Meta multata di 91 milioni di euro per aver memorizzato le password di Facebook e Instagram in chiaro

La Commissione irlandese per la protezione dei dati (DPC) ha multato Meta Platforms Ireland Limited (MPIL) di 91 milioni di euro (100 milioni di dollari) per aver memorizzato involontariamente centinaia di milioni di password degli utenti internamente in chiaro.

Ha anche emesso un richiamo all’azienda riguardo a questa questione.

Nel marzo 2019, Meta ha informato la DPC di aver memorizzato in modo errato alcune password degli utenti di Facebook in chiaro sui propri sistemi interni, cioè senza protezione crittografica o crittografia. Ha anche riconosciuto pubblicamente l’incidente all’epoca.

“Come parte di una revisione di sicurezza di routine a gennaio, abbiamo scoperto che alcune password degli utenti venivano memorizzate in un formato leggibile all’interno dei nostri sistemi di archiviazione dati interni. Questo ha attirato la nostra attenzione perché i nostri sistemi di accesso sono progettati per mascherare le password utilizzando tecniche che le rendono illeggibili,” ha rivelato Meta in un comunicato stampa nel marzo 2019.

Sebbene l’azienda non abbia rivelato quanti utenti siano stati colpiti dal problema, ha stimato che avrebbe notificato “centinaia di milioni di utenti di Facebook Lite, decine di milioni di altri utenti di Facebook” e “milioni di utenti di Instagram.”

All’epoca, Meta ha dichiarato di non aver trovato prove che le password fossero state rese disponibili a parti esterne e che non fossero state abusate o accessibili in modo improprio internamente.

Dopo la divulgazione dell’incidente da parte di Meta, la DPC ha indagato sulle pratiche di memorizzazione delle password dell’azienda nell’aprile 2019 per valutare la conformità di MPIL con il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea.

In particolare, il gigante tecnologico aveva violato quattro articoli diversi del GDPR, che includono il mancato avviso alla DPC delle violazioni dei dati personali, la documentazione delle violazioni dei dati personali riguardanti la memorizzazione delle password degli utenti in chiaro, il mancato utilizzo di misure tecniche o organizzative appropriate per proteggere i dati delle password degli utenti contro l’elaborazione non autorizzata e l’utilizzo di misure tecniche e organizzative appropriate per garantire la continua riservatezza delle password degli utenti.

“È ampiamente accettato che le password degli utenti non dovrebbero essere memorizzate in ‘chiaro’ considerando i rischi di abuso che derivano dall’accesso a tali dati. Deve essere tenuto presente che le password oggetto di considerazione in questo caso sono particolarmente sensibili, poiché consentirebbero l’accesso agli account dei social media degli utenti,” ha dichiarato Graham Doyle, Vice Commissario della DPC, in una dichiarazione.

La DPC ha anche affermato in un comunicato stampa: “Il GDPR richiede ai titolari del trattamento di implementare misure di sicurezza appropriate quando trattano dati personali, tenendo conto di fattori come i rischi per gli utenti del servizio e la natura del trattamento dei dati. Al fine di mantenere la sicurezza, i titolari del trattamento dovrebbero valutare i rischi intrinseci al trattamento e implementare misure per mitigare tali rischi.”

In risposta alle violazioni del GDPR sopra menzionate, la DPC ha imposto a Meta una multa di 91 milioni di euro (100 milioni di dollari) e un richiamo ai sensi dell’Articolo 58(2)(b) del GDPR. L’agenzia pubblicherà le informazioni complete e ulteriori dettagli relativi all’incidente a tempo debito.

Reagendo alla multa della DPC, Meta ha dichiarato in una nota condivisa con l’Associated Press: “Abbiamo preso immediatamente provvedimenti per correggere questo errore e non ci sono prove che queste password siano state abusate o accessibili in modo improprio. Abbiamo segnalato proattivamente questo problema al nostro principale regolatore, la Commissione irlandese per la protezione dei dati, e abbiamo collaborato in modo costruttivo con loro durante tutta questa indagine.”