La Commissione irlandese per la protezione dei dati (DPC) ha inflitto a Meta una multa di 91 milioni di € dopo aver concluso un’indagine su una violazione della sicurezza nel 2019, in cui l’azienda ha erroneamente archiviato le password degli utenti senza alcun tipo di protezione crittografica. L’annuncio originale di Meta parlava solo di come aveva trovato alcune password utente archiviate in testo normale sui suoi server a gennaio di quell’anno. Ma un mese dopo, ha aggiornato il suo annuncio per rivelare che milioni di password di Instagram erano state archiviate anche in un formato facilmente leggibile.
La multa è solo un granello di sabbia nelle entrate annuali di Meta
Sebbene Meta non abbia detto quanti account fossero stati interessati, un dipendente senior ha detto a Krebs on Security che l’incidente ha coinvolto fino a 600 milioni di password. Alcune delle password erano state archiviate in un formato non crittografato nei server dell’azienda dal 2012. Erano anche ricercabili da oltre 20.000 dipendenti di Facebook, sebbene la DPC abbia chiarito nella sua decisione che almeno non erano state rese disponibili a parti esterne.
La DPC ha scoperto che Meta ha violato diverse regole del GDPR relative alla violazione. Ha stabilito che la società non è riuscita a “notificare al DPC una violazione dei dati personali relativa all’archiviazione delle password utente in testo normale” senza indebito ritardo e non è riuscita a “documentare le violazioni dei dati personali relative all’archiviazione delle password utente in testo normale“. Ha anche affermato che Meta ha violato il GDPR non utilizzando misure tecniche appropriate per garantire la sicurezza delle password degli utenti contro l’elaborazione non autorizzata.
“È ampiamente accettato che le password utente non debbano essere archiviate in testo normale, considerando i rischi di abuso che derivano dalle persone che accedono a tali dati. Bisogna tenere presente che le password oggetto di considerazione in questo caso sono particolarmente sensibili, in quanto consentirebbero l’accesso agli account dei social media degli utenti“, ha affermato il vice commissario del DPC, Graham Doyle, in una dichiarazione.
Il DPC ha anche impartito alla società un rimprovero oltre alla sanzione. Potremmo saperne di più su cosa ciò significhi esattamente per Meta quando la commissione pubblicherà la sua decisione finale completa e altre informazioni correlate in futuro.
Ricordiamo che questa multa fa seguito a quella da 1,2 miliardi di euro inflitta dalla Commissione Europea a Meta per il trasferimento dei dati dei cittadini europei negli USA.
