حق فراموش شدن

دایرکتوری حذف حساب‌های کاربری

rtbf.ir

شما هم مشارکت کنید

جریمه صد میلیون دلاری متا؛ باز هم نقض GDPR!

تاریخ: 13 مهر 1403   امیر

در سپتامبر 2024، کمیسیون حفاظت از داده‌های ایرلند (DPC) شرکت متا، مالک ف‌یس‌بوک و اینستاگرام، را به دلیل نقض مقررات حفاظت از داده‌های عمومی اتحادیه اروپا (GDPR) و عدم رعایت قوانین مرتبط با امنیت داده‌ها به مبلغ 91 میلیون یورو (معادل 101.56 میلیون دلار) جریمه کرد. این جریمه نتیجه تحقیقات DPC درباره رخنه امنیتی بود که در مارس 2019 فاش شد. در آن زمان، متا اعلام کرد که به‌طور اشتباهی کلمات عبور میلیون‌ها کاربر فیس‌بوک و اینستاگرام را به‌صورت متنی ساده (Plaintext) در سیستم‌های خود ذخیره کرده است.

این موضوع بسیار حساسیت‌برانگیز بود، زیرا ذخیره کلمات عبور به‌صورت متنی ساده به این معناست که این اطلاعات بدون هیچ‌گونه رمزگذاری یا محافظتی قابل دسترسی هستند. اگر کسی به این اطلاعات دسترسی پیدا می‌کرد، می‌توانست به راحتی از آن‌ها سوءاستفاده کند. ذخیره کلمات عبور کاربران به این شکل یک ضعف امنیتی بزرگ محسوب می‌شود که متا به سرعت برای رفع آن تلاش کرد.

 

آغاز تحقیقات و جریمه بزرگ

تحقیقات DPC در آوریل 2019، یک ماه پس از افشای عمومی این حادثه آغاز شد. این کمیسیون در طول بررسی‌های خود به این نتیجه رسید که متا چهار ماده از مقررات حفاظت از داده‌های عمومی (GDPR) اتحادیه اروپا را نقض کرده است. این موارد شامل عدم اطلاع‌رسانی به موقع به مقامات، مستندسازی نامناسب نقص‌های مربوط به ذخیره‌سازی کلمات عبور و عدم استفاده از اقدامات فنی مناسب برای حفاظت از حریم خصوصی کاربران بود.

یکی از مسائل کلیدی که در این تحقیقات مورد بررسی قرار گرفت، این بود که چرا متا به‌درستی از شیوه‌های رمزگذاری برای حفاظت از کلمات عبور کاربران استفاده نکرده است. هم‌چنین، مشخص شد که این شرکت پس از وقوع این رخداد به موقع و به‌درستی به DPC اطلاع نداده است، که این خود یکی از الزامات اصلی GDPR است.

 

چرا چنین اتفاقی در متا افتاد؟

در ابتدا، متا اعلام کرد که تنها بخشی از کاربران فیس‌بوک تحت تأثیر این نقص امنیتی قرار گرفته‌اند و کلمات عبور آن‌ها به‌صورت متنی ساده در سیستم‌های داخلی ذخیره شده‌اند. با این حال، بررسی‌های بعدی نشان داد که این مشکل به مراتب گسترده‌تر از آن چیزی بوده که در ابتدا اعلام شده بود. بر اساس گزارش‌های منتشرشده توسط Krebs on Security، برخی از این کلمات عبور حتی به سال 2012 برمی‌گردند.

در طول تحقیقات، مشخص شد که حدود 2000 مهندس و توسعه‌دهنده در شرکت متا حدود 9 میلیون درخواست داخلی برای داده‌هایی که شامل کلمات عبور متنی ساده کاربران بود، ارسال کرده‌اند. این رقم نگران‌کننده بود و نشان می‌داد که کلمات عبور کاربران در دسترس تعداد زیادی از کارکنان شرکت قرار داشته است. در نتیجه، این مسئله می‌توانست به سوءاستفاده‌های بالقوه از این داده‌ها منجر شود.

 

ذخیره کلمات عبور کاربران اینستاگرام

یک ماه پس از افشای مشکل مربوط به فیس‌بوک، متا اعلام کرد که میلیون‌ها کلمه عبور کاربران اینستاگرام نیز به‌صورت متنی ساده در سیستم‌های داخلی ذخیره شده‌اند. این خبر واکنش‌های زیادی را در پی داشت و نگرانی‌های مربوط به امنیت اطلاعات کاربران بیش از پیش افزایش یافت. متا به‌سرعت کاربران تحت تأثیر را از این نقص مطلع کرد و اقداماتی را برای رفع این مشکل انجام داد.

 

چرا ذخیره کلمات عبور به‌صورت متنی ساده خطرناک است؟

ذخیره کلمات عبور به‌صورت متنی ساده یک روش بسیار ناامن برای مدیریت اطلاعات حساس کاربران است. در این روش، اگر کسی به پایگاه داده دسترسی پیدا کند، می‌تواند بدون هیچ مانعی کلمات عبور کاربران را مشاهده و از آن‌ها سوءاستفاده کند. این موضوع می‌تواند منجر به دسترسی غیرمجاز به حساب‌های کاربری و حتی سوءاستفاده‌های مالی یا شخصی شود.

گراهام دویل، معاون کمیسیونDPC، در بیانیه‌ای اعلام کرد: "این موضوع که کلمات عبور کاربران به‌صورت متنی ساده ذخیره شده‌اند، یک نقص جدی است، زیرا این کلمات عبور می‌توانند به افراد اجازه دسترسی به حساب‌های شبکه‌های اجتماعی کاربران را بدهند. این اطلاعات حساسیت بالایی دارند و باید به نحو احسن محافظت شوند.

