Akibat Hal Ini, Meta Dijatuhi Denda Lebih dari Rp1 Triliun

Techverse.asai - Komisi Perlindungan Data (DPC) Irlandia telah menjatuhkan denda sebesar €91 juta atau setara dengan Rp1,53 triliun kepada Meta setelah menyelesaikan penyelidikan atas pelanggaran keamanan pada 2019 silam.

DPC Irlandia membuka penyelidikan hukum atas insiden yang dimaksud pada April 2019 berdasarkan Peraturan Perlindungan Data Umum (GDPR) blok tersebut setelah Meta atau Facebook, sebagaimana perusahaan tersebut masih disebut saat itu, memberitahukan bahwa "ratusan juta" kata sandi pengguna telah disimpan dalam bentuk teks biasa di server mereka.

Meskipun Meta tidak menyebutkan berapa banyak jumlah akun yang terpengaruh atas hal tersebut, tapi seorang karyawan senior mengatakan kepada Krebs on Security pada saat itu bahwa insiden tersebut melibatkan hingga 600 juta kata sandi atau password.

Beberapa password yang telah disimpan dalam format yang mudah dibaca di server perusahaan sejak tahun 2012. Kata sandi tersebut juga dilaporkan dapat dicari oleh lebih dari 20 ribu karyawan Facebook, meskipun DPC Irlandia telah mengklarifikasi dalam keputusannya bahwa kata sandi itu setidaknya tidak tersedia untuk pihak eksternal.

Insiden keamanan tersebut merupakan masalah hukum di Uni Eropa lantaran GDPR mengharuskan data pribadi diamankan dengan tepat.

Setelah melakukan penyelidikan, DPC Irlandia menyimpulkan bahwa Meta gagal untuk memenuhi standar hukum blok tersebut karena kata sandinya tidak dilindungi dengan enkripsi. Hal itu menimbulkan risiko karena pihak ketiga berpotensi mengakses informasi sensitif milik orang yang tersimpan di akun media sosial mereka.

Regulator juga menemukan bahwa Meta telah melanggar aturan dengan tidak memberi tahu pelanggaran tersebut dalam jangka waktu yang ditentukan (peraturan tersebut secara umum menetapkan pelaporan pelanggaran harus dilakukan paling lambat 72 jam setelah mengetahuinya).

Selain itu, Meta juga gagal mendokumentasikan pelanggaran tersebut dengan benar.

Secara umum diterima bahwa password pengguna tidak boleh disimpan dalam bentuk teks biasa, mengingat risiko penyalahgunaan yang timbul dari orang yang mengakses data tersebut.

"Perlu diingat juga bahwa kata sandi yang menjadi subjek pertimbangan dalam kasus ini, sangat sensitif, karena akan memungkinkan akses ke akun media sosial pengguna," ungkap Wakil Komisaris DPC Irlandia Graham Doyle, mengatakan dalam sebuah pernyataan resminya kami sadur, Minggu (29/9/2024).

Merespons denda yang diberikan tersebut, juru bicara Meta Matthew Pollard menyatakan bahwa perusahaannya berusaha mengecilkan temuan tersebut dengan mengklaim bahwa mereka telah mengambil "tindakan segera" atas apa yang telah menjadi "kesalahan" dalam proses pengelolaan kata sandinya.

"Sebagai bagian dari tinjauan keamanan pada 2019, kami menemukan bahwa sebagian kata sandi pengguna FB (Facebook) dicatat sementara dalam format yang dapat dibaca dalam sistem data internal kami," ujarnya.

Menurut Matthew, Meta pun telah mengambil tindakan segera untuk memperbaiki kesalahan tersebut, dan tidak ada bukti bahwa kata sandi ini disalahgunakan atau diakses secara tidak benar. "Kami secara proaktif melaporkan masalah ini kepada regulator utama kami, DPC Irlandia, dan telah bekerja sama secara konstruktif dengan mereka selama penyelidikan ini," paparnya.

Meta juga telah mengumpulkan sebagian besar hukuman GDPR terbesar yang dijatuhkan kepada raksasa teknologi ini sehingga sanksi terbaru hanya menggarisbawahi skala masalahnya dengan kepatuhan privasi.

Hukuman tersebut jauh lebih berat daripada denda sebesar €17 juta yang dijatuhkan DPC kepada Meta pada Maret 2022 atas pelanggaran keamanan tahun 2018. Regulator Irlandia telah mengalami perubahan manajemen senior sejak saat itu.