaatregelen tot hoge sancties kan leiden. Hoewel er geen bewijs is van misbruik van de wachtwoorden, is de verplichting voor bedrijven om data adequaat te beschermen en tijdig te melden van groot belang.