A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma multa de €91 milhões (US$101,56 milhões) à Meta como parte de uma investigação sobre uma falha de segurança em março de 2019, quando a empresa revelou que havia armazenado erroneamente as senhas dos usuários em texto simples (plaintext) em seus sistemas.
A investigação, iniciada pela DPC no mês seguinte, descobriu que o gigante das mídias sociais violou quatro diferentes artigos sob o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.
Com isso, a DPC culpou a Meta por não notificar prontamente a DPC sobre a violação de dados, não documentar as violações de dados pessoais referentes ao armazenamento de senhas de usuário em texto simples e não utilizar medidas técnicas apropriadas para garantir a confidencialidade das senhas dos usuários.
A Meta originalmente revelou que a transgressão de privacidade levou à exposição de um subconjunto de senhas de usuários do Facebook em texto simples, embora tenha observado que não havia evidências de que essas informações foram acessadas ou usadas indevidamente internamente.
Segundo a Krebs on Security, algumas dessas senhas datam de 2012, com um funcionário sênior declarando que "cerca de 2.000 engenheiros ou desenvolvedores fizeram aproximadamente nove milhões de consultas internas para elementos de dados que continham senhas de usuários em texto simples."
Um mês depois, a empresa reconheceu que milhões de senhas do Instagram também foram armazenadas de maneira semelhante, e que está notificando os usuários afetados.
"É amplamente aceito que senhas de usuários não devem ser armazenadas em texto simples, considerando os riscos de abuso que surgem quando tais dados são acessados por terceiros," disse Graham Doyle, vice-comissário na DPC, em uma declaração à imprensa.
Deve-se ter em mente que as senhas, objeto de consideração neste caso, são particularmente sensíveis, pois permitiriam acesso às contas de mídias sociais dos usuários.
Em uma declaração compartilhada com a Associated Press, a Meta disse que tomou "ação imediata" para corrigir o erro, e que "proativamente sinalizou essa questão" para a DPC.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...