Meta didenda $102 juta karena menyimpan kata sandi dalam bentuk teks biasa

 (engadget.com)
19 poin oleh GN⁺ 2024-09-30 | 7 komentar | Bagikan ke WhatsApp
  • Komisi Perlindungan Data Irlandia (DPC) menjatuhkan denda sebesar $101,5 juta (€91 juta) kepada Meta setelah menyelesaikan penyelidikan atas insiden pelanggaran keamanan tahun 2019
  • Meta awalnya mengumumkan pada Januari 2019 bahwa sebagian kata sandi pengguna tersimpan dalam bentuk teks biasa di server internalnya
  • Sebulan kemudian, Meta memperbarui informasinya dengan menyatakan bahwa jutaan kata sandi Instagram juga disimpan dalam format yang mudah dibaca
  • Meta tidak mengungkap berapa banyak akun yang terdampak, tetapi saat itu seorang pejabat senior mengatakan kepada Krebs on Security bahwa hingga 600 juta kata sandi mungkin terkait
  • Sebagian kata sandi telah disimpan dalam bentuk teks biasa di server perusahaan sejak 2012, dan dapat dicari oleh lebih dari 20.000 karyawan Facebook
  • DPC mengonfirmasi bahwa kata sandi tersebut tidak diberikan kepada pihak eksternal
  • DPC menilai Meta telah melanggar beberapa aturan GDPR
    • Tidak segera memberi tahu DPC tentang pelanggaran data pribadi terkait penyimpanan kata sandi pengguna dalam bentuk teks biasa
    • Tidak mendokumentasikan pelanggaran data pribadi terkait penyimpanan kata sandi pengguna dalam bentuk teks biasa
    • Tidak menggunakan langkah teknis yang memadai untuk menjamin keamanan terhadap pemrosesan tanpa izin atas kata sandi pengguna
  • Wakil Komisaris DPC Graham Doyle menyatakan bahwa "kata sandi pengguna tidak boleh disimpan dalam bentuk teks biasa, dengan mempertimbangkan bahwa ini adalah data sensitif yang secara khusus dapat memungkinkan akses ke akun media sosial"
  • Selain denda, DPC juga memberikan teguran kepada Meta, dan dampak lebih lanjut terhadap Meta kemungkinan akan lebih jelas saat komisi mengumumkan keputusan finalnya

Opini GN⁺

  • Kasus ini akan menjadi peringatan bagi praktik perlindungan data pribadi di perusahaan teknologi besar. Ini kembali mengingatkan betapa pentingnya mengelola data pengguna dengan aman
  • Meta perlu menjadikan insiden ini sebagai momentum untuk meninjau dan memperbaiki sistem keamanannya secara besar-besaran. Selain langkah teknis seperti enkripsi, upaya tingkat organisasi seperti pelatihan karyawan dan audit internal juga tampak diperlukan
  • Besaran denda atas pelanggaran GDPR terus meningkat. Perusahaan perlu menyadari bahwa kepatuhan ketat terhadap GDPR maupun undang-undang perlindungan data pribadi di berbagai negara juga penting dari sudut pandang manajemen risiko
  • Sementara itu, tidak ada indikasi yang terkonfirmasi bahwa celah keamanan yang terungkap dalam kasus ini benar-benar dieksploitasi. Meski demikian, Meta tetap dikenai denda besar karena masalah ini dinilai serius dan tingkat pelanggaran terhadap aturan terkait dianggap tinggi
  • Terkait pengelolaan kata sandi, selain tidak menyimpan dalam teks biasa, diperlukan juga berbagai langkah keamanan lain seperti penggunaan salt/hash dan penerapan kebijakan kata sandi yang kuat. Perusahaan perlu menyiapkan kebijakan pengelolaan kata sandi yang sistematis di tingkat seluruh organisasi dan menerapkannya secara ketat

Bacaan terkait

7 komentar

 
princox 2024-09-30

Wow... ini cukup mengejutkan.
 
savvykang 2024-09-30

Facebook benar-benar bertindak seperti Facebook.
 
wedding 2024-09-30

Di FAANG ada penyimpanan kata sandi dalam bentuk plaintext... ini benar-benar berita yang tidak masuk akal..
 
GN⁺ 2024-09-30
Opini Hacker News

  • Meta sebenarnya tidak berniat menyimpan kata sandi dalam bentuk plaintext, tetapi ada bug yang menyebabkan kata sandi plaintext tercatat di log

    • Sejak 2012, 600 juta kata sandi disimpan dalam format yang mudah dibaca, dan lebih dari 20.000 karyawan Facebook dapat mengaksesnya
    • Ini bukan sekadar kesalahan kecil, melainkan masalah yang serius

  • Denda saat ini sebesar 0,1% dari pendapatan

    • Perusahaan dengan pendapatan tahunan 1 miliar dolar AS harus membayar denda 100 ribu dolar AS
    • Ini tidak memberikan insentif untuk menjaga keamanan dengan benar
    • Jika debugging lewat log meningkatkan efisiensi lebih dari 0,1%, ini justru menjadi transaksi yang menguntungkan bagi perusahaan

  • Dalam wawancara Meta, pertanyaan tentang hashing dan serangan rainbow table mungkin semacam permintaan tolong

  • Denda 102 juta dolar AS terdengar besar, tetapi per kata sandi plaintext yang bocor, dendanya bahkan kurang dari 1 dolar AS

    • Denda ini dijatuhkan karena tidak memberi tahu otoritas tepat waktu
    • Penilaian terhadap pengguna yang terdampak terasa menarik

  • Insiden kebocoran data 2019 terjadi pada sistem yang dibuat pada 2012

    • GDPR diperkenalkan pada 2018, dan Meta didenda karena tidak mengungkap kebocoran data 2019 dengan semestinya

  • Sulit memahami bagaimana perusahaan sebesar ini bisa melakukan kesalahan seperti itu

    • Hashing dan salting kata sandi adalah prosedur keamanan dasar
    • Sulit dibayangkan perusahaan besar seperti Meta/Facebook bisa melakukan kesalahan seperti ini

  • Semoga sistem tim autentikasi tidak mencatat payload yang berisi kata sandi ke log

    • Kemungkinan ini terjadi pada komponen infrastruktur yang dimiliki tim lain

  • Diskusi duplikat: tautan
 
darkhi 2024-10-01

Sepertinya itu bukan sengaja disimpan sebagai teks polos saat disimpan di server, melainkan ada kasus kata sandi teks polos yang dimasukkan ikut tersimpan dalam proses pencatatan log.
Baik di dalam maupun luar negeri, kasus seperti ini diam-diam cukup sering ada...(misalnya kata sandi tersimpan di file log...)
 
2024-09-30
[Komentar ini disembunyikan.]