Komisi Perlindungan Data Irlandia (DPC) telah mendenda Meta sebesar €91 juta ($101,56 juta) sebagai bagian dari penyelidikan atas kelemahan keamanan pada bulan Maret 2019, ketika perusahaan tersebut mengungkapkan bahwa mereka telah salah menyimpan kata sandi pengguna dalam teks biasa di sistemnya.
Investigasi yang diluncurkan oleh DPC pada bulan berikutnya menemukan bahwa raksasa media sosial tersebut melanggar empat pasal berbeda berdasarkan Peraturan Perlindungan Data Umum (GDPR) Uni Eropa.
Untuk itu, DPC menyalahkan Meta karena gagal segera memberi tahu DPC tentang pelanggaran data, mendokumentasikan pelanggaran data pribadi terkait penyimpanan kata sandi pengguna dalam teks biasa, dan memanfaatkan langkah teknis yang tepat untuk memastikan kerahasiaan kata sandi pengguna.
Meta awalnya mengungkapkan bahwa pelanggaran privasi menyebabkan terungkapnya sebagian kata sandi Facebook pengguna dalam teks biasa, meskipun Meta mencatat bahwa tidak ada bukti bahwa kata sandi tersebut diakses secara tidak benar atau disalahgunakan secara internal.
Menurut Krebs on Security, beberapa dari kata sandi ini berasal dari tahun 2012, dengan seorang karyawan senior menyatakan “sekitar 2.000 insinyur atau pengembang membuat sekitar sembilan juta pertanyaan internal untuk elemen data yang berisi kata sandi pengguna teks biasa.”
Sebulan kemudian, perusahaan tersebut mengakui bahwa jutaan kata sandi Instagram juga disimpan dengan cara yang sama, dan perusahaan tersebut memberi tahu pengguna yang terkena dampak.
“Sudah diterima secara luas bahwa kata sandi pengguna tidak boleh disimpan dalam teks biasa, mengingat risiko penyalahgunaan yang timbul dari orang yang mengakses data tersebut,” Graham Doyle, wakil komisaris DPC, mengatakan dalam pernyataan pers.
“Harus diingat bahwa kata sandi, yang menjadi pertimbangan dalam kasus ini, sangatlah sensitif, karena akan memungkinkan akses ke akun media sosial pengguna.”
Dalam pernyataan yang dibagikan kepada Associated Press, Meta mengatakan pihaknya mengambil “tindakan segera” untuk memperbaiki kesalahan tersebut, dan “secara proaktif melaporkan masalah ini” ke DPC.