Raksasa media sosial Meta telah didenda €91 juta ($101 juta) karena secara tidak sengaja menyimpan ratusan juta kata sandi penggunanya dalam format teks jelas alih-alih dalam format terenkripsi di sistem internalnya.
Meta pertama kali mengumumkan penemuan kesalahan rekayasa ini pada tahun 2019. Pada saat itu, perusahaan menyatakan bahwa mereka akan memberi tahu semua orang yang kata sandinya disimpan tanpa perlindungan, meskipun mereka menekankan bahwa kata sandi tersebut hanya terpapar secara internal di Meta, dan tidak ada bukti bahwa salah satu dari mereka telah disalahgunakan.
Setelah penyelidikan selama lima tahun, Komisi Perlindungan Data Irlandia (DPC) — yang merupakan otoritas privasi utama Uni Eropa untuk Meta, karena kantor pusat perusahaan di Eropa berlokasi di Irlandia — menemukan bahwa insiden ini merupakan pelanggaran terhadap kewajiban hukum Meta di bawah Peraturan Perlindungan Data Umum (GDPR) Uni Eropa.
Dalam pernyataan pada hari Jumat, DPC menyatakan bahwa mereka mengeluarkan teguran dan denda kepada Meta karena beberapa pelanggaran GDPR, termasuk kegagalan untuk memberitahu DPC tentang pelanggaran data pribadi dan juga gagal menerapkan langkah teknis yang sesuai untuk melindungi kata sandi pengguna.
Untuk masuk ke layanan online, layanan tersebut perlu mengetahui kata sandi pengguna; ini adalah rahasia yang dibagikan oleh pengguna dan layanan. Namun, untuk mencegah kata sandi tersebut dicuri — baik oleh orang dalam yang jahat maupun oleh peretas yang telah membobol sistem mereka — kata sandi biasanya disimpan dalam format yang terlindungi oleh layanan online.
Seperti yang dijelaskan perusahaan, Facebook biasanya melindungi kata sandi pengguna menggunakan teknik kriptografi standar industri — termasuk hashing dan salting. Tidak jelas mengapa ini tidak diterapkan untuk sejumlah besar pengguna Facebook dan Instagram.
DPC menyatakan bahwa mereka telah membagikan keputusannya dengan otoritas Uni Eropa lainnya dan tidak ada di antara mereka yang menolak denda tersebut, meskipun keputusan lengkap yang menjelaskan denda tersebut tidak diterbitkan bersamaan dengan pengumuman regulator pada hari Jumat.
Wakil komisarisnya, Graham Doyle, mengatakan: “Secara luas diterima bahwa kata sandi pengguna tidak boleh disimpan dalam teks jelas, mengingat risiko penyalahgunaan yang muncul dari orang-orang yang mengakses data semacam itu. Perlu diingat bahwa kata sandi yang menjadi pertimbangan dalam kasus ini sangat sensitif, karena dapat memberikan akses ke akun media sosial pengguna.”
Meta tidak segera menanggapi permintaan untuk memberikan komentar.
