A Comissão Irlandesa de Proteção de Dados (DPC) multou a Meta em 91 milhões de euros (cerca de 101,5 milhões de dólares) por não proteger as palavras-passe dos utilizadores. Esta multa é uma resposta a um incidente ocorrido em 2019, onde milhões de passwords do Facebook e Instagram foram armazenadas em claro, o que as tornou facilmente acessíveis sem encriptação.
A DPC afirma que este incidente violou várias disposições do RGPD. O que é pior, o Facebook nem sequer notificou os seus utilizadores sobre esta violação e não implementou a segurança até e depois da descoberta da violação.
A coima da Meta inclui a violação dos seguintes artigos do RGPD:
- artigo 33.º, n.º 1, do RGPD, uma vez que a MPIL não notificou a DPC de uma violação de dados pessoais relativa ao armazenamento de palavras-passe de utilizadores em claro;
- artigo 33.º, n.º 5, do RGPD, uma vez que a MPIL não documentou violações de dados pessoais relativas ao armazenamento de palavras-passe de utilizadores em claro;
- artigo 5.º, n.º 1, alínea f), do RGPD, uma vez que a MPIL não utilizou medidas técnicas ou organizacionais adequadas para garantir a segurança adequada das palavras-passe dos utilizadores contra o processamento não autorizado; e
- artigo 32.º, n.º 1, do RGPD, porque a MPIL não implementou medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo a capacidade de garantir a confidencialidade contínua das palavras-passe dos utilizadores.
O incidente ocorreu quando as passwords acabaram em partes dos sistemas da Meta que não foram realmente concebidas para a gestão de palavras-passe. Aconteceu como resultado de registos de erros ou falhas.
Isto significava que estas palavras-passe estavam acessíveis a mais de 20 mil funcionários da Meta. As palavras-passe foram armazenadas em claro de 2012 a 2019, quando uma revisão de segurança de rotina descobriu que estavam a ser armazenadas num formato legível.
O procedimento padrão de armazenamento de palavras-passe do Meta inclui uma técnica de hashing chamada “script”, que envolve a conversão da palavra-passe real numa sequência aleatória de caracteres que não pode ser facilmente revertida.
Este método protege as contas dos utilizadores, garantindo que mesmo que os dados sejam acedidos, as palavras-passe originais permanecem seguras. No entanto, as passwords ainda acabaram noutros sistemas do Meta. A Meta reconheceu o incidente em 2019 e disse que não havia provas de qualquer acesso externo ou abuso destes dados.