Nooknick Yanika
ผลกระทบและบทเรียนด้านความปลอดภัย บริษัท Meta เก็บรหัสผ่านผู้ใช้กว่า 600 ล้านคนในรูปแบบที่มีความปลอดภัยต่ำ ศาลยุโรปสั่งปรับอ่วม
Meta เก็บรหัสผ่านผู้ใช้กว่า 600 ล้านคนในรูปแบบ Plain Text ถูกปรับ 100 ล้านดอลลาร์
Meta ผู้ให้บริการ Facebook, Instagram, WhatsApp ถูกพบว่ามีการเก็บรหัสผ่านของผู้ใช้กว่า 600 ล้านบัญชีบน Facebook และ Instagram ในรูปแบบ “plain text” ซึ่งสามารถอ่านได้ง่าย เป็นเวลานานนับ 10 ปีเป็นการละเมิดความปลอดภัยที่ร้ายแรงซึ่งส่งผลกระทบต่อความเชื่อมั่นของผู้ใช้หลายล้านคน
ปัญหานี้ถูกค้นพบครั้งแรกในปี 2019 เมื่อ Meta ยอมรับว่ารหัสผ่านของผู้ใช้ถูกเก็บในรูปแบบที่ไม่มีการเข้ารหัส ซึ่งหมายความว่าใครก็ตามที่สามารถเข้าถึงฐานข้อมูลนั้นจะสามารถอ่านรหัสผ่านได้อย่างง่ายดาย โดยมีวิศวกรภายในบริษัทถึง 2,000 คนที่สามารถเข้าถึงข้อมูลดังกล่าวได้
บทลงโทษทางกฎหมาย
หลังจากการสอบสวนเป็นเวลา 5 ปี โดยคณะกรรมการคุ้มครองข้อมูลไอร์แลนด์ (DPC) มีการตัดสินว่า Meta ถูกปรับเป็นเงิน 101.5 ล้านดอลลาร์ ภายใต้กฎระเบียบ General Data Protection Regulation (GDPR) ของยุโรป การเก็บรหัสผ่านในรูปแบบ plain text ถูกมองว่ามีความเสี่ยงสูง เนื่องจากสามารถถูกนำไปใช้ในการเข้าถึงบัญชีผู้ใช้ได้
ผลกระทบต่อผู้ใช้
ปัญหานี้น่าจะส่งผลกระทบโดยเฉพาะผู้ใช้นอกสหรัฐฯ ซึ่งรวมถึงผู้ใช้ Facebook Lite ที่ใช้บริการในพื้นที่ที่มีการเชื่อมต่ออินเทอร์เน็ตช้ากว่า นอกจากนี้ Meta ยังมีคดีอื่นที่กำลังอุทธรณ์เกี่ยวกับการละเมิด GDPR รวมถึงการโอนข้อมูลระหว่างสหภาพยุโรปและสหรัฐฯ ซึ่งถูกปรับไปแล้ว 1.3 พันล้านดอลลาร์ในปี 2023
การเก็บรหัสผ่านในรูปแบบ plain text เป็นการละเมิดมาตรฐานด้านความปลอดภัยที่สำคัญ ซึ่งแสดงให้เห็นถึงความสำคัญของการใช้การเข้ารหัสหรือการแฮชเพื่อปกป้องข้อมูลที่ละเอียดอ่อน การใช้เทคนิคเช่น bcrypt หรือ Argon2 สำหรับการแฮชรหัสผ่านจึงเป็นสิ่งจำเป็นในการป้องกันไม่ให้เกิดเหตุการณ์เช่นนี้ขึ้นอีกในอนาคต
ที่มา – appleinsider
