Meta, parolaları düz metin olarak sakladığı için 102 milyon dolar ceza aldı

 (engadget.com)
19 puan yazan GN⁺ 2024-09-30 | 7 yorum | WhatsApp'ta paylaş
  • İrlanda Veri Koruma Komisyonu (DPC), 2019'daki güvenlik ihlali olayına ilişkin soruşturmasını tamamladıktan sonra Meta'ya 101,5 milyon dolar (91 milyon euro) para cezası verdi
  • Meta, ilk olarak Ocak 2019'da bazı kullanıcı parolalarının şirket sunucularında düz metin olarak saklandığını açıklamıştı
  • Bir ay sonra, milyonlarca Instagram parolasının da kolayca okunabilir bir biçimde saklandığını duyurdu
  • Meta, kaç hesabın etkilendiğini açıklamadı; ancak o dönemde kıdemli bir çalışan, Krebs on Security'ye bunun 600 milyona kadar parolayı kapsayabileceğini söylemişti
  • Bazı parolalar 2012'den beri şirket sunucularında düz metin olarak saklanıyordu ve 20 binden fazla Facebook çalışanı bunları aratabiliyordu
  • DPC, parolaların dış taraflara verilmediğini doğruladı
  • DPC, Meta'nın çeşitli GDPR kurallarını ihlal ettiğine hükmetti
    • Kullanıcı parolalarının düz metin olarak saklanmasıyla ilgili kişisel veri ihlalini gecikmeksizin DPC'ye bildirmedi
    • Kullanıcı parolalarının düz metin olarak saklanmasıyla ilgili kişisel veri ihlalini belgelemedi
    • Kullanıcı parolalarının yetkisiz işlenmesine karşı güvenliği sağlamak için uygun teknik önlemleri kullanmadı
  • DPC Başkan Yardımcısı Graham Doyle, "Kullanıcı parolaları düz metin olarak saklanmamalıdır; özellikle bunun sosyal medya hesaplarına erişim sağlayan hassas veriler olduğu göz önünde bulundurulmalıdır" dedi
  • DPC, para cezasının yanı sıra Meta'ya bir uyarı da verdi; komisyon nihai kararını açıkladığında bunun Meta üzerinde nasıl bir etkisi olacağı daha net görülecek

GN⁺ görüşü

  • Bu olay, büyük teknoloji şirketlerinin kişisel veri koruma uygulamaları açısından önemli bir uyarı niteliği taşıyor. Kullanıcı verilerini güvenli şekilde yönetmenin ne kadar kritik olduğunu bir kez daha hatırlatıyor
  • Meta'nın bu olay vesilesiyle güvenlik sistemlerini kapsamlı biçimde gözden geçirip iyileştirmesi gerekiyor. Şifreleme gibi teknik önlemlerin yanı sıra çalışan eğitimi, iç denetim gibi kurumsal düzeyde çabalar da gerekli görünüyor
  • GDPR ihlallerine yönelik para cezalarının seviyesi giderek artıyor. Şirketlerin, GDPR başta olmak üzere çeşitli ülkelerin veri koruma yasalarına tam uyum sağlamasının risk yönetimi açısından da önemli olduğunu kavraması gerekiyor
  • Öte yandan, bu olayda ortaya çıkan güvenlik zafiyetinin gerçekten kötüye kullanıldığına dair bir bulgu doğrulanmış değil. Buna rağmen Meta'ya yüksek tutarda ceza verilmiş olması, sorunun ciddiyeti ve ilgili düzenleme ihlallerinin boyutunun büyük görüldüğünü gösteriyor
  • Parola yönetiminde yalnızca düz metin saklamaktan kaçınmak değil, salt/hash kullanımı, güçlü parola politikaları gibi çeşitli güvenlik önlemleri de gerekiyor. Şirketlerin kurum genelinde sistematik bir parola yönetim politikası oluşturup bunu sıkı şekilde uygulaması gerekiyor

İlgili okumalar

7 yorum

 
princox 2024-09-30

Vay... bu biraz sarsıcı.
 
savvykang 2024-09-30

Facebook yine bildiğimiz gibi.
 
wedding 2024-09-30

FAANG'de düz metin mi.. gerçekten akıl almaz bir haber..
 
GN⁺ 2024-09-30
Hacker News görüşleri

  • Meta düz metin parolaları saklamamayı amaçlamıştı, ancak bir hata nedeniyle düz metin parolaların loglara kaydedildiği bir olay yaşandı

    • 2012'den beri 600 milyon parola kolayca okunabilir biçimde saklandı ve 20 binden fazla Facebook çalışanı bunlara erişebiliyordu
    • Bu basit bir hata değil, ciddi bir sorun

  • Ceza, mevcut gelirin %0,1'i düzeyinde

    • Yıllık geliri 1 milyar dolar olan bir şirket 100 bin dolar ceza ödemek zorunda kalır
    • Bu, düzgün güvenliği sürdürmek için bir teşvik oluşturmuyor
    • Loglar üzerinden debugging'i iyileştirerek verimliliği %0,1'den fazla artırabiliyorsa, bu şirket için iyi bir anlaşma

  • Meta mülakatlarında hashing ve rainbow table saldırılarıyla ilgili sorular bir tür yardım çağrısı olabilir

  • 102 milyon dolarlık ceza büyük bir miktar gibi görünse de, sızdırılan her bir düz metin parola başına ceza 1 dolar bile etmiyor

    • Ceza, yetkililere zamanında bildirim yapılmadığı için verildi
    • Etkilenen kullanıcılarla ilgili değerlendirmenin ilginç olduğu söyleniyor

  • 2019'daki veri sızıntısı olayı, 2012'de oluşturulan bir sistemde meydana geldi

    • GDPR 2018'de yürürlüğe girdi ve Meta, 2019'daki veri sızıntısını düzgün şekilde açıklamadığı için ceza aldı

  • Büyük bir şirketin böyle bir hata yapmasını anlamak zor

    • Parola hashing ve salting temel güvenlik prosedürleridir
    • Meta/Facebook gibi büyük bir şirketin böyle bir hata yapması hayal bile edilemez

  • Umarım kimlik doğrulama ekibinin sistemi, parolaları içeren payload'ları loglamamıştır

    • Bu, başka bir ekibin sahip olduğu bir altyapı bileşeninde meydana gelmiş olabilir

  • Yinelenen tartışma: bağlantı
 
darkhi 2024-10-01

Sunucuya kaydederken kasıtlı olarak düz metin halinde saklanmış değil de, logların kaydedilmesi sürecinde girilen düz metin parolaların saklandığı durumlar olmuş gibi görünüyor.
Yurt içi ya da yurt dışı fark etmeksizin, böyle vakalar aslında düşündüğünüzden daha sık görülüyor... (log dosyalarına parolaların kaydedildiği durumlar...)
 
2024-09-30
[Bu yorum gizlendi.]