Meta Multada em €91 Milhões por Armazenar Senhas do Facebook e Instagram em Texto Simples

A Comissão de Proteção de Dados da Irlanda (DPC) multou a Meta Platforms Ireland Limited (MPIL) em €91 milhões ($100 milhões) por armazenar inadvertidamente centenas de milhões de senhas de usuários internamente em texto simples.

Ela também emitiu uma reprimenda à empresa sobre o assunto.

Em março de 2019, a Meta notificou a DPC que havia armazenado incorretamente certas senhas de usuários do Facebook em texto simples em seus sistemas internos, ou seja, sem proteção criptográfica ou criptografia. Ela também reconheceu publicamente o incidente na época.

“Como parte de uma revisão de segurança de rotina em janeiro, descobrimos que algumas senhas de usuários estavam sendo armazenadas em um formato legível dentro de nossos sistemas de armazenamento de dados internos. Isso chamou nossa atenção porque nossos sistemas de login são projetados para mascarar senhas usando técnicas que as tornam ilegíveis”, divulgou a Meta em um comunicado à imprensa em março de 2019.

Embora a empresa não tenha revelado quantos usuários foram impactados pelo problema, estimou que notificaria “centenas de milhões de usuários do Facebook Lite, dezenas de milhões de outros usuários do Facebook” e “milhões de usuários do Instagram”.

Na época, a Meta disse que não encontrou evidências de que as senhas foram disponibilizadas a partes externas e que não foram abusadas ou acessadas de forma inadequada internamente.

Após a divulgação do incidente pela Meta, a DPC investigou as práticas de armazenamento de senhas da empresa em abril de 2019 para avaliar a conformidade da MPIL com o Regulamento Geral de Proteção de Dados da União Europeia (GDPR).

Em particular, o gigante da tecnologia infringiu quatro artigos diferentes do GDPR, que incluem a falha em notificar a DPC sobre as violações de dados pessoais, a documentação das violações de dados pessoais em relação ao armazenamento de senhas de usuários em texto simples, a falha em usar medidas técnicas ou organizacionais apropriadas para proteger os dados de senhas dos usuários contra processamento não autorizado e a utilização de medidas técnicas e organizacionais apropriadas para garantir a confidencialidade contínua das senhas dos usuários.

“É amplamente aceito que as senhas dos usuários não devem ser armazenadas em ‘texto simples’, considerando os riscos de abuso que surgem de pessoas acessando tais dados. Deve-se ter em mente que as senhas em questão neste caso são particularmente sensíveis, pois permitiriam o acesso às contas de mídia social dos usuários”, disse Graham Doyle, Comissário Adjunto da DPC, em um comunicado.

A DPC também afirmou em um comunicado à imprensa: “O GDPR exige que os controladores de dados implementem medidas de segurança apropriadas ao processar dados pessoais, levando em conta fatores como os riscos para os usuários do serviço e a natureza do processamento de dados. Para manter a segurança, os controladores de dados devem avaliar os riscos inerentes ao processamento e implementar medidas para mitigar esses riscos.”

Em resposta às violações do GDPR mencionadas, a DPC impôs uma multa de €91 milhões ($100 milhões) à Meta e uma reprimenda de acordo com o Artigo 58(2)(b) do GDPR. A agência publicará as informações completas e mais informações relacionadas ao incidente em devido tempo.

Reagindo à multa da DPC, a Meta disse em um comunicado compartilhado com a Associated Press: “Tomamos medidas imediatas para corrigir esse erro, e não há evidências de que essas senhas foram abusadas ou acessadas de forma inadequada. Nós sinalizamos proativamente esse problema ao nosso regulador principal, a Comissão de Proteção de Dados da Irlanda, e nos envolvemos de forma construtiva com eles ao longo desta investigação.”