Meta Multada em $101,5 milhões por Violação de Segurança de Senha

O principal regulador de privacidade da União Europeia multou a Meta em €91 milhões ($101.5 milhões) por medidas de segurança inadequadas em relação às senhas dos usuários.

Hoje, a Comissão Irlandesa de Proteção de Dados (DPC) anunciou seu veredito final em uma investigação envolvendo a Meta Platforms Ireland Limited (MPIL).

O anúncio informa que a investigação começou em abril de 2019, quando a MPIL relatou que havia armazenado erroneamente as senhas de certos usuários de mídias sociais em “texto puro”, o que significa que foram mantidas sem qualquer criptografia ou proteção criptográfica em seus sistemas internos.

Essa violação gerou preocupações significativas sobre a segurança dos dados do usuário e a conformidade com o Regulamento Geral de Proteção de Dados (GDPR).

O Comissário Adjunto Graham Doyle enfatizou a gravidade de armazenar senhas em texto puro, declarando no anúncio,

“É amplamente aceito que as senhas dos usuários não devem ser armazenadas em texto puro, considerando os riscos de abuso que surgem quando pessoas acessam esses dados.”

“Deve-se ter em mente que as senhas, objeto de consideração neste caso, são particularmente sensíveis, pois permitiriam o acesso às contas de mídia social dos usuários”, acrescentou ela.

Em junho de 2024, a DPC apresentou uma decisão preliminar sobre o caso para outras autoridades supervisoras interessadas em toda a União Europeia e Área Econômica Europeia.

Como não foram levantadas objeções contra o rascunho, a DPC procedeu para finalizar sua decisão. Em 26 de setembro, a DPC informou a MPIL que ela enfrentaria uma repreensão, juntamente com uma multa pesada de €91 milhões (aproximadamente $101,5 milhões) por sua negligência.

A DPC identificou várias violações da GDPR em suas conclusões. Especificamente, a MPIL foi citada por não notificar a DPC sobre a violação de dados pessoais relativa ao armazenamento não criptografado de senhas de usuários.

Além disso, a comissão observou que a MPIL não documentou as violações. Adicionalmente, a DPC constatou que a MPIL não implementou medidas técnicas ou organizacionais adequadas para proteger as senhas dos usuários de acessos não autorizados.

Por fim, a DPC acusa a MPIL de não implementar medidas de segurança adequadas para os riscos associados ao processamento de senhas.

De acordo com um porta-voz da Meta em um email para a Bloomberg, o problema foi descoberto durante uma revisão de segurança em 2019.

O porta-voz escreveu, “Tomamos medidas imediatas para corrigir este erro, e não há evidências de que essas senhas tenham sido abusadas ou acessadas de forma imprópria.”

“Nós sinalizamos proativamente essa questão para nosso regulador principal, a Comissão Irlandesa de Proteção de Dados, e dialogamos de maneira construtiva com eles durante todo esse inquérito”, afirmou a porta-voz.

Essa última multa aumenta a lista crescente de penalidades do GDPR da Meta, que já inclui várias das maiores multas já impostas a gigantes da tecnologia, conforme relatado por TechCrunch.

Isso destaca as lutas contínuas da empresa com a conformidade de privacidade e levanta questões sobre sua capacidade de proteger efetivamente os dados do usuário.