 

واکنش متا به این حادثه و جریمه‌ی آن

پس از اعلام جریمه 91 میلیون یورویی، متا در بیانیه‌ای که با Associated Press به اشتراک گذاشته شد، تأکید کرد که این شرکت به‌سرعت پس از شناسایی مشکل اقداماتی را برای رفع آن انجام داده است. هم‌چنین متا بیان کرد که این مشکل را به‌طور فعال به DPC اطلاع داده و از زمان بروز حادثه تلاش کرده است تا آسیب‌های ناشی از این نقص را کاهش دهد.

متا اعلام کرد که تیم‌های فنی بلافاصله پس از شناسایی این مشکل، روی اصلاح آن تمرکز کرده و اقدامات فنی لازم را برای اطمینان از عدم تکرار چنین مشکلی در آینده انجام داده‌اند. این شرکت هم‌چنین به کاربران تحت تأثیر اطلاع داده و به آن‌ها توصیه کرد که برای محافظت از حساب‌های کاربری خود، کلمات عبور خود را تغییر دهند.

 

پیامدهای قانونی و اجتماعی نقض حقوق کاربران متا

این حادثه نه تنها برای متا، بلکه برای کل صنعت فناوری و شبکه‌های اجتماعی پیامدهای گسترده‌ای داشت. جریمه 91 میلیون یورویی که بر اساس مقررات GDPR اعمال شد، نشان‌دهنده جدیت اتحادیه اروپا در حفاظت از داده‌های شخصی کاربران و برخورد سخت‌گیرانه با شرکت‌هایی است که در زمینه حفاظت از داده‌ها کوتاهی می‌کنند.

GDPR که از سال 2018 اجرایی شد، به‌طور ویژه‌ای برای محافظت از حریم خصوصی کاربران در فضای دیجیتال طراحی شده است. این قانون شرکت‌ها را ملزم به رعایت استانداردهای بالای امنیتی و شفافیت در مدیریت داده‌های کاربران می‌کند. هرگونه نقض این مقررات می‌تواند منجر به جریمه‌های سنگین شود که در مواردی می‌تواند به چندین درصد از درآمد جهانی شرکت برسد.

در این مورد، جریمه 91 میلیون یورویی متا به دلیل عدم رعایت چهار ماده از مقررات GDPR به این شرکت تحمیل شد. این جریمه به‌عنوان یک هشدار جدی برای سایر شرکت‌های فناوری نیز تلقی می‌شود که در صورت عدم رعایت مقررات، با پیامدهای مشابهی روبرو خواهند شد.

 

اقدامات متا برای بهبود امنیت داده‌ها

پس از این حادثه و جریمه، متا اعلام کرد که به‌طور جدی روی بهبود سیستم‌های امنیتی خود کار کرده است. این شرکت تلاش کرده تا با بهره‌گیری از روش‌های پیشرفته‌تر در زمینه رمزنگاری و مدیریت اطلاعات حساس، از تکرار چنین مشکلاتی جلوگیری کند.

یکی از اقدامات کلیدی متا، پیاده‌سازی رمزگذاری قوی برای کلمات عبور کاربران بود. این شرکت هم‌چنین فرآیندهای داخلی خود را بازبینی کرد تا مطمئن شود که هیچ کارمند یا توسعه‌دهنده‌ای به‌صورت غیرمجاز به اطلاعات حساس کاربران دسترسی نداشته باشد. به علاوه، متا برنامه‌های آموزشی و آگاهی‌بخشی گسترده‌ای را برای کارکنان خود اجرا کرد تا آن‌ها را با بهترین شیوه‌های امنیت داده‌ها آشنا کند.

 

اهمیت رعایت اصول امنیت داده‌ها

این حادثه نشان‌دهنده اهمیت رعایت اصول امنیت داده‌ها و حفاظت از حریم خصوصی کاربران است. در دنیای دیجیتال امروز، اطلاعات شخصی کاربران ارزش زیادی دارند و شرکت‌ها باید به‌طور مداوم تلاش کنند تا این اطلاعات را از تهدیدات مختلف محافظت کنند. هرگونه کوتاهی در این زمینه می‌تواند به خسارت‌های مالی و اعتباری بزرگی برای شرکت‌ها منجر شود.

علاوه بر این، کاربران نیز باید نسبت به امنیت حساب‌های خود آگاه باشند و از رمزهای عبور قوی و منحصربه‌فرد استفاده کنند. هم‌چنین استفاده از احراز هویت دو مرحله‌ای (Two-Factor Authentication) می‌تواند لایه‌ای اضافی از امنیت را به حساب‌های کاربری اضافه کند و از سوءاستفاده‌های احتمالی جلوگیری کند.

جریمه سنگین 91 میلیون یورویی که بر متا تحمیل شد، یک یادآوری جدی از اهمیت حفاظت از داده‌های کاربران و رعایت قوانین GDPR است. این حادثه نشان داد که حتی شرکت‌های بزرگ فناوری نیز ممکن است دچار اشتباهات امنیتی شوند و این اشتباهات می‌تواند پیامدهای بزرگی داشته باشد.

برای متا، این حادثه فرصتی بود تا امنیت داده‌های کاربران خود را تقویت کند و از تکرار چنین رخدادهایی در آینده جلوگیری کند. از سوی دیگر، این جریمه نشان‌دهنده تعهد اتحادیه اروپا به حفاظت از حریم خصوصی کاربران و برخورد قاطع با شرکت‌هایی است که این قوانین را نقض می‌کنند. در نهایت، حفاظت از اطلاعات شخصی یک مسئولیت مشترک بین شرکت‌ها و کاربران است و هر دو طرف باید تلاش کنند تا این اطلاعات در برابر تهدیدات محافظت شوند.