6億件のFacebookとInstagramのパスワードがプレーンテキストで保存されていたことが発覚し、Metaは9100万ユーロ(1億100万ドル)の罰金を科された。
これらのパスワードの一部は2012年以来保護されておらず、2万人以上のMeta従業員によって検索可能だった。
Engadgetの報道によると、セキュリティ侵害は2019年に発見されたが、7年間存在していたと報じられている。
Meta社は影響を受けたアカウントの数を明らかにしなかったが、当時、ある上級社員がKrebs on Securityに対し、このインシデントには最大6億件のパスワードが関係していたと語っていた。パスワードの一部は、2012年から同社のサーバーに判読しやすい形式で保存されていた。
Meta は、そもそもパスワードを保護しなかったことで法律に違反しただけでなく、問題が発覚したらすぐに規制当局に報告するという法的義務も遵守しなかった。
アイルランドデータ保護委員会(DPC)は、Meta社が今回の侵害に関連するGDPRの複数の規則に違反したと判断しました。同社は「ユーザーのパスワードを平文で保管していたことに関する個人データ侵害について、DPCに遅滞なく通知」しておらず、「ユーザーのパスワードを平文で保管していたことに関する個人データ侵害を文書化」していなかったと認定しました。また、Meta社は、ユーザーのパスワードを不正に処理されないようセキュリティを確保するための適切な技術的措置を講じていなかったことで、GDPRに違反したと指摘しました。
9to5Macの見解
これほど長期間にわたる深刻な情報漏洩に対して、1億100万ドルの罰金はむしろ少額に思えます。メールアドレスとパスワードさえあれば、攻撃者は数億ものFacebookとInstagramのアカウントを乗っ取ることができたはずです。
特にFacebookの場合、プライバシー上の理由から意図的に親しい友人の少数の視聴者に限定されていた投稿が公開されることになる。
欧州のGDPR法では、プライバシー要件違反に対し、企業に全世界売上高の最大4%の罰金を科すことが認められているため、より重大な罰金を科す余地がありました。規制当局が、経営幹部が眠れなくなるような罰金を課し始めて初めて、企業はプライバシー侵害を相応の深刻さで受け止めるようになるでしょう。
UnsplashのMourizal Zativaによる写真
yocben.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
