PETOGODIŠNJI PROCES

Meta u Irskoj kažnjena s 91 milijun eura zbog nepravilnog pohranjivanja lozinki

Sve se otkrilo 2019. i od onda je trajala istraga, koja nije otišla u korist Mete.

Meta u Irskoj kažnjena s 91 milijun eura zbog nepravilnog pohranjivanja lozinki
Depositphotos

Metu je u Irskoj kažnjena s 91 milijun dolara zbog pohranjivanja stotina milijuna korisničkih lozinki u običnom tekstu te omogućavanja da im pristupe zaposlenici kompanije.

Taj je propust Meta otkrila početkom 2019. godine i tada izjavila da su aplikacije za povezivanje s raznim društvenim mrežama u vlasništvu Mete bilježile korisničke lozinke u običnom tekstu i pohranjivale ih u bazu podataka kojoj je pristupilo oko 2000 inženjera kompanije, koji su zajednički pretražili tu bazu više od devet milijuna puta.

Tada su u kompaniji izjavili da je greška otkrivena tijekom rutinske sigurnosne revizije praksi i dodali da nisu pronađeni dokazi da je itko unutar kompanije neovlašteno pristupio lozinkama niti da su lozinke ikada bile dostupne osobama izvan kompanije.

Unatoč tim uvjeravanjima, ovo otkriće ukazalo je na veliki sigurnosni propust Mete. Više od tri desetljeća, najbolje prakse u gotovo svakoj industriji nalažu kriptografsko hashiranje lozinki. To je postupak koji podrazumijeva prolazak lozinki kroz jednosmjerni kriptografski algoritam koji im dodjeljuje dugi niz znakova jedinstven za svaki jedinstveni unos običnog teksta.

Budući da je prijelaz moguć samo u jednom smjeru, iz običnog teksta u hash, ne postoji kriptografski način za pretvaranje hashiranih lozinki natrag u običan tekst. U novije vrijeme, ove najbolje prakse propisane su zakonima i propisima u mnogim zemljama širom svijeta.

Budući da algoritmi hashiranja funkcioniraju samo u jednom smjeru, jedini način za dobivanje odgovarajućeg običnog teksta je pogađanje, proces koji može zahtijevati velike količine vremena i računalnih resursa. Konačni cilj hashiranja je pohranjivanje lozinki samo u hashiranom formatu, nikad kao običan tekst.

Kada je Meta otkrila ovaj propust 2019., bilo je jasno da kompanija nije adekvatno zaštitila stotine milijuna lozinki.

Do danas je EU kaznila Metu s više od dvije milijarde eura zbog kršenja Opće uredbe o zaštiti podataka (GDPR), koja je stupila na snagu 2018. Ta cifra uključuje prošlogodišnju rekordnu kaznu od 1,2 milijarde eura, na koju se Meta žalila.