2024/09/28

Meta leva multa de €91M por passwords em plain text

Se pensavam que se poderia assumir que uma empresa tecnológica implicitamente seguiria as boas práticas de segurança de dados, pensem novamente.

A Comissão de Proteção de Dados da Irlanda (DPC) multou a Meta em €91 milhões por armazenar passwords de centenas de milhões de utilizadores em texto simples, sem qualquer tipo de encriptação. O incidente ocorreu em 2019, quando passwords de utilizadores foram guardadas nos sistemas internos da empresa sem proteção criptográfica. Embora a Meta tenha revelado o problema na altura e notificado a DPC, foi lançada uma investigação sobre a gestão de dados sensíveis por parte da empresa.

No seu relatório de 2019, a Meta admitiu que, durante uma verificação de segurança, descobriu que "algumas passwords" de utilizadores estavam armazenadas num formato legível. Embora a empresa não tenha especificado o número exacto de utilizadores afectados, estimou que notificou "algumas" centenas de milhões de utilizadores do Facebook Lite, dezenas de milhões de utilizadores do Facebook e milhões de utilizadores do Instagram.

Mesmo com a atenuante de que as passwords não ficaram acessíveis a partes externas, e que não houve indícios de uso indevido, isso não evitou a aplicação desta multa por violações ao Regulamento Geral de Proteção de Dados (GDPR) como a falta de notificação atempada à DPC, o registo inadequado da falha, e a ausência de medidas de segurança suficientes, como a encriptação dos dados. Apesar de a Meta ter informado voluntariamente a DPC sobre a falha, a comissão aplicou a multa de €91 milhões. Resta esperar que isto possa servir de exemplo e lembrete da responsabilidade que as empresas deverão ter ao lidar com dados dos seus utilizadores / clientes.

Sem comentários:

Enviar um comentário (problemas a comentar?)