A Comissão Irlandesa de Protecção de Dados (DPC) multou a Meta Platforms Ireland Limited (MPIL), a empresa que gere as plataformas da Meta em território europeu, em 91 milhões de euros por não proteger as palavras-passe dos utilizadores. Esta multa é a resposta a um incidente ocorrido em 2019, quando se descobriu que milhões de palavras-passe do Facebook e do Instagram estavam armazenadas em texto simples (ou seja, sem encriptação), o que fazia com que estivessem facilmente acessíveis.
A DPC afirma que este incidente violou várias disposições do RGPD. Pior ainda, o Facebook nem sequer notificou os seus utilizadores sobre esta violação e não implementou medidas de segurança até depois de a violação ter sido descoberta.
A multa da Meta inclui a violação dos seguintes artigos do RGPD:
- Artigo 33(1) do RGPD, uma vez que a MPIL não notificou a DPC de uma violação de dados pessoais relativa ao armazenamento de palavras-passe de utilizadores em texto simples;
- Artigo 33(5) do RGPD, uma vez que a MPIL não documentou as violações de dados pessoais relativas ao armazenamento de palavras-passe de utilizadores em texto simples;
- Artigo 5(1)(f) do RGPD, uma vez que a MPIL não utilizou medidas técnicas ou organizativas adequadas para garantir a segurança adequada das palavras-passe dos utilizadores contra o tratamento não autorizado; e
- Artigo 32(1) do RGPD, porque a MPIL não implementou medidas técnicas e organizativas adequadas para garantir um nível de segurança adequado ao risco, incluindo a capacidade de garantir a confidencialidade contínua das palavras-passe dos utilizadores.
O incidente ocorreu quando as palavras-passe acabaram em partes dos sistemas da Meta que não foram realmente concebidas para a gestão de palavras-passe, possivelmente como resultado de registos de erros ou falhas. Isto significava que essas palavras-passe estavam acessíveis a mais de 20.000 funcionários da Meta. As palavras-passe foram armazenadas em texto simples de 2012 até 2019, quando uma auditoria de segurança de rotina descobriu que estavam a ser armazenadas num formato legível.
O Comissário Adjunto da DPC, Graham Doyle, disse no comunicado de imprensa:
É amplamente aceite que as palavras-passe dos utilizadores não devem ser armazenadas em texto simples, tendo em conta os riscos de abuso que decorrem do acesso a tais dados por terceiros. Deve ter-se em mente que as palavras-passe em causa neste caso são particularmente sensíveis, uma vez que permitiriam o acesso às contas de redes sociais dos utilizadores.
O procedimento padrão da Meta para armazenar palavras-passe inclui uma técnica de hashing chamada “script”, que envolve a conversão da palavra-passe real numa cadeia aleatória de caracteres que não pode ser facilmente revertida. Este método protege as contas dos utilizadores, garantindo que, mesmo que os dados sejam roubados ou acedidos por terceiros, as palavras-passe originais permanecem seguras.
A Meta reconheceu o incidente em 2019 e disse que não havia provas de qualquer acesso externo ou abuso destes dados.