أكثر من 100 مليون دولار مقابل 600 مليون كلمة مرور نصية عادية
هل تتذكر عندما قام Facebook بتخزين حوالي 600 مليون كلمة مرور لحساب Facebook في نص عادي ثم تظاهر بأن الأمر ليس بالأمر المهم؟ لقد انتهى كل شيء في وقت ما من عام 2019. وتجدر الإشارة إلى أنه لم يتم اختراق كلمات المرور، على الرغم من أنه ربما تمكن موظفو فيسبوك من الوصول إليها. ومع ذلك، قام الاتحاد الأوروبي بالتحقيق في القضايا الأمنية، ولاحق فيسبوك بسبب قراره بعدم تشفير كلمات المرور.
وبعد مرور خمس سنوات، أصبح فيسبوك يُعرف باسم ميتا، لكن مشاكل فيسبوك لم تختف مع تغيير الاسم. تلقت شركة Meta للتو غرامة قدرها 101.8 مليون دولار بعد انتهاء تحقيق لجنة حماية البيانات الأيرلندية (DPC).
بدأت DPC تحقيقاتها بعد أن أخطرت شركة Meta الهيئة التنظيمية بأنها قامت بتخزين كلمات المرور في “نص عادي” على أنظمتها الداخلية. أعلنت DPC قرارها النهائي يوم الخميس، والذي تضمن توبيخًا وغرامة قدرها 91 مليون يورو (101.8 مليون دولار) بموجب لوائح الناتج المحلي الإجمالي للاتحاد الأوروبي.
دخلت اللائحة العامة لحماية البيانات للاتحاد الأوروبي حيز التنفيذ في منتصف عام 2018 في أوروبا، مما أجبر شركات التكنولوجيا على منح عملائها مزيدًا من التحكم في البيانات التي يتم جمعها منها. يمكن لمستخدمي الإنترنت في الاتحاد الأوروبي أن يطلبوا من شركات مثل Meta توفير الوصول إلى بياناتهم وحذف حساباتهم.
يمكن للمستخدمين أيضًا الاعتراض على جمع البيانات عبر ملفات تعريف الارتباط والأدوات الأخرى. من المهم أيضًا مطالبة الشركات بإبلاغ السلطات عن انتهاكات البيانات في غضون أيام قليلة. ويجب على نفس الشركات تنفيذ تدابير أمنية لحماية بيانات المستخدم، بما في ذلك كلمات المرور.
وجدت DPC أن Meta (MPIL) انتهكت العديد من مواد اللائحة العامة لحماية البيانات:
المادة 33 (1) من اللائحة العامة لحماية البيانات، حيث فشلت MPIL في إخطار DPC بخرق البيانات الشخصية فيما يتعلق بتخزين كلمات مرور المستخدم في نص عادي؛
المادة 33 (5) من اللائحة العامة لحماية البيانات، حيث فشلت MPIL في توثيق خروقات البيانات الشخصية فيما يتعلق بتخزين كلمات مرور المستخدم في نص عادي؛
المادة 5 (1) (و) من اللائحة العامة لحماية البيانات، حيث أن MPIL لم تستخدم التدابير الفنية أو التنظيمية المناسبة لضمان الأمان المناسب لكلمات مرور المستخدمين ضد المعالجة غير المصرح بها؛ و
المادة 32 (1) من اللائحة العامة لحماية البيانات، لأن MPIL لم تنفذ التدابير الفنية والتنظيمية المناسبة لضمان مستوى الأمان المناسب للمخاطر، بما في ذلك القدرة على ضمان السرية المستمرة لكلمات مرور المستخدم.
“من المقبول على نطاق واسع أنه لا ينبغي تخزين كلمات مرور المستخدم في نص عادي، مع الأخذ في الاعتبار مخاطر إساءة الاستخدام التي تنشأ من وصول الأشخاص إلى هذه البيانات.” وقال نائب مفوض DPC جراهام دويل في بيان. “يجب أن يؤخذ في الاعتبار أن كلمات المرور موضوع النظر في هذه الحالة، حساسة بشكل خاص، لأنها ستمكن من الوصول إلى حسابات وسائل التواصل الاجتماعي للمستخدمين.”
أكدت Meta كلمات المرور الخاصة بالنص العادي في عام 2019. وبينما قالت إن مئات الملايين من المستخدمين قاموا بتخزين كلمات المرور الخاصة بهم في نص عادي، إلا أنها لم تؤكد الرقم الفعلي. وقالت ميتا إنها لم تجد دليلاً على وصول الموظفين إلى كلمات المرور هذه في ذلك الوقت. أخيرًا، قالت ميتا إنها ستقوم بإخطار الأشخاص الذين تحتوي حساباتهم على كلمات مرور مخزنة في نص عادي.
كان الجزء الأكبر من المستخدمين المتأثرين مئات الملايين من مستخدمي Facebook Lite. هذا إصدار من التطبيق متوفر على Android في الأسواق التي لا يكون فيها الاتصال بالإنترنت جيدًا. تشير هذه التفاصيل إلى أن معظم المستخدمين المتأثرين كانوا خارج الولايات المتحدة. لكن الملايين من مستخدمي فيسبوك وعشرات الآلاف من مستخدمي إنستغرام تأثروا أيضًا.
وقال الباحث الأمني بريان كريبس في ذلك الوقت إنه علم من مصدر داخل فيسبوك أن موظفي فيسبوك كان بإمكانهم الوصول إلى كلمات المرور ذات النص العادي منذ عام 2012. وكانت كلمات المرور قابلة للبحث في القائمة. وبحسب ما ورد قام حوالي 2000 مهندس أو مطور بإجراء تسعة ملايين استعلام داخلي لعناصر البيانات التي تحتوي على كلمات مرور نصية عادية.
وكشف كريبس أيضًا عن نطاق المشكلة الأمنية، قائلاً إن مصدره أبلغه بتأثر أكثر من 600 مليون حساب.
وبما أن كلمات المرور لم تتسرب عبر الإنترنت، فإن إعادة تعيين كلمة المرور الخاصة بك في ذلك الوقت لم تكن ضرورية. ولكن من الجيد إعادة تعيين كلمات مرور الحساب بشكل روتيني، خاصة لخدمات مثل البريد الإلكتروني والشبكات الاجتماعية ومواقع البث.
أما بالنسبة للغرامة، فسيكون من المثير للاهتمام معرفة ما إذا كانت ميتا ستعترض عليها أم لا. مهما كان الأمر، فإن مبلغ 101.8 مليون دولار يمثل قطرة في بحر مقارنة بالمليارات التي تجنيها Meta من الإعلانات عبر الإنترنت.