Ирландия начала расследование в отношении Facebook из-за хранения незашифрованных паролей пользователей
Главный регулятор Европейского союза – Ирландская комиссия по защите данных (IDPC) – заявила в четверг, что начала расследование о возможном нарушении компанией Facebook правил обработки персональных данных ЕС – речь идёт об инциденте с хранением соцсетью паролей пользователей как просто текста, не защищённого шифрованием, пишет Reuters.
Об инциденте стало известно в марте. Facebook сообщила, что в ходе регулярной плановой проверки в январе компания обнаружила, что пароли «сотен миллионов» пользователей Facebook Lite (облегченная версия соцсети) и «десятков миллионов» пользователей Facebook хранятся в виде простых текстовых записей, безо всякого шифрования.
Это грубейшее нарушение элементарных правил информационной безопасности: на серверах компании пароли не должны храниться ни при каких условиях, для аутентификации пользователей сличается результат необратимого преобразования пароля в последовательность битов (т.н. хеширование) по определённому алгоритму, и хранению подлежат только результаты хеш-преобразования пароля, но не сам пароль.
В компании оправдываются тем, что доступ к данным был лишь у сотрудников соцсети – и нет никаких данных о том, что кто-то из них воспользовался этой уязвимостью. Проблема устранена, но Facebook всё равно обещал разослать уведомления тем, чьи пароли оказались в списке.
«На этой неделе мы начали расследование по этому вопросу, чтобы определить, выполнила ли компания Facebook свои обязательства по соответствующим положениям GDPR», — сказал представитель регулятора Ирландии.
Reuters пишет, что расследование ирландской комиссии уже 11-е по счёту в отношении Facebook. В феврале регулятор заявил, что у него имеется семь обязательных запросов для Facebook и ещё три – для сервисов Instagram и WhatsApp, принадлежащих Facebook.
В феврале представитель комиссии сказал, что первое расследование об использовании персональных данных компанией Facebook планируется завершить этим летом, а остальные – к концу года.
В Ирландии находится европейская штаб-квартира ряда американских технологических компаний. В соответствии с общим регламентом ЕС о защите данных (GDPR), ирландский регулятор также является ведущим регулятором для Twitter, LinkedIn Apple и Microsoft, уточняет агентство.
На минувшей неделе D-Russia.ru писал, что Facebook «случайно», по заявлению компании, получил 1,5 миллионов контактов из электронной почты пользователей.
На днях стало известно, что компания ожидает штрафа от Федеральной комиссии по торговле США (Federal Trade Commission, FTC) за нарушения безопасности персональных данных пользователей; предположительно, размер штрафа составит от 3 до 5 миллиардов долларов. Необходимую сумму Facebook заложила в свой квартальный финотчёт.