La Comisión Irlandesa de Protección de Datos (DPC) ha impuesto a Meta una multa de 101,5 millones de dólares (91 millones de euros) después de concluir una investigación sobre una violación de seguridad en 2019, en la que la empresa almacenó por error las contraseñas de los usuarios en texto plano. El anuncio original de Meta solo hablaba de cómo encontró algunas contraseñas de usuario almacenadas en texto plano en sus servidores en enero de ese año. Pero un mes después, actualizó su anuncio para revelar que millones de contraseñas de Instagram también estaban almacenadas en un formato fácilmente legible.
Si bien Meta no dijo cuántas cuentas se vieron afectadas, un empleado senior dijo Krebs sobre la seguridad En aquel entonces el incidente involucró hasta 600 millones de contraseñas. Algunas de las contraseñas se habían almacenado en un formato fácilmente legible en los servidores de la compañía desde 2012. También se informó que más de 20.000 empleados de Facebook podían buscarlas, aunque el DPC aclaró en su decisión que al menos no estaban disponibles para partes externas.
La DPC descubrió que Meta violó varias reglas del RGPD relacionadas con la infracción. Determinó que la empresa no “notificó a la DPC de una violación de datos personales relacionada con el almacenamiento de contraseñas de usuarios en texto sin formato” sin demoras indebidas y no “documentó las violaciones de datos personales relacionadas con el almacenamiento de contraseñas de usuarios en texto sin formato”. También dijo que Meta violó el RGPD al no utilizar medidas técnicas apropiadas para garantizar la seguridad de las contraseñas de los usuarios contra el procesamiento no autorizado.
“Es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Hay que tener en cuenta que las contraseñas objeto de consideración en este caso son particularmente sensibles. ya que permitirían el acceso a las cuentas de redes sociales de los usuarios”, dijo en un comunicado el comisionado adjunto del DPC, Graham Doyle.
Además de la sanción, la DPC también ha impuesto a la empresa una amonestación. Es posible que sepamos más sobre lo que eso significa exactamente para Meta cuando la comisión publique su decisión final completa y otra información relacionada en el futuro.
