Meti milijonska kazen, ker je gesla hranila v besedilni obliki
Matej Huš
28. sep 2024 ob 13:41:46
Na Irskem so Meti izrekli 91 milijonov evrov kazni, ker je podjetje v preteklosti gesla uporabnikov shranjevalo na način, ki ne ustreza dobrim varnostnim praksam. Da so gesla več kot 600 milijonov uporabnikov shranjevali v besedilni obliki (plaintext), so razkrili leta 2019. Dostop do podatkovne baze je imelo več kot 2000 zaposlenih v podjetju, ki so ustvarili več kot devet milijonov vpogledov v bazo.
V Meti so tedaj zagotovili, da niso odkrili nobenih nepooblaščenih dostopov do baze in da so za njen obstoj ugotovili pri rednem varnostnem pregledu. Četudi to podjetju verjamemo, je težko razumeti, kako so lahko storili tako veliko napako v implementaciji. Da se gesla ne smejo shranjevati v besedilni obliki, temveč v zgoščeni obliki (hashed) z dodano entropijo v obliki dodatnih znakov pred zgoščevanjem (salt), je v industriji znano že vsaj tri desetletja. Prav tako so znane tudi dovolj varne zgoščevalne funkcije - predvsem morajo biti dovolj počasne, denimo Bcrypt, PBKDF2, SHA512crypt - in druge podrobnosti, ki zagotavljajo varnost, četudi bi baza morebiti ušla. Shranjevanje v besedilni obliki je osnovnošolska malomarnost.
Ko je Meta napako razkrila, je irska Komisija za zaščito podatkov, torej njihov informacijski pooblaščenec, začela preiskavo. Ta teden so v postopku, ki se je začel aprila 2019, izrekli 91 milijonov evrov visoko globo. Ugotovili so, da je Meta kršila več členov zakonodaje o zaščiti osebnih podatkov, saj je osebne podatke hranila brez zagotovitve varnosti, ni uporabila ustreznih tehničnih orodij, ni ocenila tveganj in regulatorja o tem ni obvestila.