A Comissão de Proteção de Dados da Irlanda (DPC) multou a Meta Platforms Ireland Limited (MPIL) em € 91 milhões por armazenar senhas de centenas de milhões de usuários em texto simples.
A violação, que ocorreu em 2019, foi publicamente divulgada pela Meta, o que levou a uma investigação pela DPC sobre o manuseio de dados confidenciais de usuários pela Meta.
De acordo com o anúncio da DPC, “Em março de 2019, a MPIL notificou a DPC de que havia armazenado inadvertidamente certas senhas de usuários de mídia social em ‘texto simples’ em seus sistemas internos, sem proteção criptográfica ou criptografia.”
A divulgação da Meta em 2019 revelou que uma revisão de segurança de rotina havia descoberto “algumas senhas de usuários” armazenadas em um formato legível em seus sistemas. Embora a empresa não tenha fornecido números específicos, ela antecipou a notificação de “centenas de milhões de usuários do Facebook Lite, dezenas de milhões de usuários do Facebook” e milhões de usuários do Instagram.
A Meta declarou que nenhuma parte externa teve acesso às senhas, e nenhuma evidência de uso indevido ou acesso não autorizado foi encontrada durante a revisão.
Armazenar senhas de usuários sem medidas de segurança adequadas, como criptografia e controle de acesso, viola vários artigos do Regulamento Geral de Proteção de Dados (GDPR), que exigem que os controladores de dados garantam a segurança dos dados pessoais:
- Artigo 33(1) – Notificação de uma violação de dados pessoais: A Meta falhou em notificar prontamente o DPC sobre o armazenamento em texto simples de senhas de usuários, constituindo uma violação de dados pessoais.
- Artigo 33(5) – Documentação de uma violação de dados pessoais: A Meta não manteve a documentação adequada do incidente, violando os requisitos para manutenção de registros sobre violações de dados pessoais.
- Artigo 5(1)(f) – Integridade e Confidencialidade: A Meta não implementou medidas de segurança adequadas, deixando as senhas armazenadas sem criptografia.
- Artigo 32(1) – Segurança do Processamento: A Meta não se aplica medidas técnicas e organizacionais suficientes para proteger as senhas, como criptografia, para garantir a confidencialidade dos dados e impedir acesso não autorizado.
Levando em consideração a notificação voluntária da Meta ao DPC irlandês, o órgão regulador emitiu uma reprimenda oficial juntamente com a multa de € 91 milhões.
O DPC divulgará uma decisão completa sobre o incidente em uma data posterior, detalhando as conclusões de sua investigação.
Fonte: BleepingComputer, Bill Toulas
