A Comissão de Proteção de Dados da Irlanda (DPC) multou a Meta em 91 milhões de euros devido a uma falha de segurança em março de 2019. Nesta ocasião, a Meta revelou ter armazenado palavras-passe de utilizadores em texto simples, sem encriptação, violando abertamente as diretrizes de segurança. A falha afetou utilizadores do Facebook e, mais tarde, foi revelado que milhões de palavras-passe do Instagram estavam também armazenadas da mesma forma.
No que consistem estas acusações
A investigação, que teve início em abril de 2019, concluiu que a Meta violou quatro artigos do Regulamento Geral de Proteção de Dados (GDRP) da União Europeia. Entre as infrações cometidas, destacou-se a falha em notificar de imediato as autoridades competentes sobre o incidente, a falta de registos detalhados das violações e a ausência de medidas técnicas adequadas para garantir a proteção dos dados sensíveis dos utilizadores. O armazenamento de palavras-passe em texto simples representa uma vulnerabilidade grave, uma vez que qualquer pessoa com acesso aos sistemas poderia ler essas informações sem qualquer restrição.
De acordo com o relatório de "Krebs on Security", algumas dessas palavras-passe armazenadas de forma inadequada remontam a 2012, e engenheiros e desenvolvedores da Meta fizeram aproximadamente nove milhões de consultas internas a elementos que continham essas palavras-passe em texto simples. Embora a Meta tenha garantido que não há provas de que as palavras-passe tenham sido acedidas ou utilizadas de forma indevida, o simples facto de estarem armazenadas de maneira tão vulnerável já constitui uma violação significativa das normas de segurança e privacidade.
A resposta da Meta
Pouco tempo depois, a empresa reconheceu também que milhões de palavras-passe de utilizadores do Instagram foram armazenadas de maneira semelhante, o que ampliou a dimensão da falha. A Meta afirmou ter notificado os utilizadores afetados e tomou medidas imediatas para corrigir o problema.
Graham Doyle, vice-comissário da DPC, salientou que o armazenamento de palavras-passe em texto simples é uma prática inaceitável, dada a sensibilidade dos dados e o risco de abuso. Ele sublinhou que, no caso em questão, o acesso a essas palavras-passe podia comprometer gravemente as contas pessoais dos utilizadores, resultando em potenciais violações de privacidade.
A Meta, por seu lado, afirmou que agiu prontamente para corrigir a falha, mas o DPC concluiu que as medidas não foram suficientes para evitar a aplicação da multa de 91 milhões de euros. Este incidente reforça a importância da proteção adequada dos dados, especialmente no contexto de redes sociais, onde os riscos de violações de privacidade podem ter consequências graves.
