Een Duitse aanbieder van een socialmediadienst heeft een boete van 20.000 euro opgelegd gekregen omdat na een datalek bleek dat de wachtwoorden ongecodeerd opgeslagen waren geweest.
Het bedrijf nam op 8 september contact op met de LfDI, de Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg, om een datalek te melden. Bij een aanval in juli, waren de persoonsgegevens van 330.000 gebruikers gestolen, waaronder wachtwoorden en e-mailadressen. Volgens Der Spiegel gaat het om het chatplatform Knuddels en werden 808.000 mailadressen en 1,8 miljoen gebruikersnamen ontvreemd. In totaal zou Knuddels 1,2 miljoen unieke gebruikers hebben.
Nadat Knuddels de details over de hack en zijn infrastructuur overhandigde, constateerde de databeschermingsautoriteit LfDI dat het platform de wachtwoorden van zijn gebruikers in klare tekst, dus ongecodeerd, had opgeslagen. Het bedrijf zou de wachtwoorden in platte tekst gebruiken voor een 'wachtwoordfilter' dat moest voorkomen dat deze in handen zouden komen van onbevoegden, schrijft de LfDI.
Door de wachtwoorden onveilig op te slaan, heeft het bedrijf volgens de autoriteit artikel 32, lid 1 van de AVG geschonden, dat stelt dat gegevensverwerkers passende technische maatregelen moeten nemen 'om een op het risico afgestemd beveiligingsniveau te waarborgen', waaronder via pseudonimisering en versleuteling van persoonsgegevens. Inmiddels zou de dienst maatregelen hebben genomen om zijn it-beveiligingsinfrastructuur op orde te brengen. Bij het bepalen van de hoogte van de boete is rekening gehouden met de totale kosten voor het bedrijf, die een niet nader genoemd bedrag van zes cijfers zou beslaan.