Meta'ya 2019'daki Güvenlik İhlali Nedeniyle 101,5 Milyon Dolar Ceza

Meta, Avrupa'da bir kez daha gizlilik cezasıyla karşı karşıya kaldı. Cuma günü, İrlanda Veri Koruma Komisyonu (DPC), Facebook'un ana şirketi Meta'ya yönelik 2019'daki bir güvenlik ihlaliyle ilgili çok yıllı bir soruşturmayı tamamladığını duyurarak şirkete 91 milyon Euro (yaklaşık 101,5 milyon dolar) para cezası kesti.

DPC, Nisan 2019'da, Meta’nın (o zamanlar Facebook olarak biliniyordu) yüz milyonlarca kullanıcının şifrelerinin sunucularında düz metin olarak saklandığını bildirmesi üzerine, Avrupa Birliği Genel Veri Koruma Yönetmeliği (GDPR) kapsamında bir soruşturma başlattı.

Bu güvenlik ihlali, GDPR'nin kişisel verilerin uygun şekilde korunmasını gerektirmesi nedeniyle AB için yasal bir sorun haline geldi. Yapılan soruşturma sonucunda, DPC, Meta'nın bu şifreleri şifrelemeyerek AB'nin yasal standartlarını karşılayamadığını ve üçüncü şahısların kullanıcıların sosyal medya hesaplarındaki hassas bilgilere erişme riskini yarattığını belirledi.

DPC ayrıca Meta'nın, GDPR'nin öngördüğü 72 saatlik bildirim süresi içinde ihlali bildirmediğini ve olayla ilgili yeterli dokümantasyonu sunmadığını tespit etti. DPC'nin açıklamasında, başkan yardımcısı Graham Doyle, "Kullanıcı şifrelerinin düz metin olarak saklanmaması gerektiği geniş çapta kabul görmüştür, çünkü bu tür verilerin kötüye kullanım riskleri oldukça yüksektir" dedi.

Meta, GDPR kapsamında aldığı son cezaya yanıt olarak, bir şirket sözcüsü aracılığıyla, olayın şifre yönetim sürecinde bir "hata" olduğunu ve "hemen harekete geçtiklerini" belirten bir açıklama yaptı. Meta, 2019'da yapılan bir güvenlik incelemesi sırasında bazı Facebook kullanıcılarının şifrelerinin iç veri sistemlerinde geçici olarak okunabilir formatta kaydedildiğini tespit ettiklerini ve bu hatayı hızla düzelttiklerini ifade etti. Ayrıca bu şifrelerin kötüye kullanıldığına dair bir kanıt bulunmadığını belirttiler.

Meta, şimdiye kadar teknoloji devlerine verilen en büyük GDPR cezalarının çoğunu almıştı, bu yüzden son yaptırım, şirketin gizlilik uyumluluğundaki sorunların boyutunu bir kez daha gözler önüne seriyor.

Bu ceza, DPC'nin Mart 2022'de Meta'ya 2018'deki bir güvenlik ihlali nedeniyle verdiği 17 milyon Euro'luk cezadan daha ağır. Ancak iki olay arasında fark var; önceki ihlal 30 milyon kullanıcıyı etkilerken, 2019'da yüz milyonlarca kullanıcının şifrelerinin güvende olmadığı belirtilmişti.

GDPR, veri koruma otoritelerine ihlaller için ağır para cezaları verme yetkisi tanıyor. Bu cezalar, ihlalin niteliği, ciddiyeti, süresi, etkilenen veri sahiplerinin sayısı ve uğranılan zararın boyutu gibi faktörler dikkate alınarak hesaplanıyor. GDPR kapsamında olası en yüksek ceza, küresel yıllık cironun %4'ü kadar olabilir. Ancak Meta'nın yıllık geliri 2023'te 134,90 milyar dolar olduğu göz önüne alındığında, 91 milyon Euro'luk ceza şirketin potansiyel olarak karşı karşıya kalabileceği milyarlarca dolarlık cezanın yalnızca küçük bir kısmını temsil ediyor.