Meta é multada em € 91 milhões pela Irlanda por violação massiva de senha

A Meta, empresa controladora do Facebook, foi multada em € 91 milhões pela Comissão de Proteção de Dados da Irlanda (DPC) por uma grave violação de segurança de senha que afetou 36 milhões de usuários do Facebook e do Instagram no Espaço Econômico Europeu (EEE).

A violação, descoberta no início de 2019, envolveu o Meta armazenando inadvertidamente as senhas dos usuários em texto simples, expondo-os a riscos de segurança significativos.

A multa destaca a falha da Meta em implementar medidas de segurança adequadas e seu atraso em relatar a violação aos reguladores.

Meta é multada pesadamente por grandes falhas de segurança

Em abril de 2019, a Meta notificou o DPC irlandês de que havia "armazenado inadvertidamente certas senhas de usuários de mídia social" em um formato desprotegido e legível em seus sistemas internos.

Essa descoberta motivou uma investigação do DPC, que concluiu que as práticas de armazenamento da Meta representavam um risco significativo à segurança dos usuários.

As senhas, armazenadas em texto simples, deixaram milhões de contas vulneráveis ao possível uso indevido por partes não autorizadas que poderiam acessar informações confidenciais.

A investigação do DPC revelou que 36 milhões de usuários no EEE, que inclui a UE, Islândia, Liechtenstein e Noruega, foram afetados pela violação.

Embora a Meta tenha declarado que não havia evidências de que as senhas haviam sido acessadas ou usadas indevidamente, o regulador considerou as ações da empresa insuficientes para proteger os dados dos usuários e emitiu uma multa pesada em resposta à violação.

Atraso da Meta aumenta multa

Outro fator crítico na decisão do DPC foi o atraso na comunicação da violação pela Meta.

Embora a empresa tenha descoberto o problema em janeiro de 2019, ela não alertou o regulador até março daquele ano, deixando as informações pessoais de milhões de usuários expostas por meses sem ação.

O DPC foi rápido em apontar que o atraso na comunicação era uma violação dos regulamentos do GDPR, que exigem que as empresas notifiquem as autoridades dentro de 72 horas após a identificação de tais incidentes.

Esse atraso apenas agravou a gravidade da violação, pois deu aos agentes mal-intencionados mais tempo para potencialmente explorar a vulnerabilidade.

O DPC citou a forma como a Meta lidou com a situação como inadequada, observando que a falta de medidas de segurança apropriadas da gigante das mídias sociais contribuiu diretamente para a exposição dos dados.

Reação de Meta e próximos passos

Em sua defesa, a Meta explicou que o problema com a senha ocorreu devido a um erro interno e que o problema foi resolvido imediatamente após sua descoberta.

A empresa alega que o erro afetou apenas um número limitado de usuários e notificou proativamente o DPC assim que o problema foi identificado.

A Meta afirmou ainda que não havia evidências que sugerissem que as senhas foram acessadas ou usadas para fins maliciosos.

Apesar dessas garantias, o DPC enfatizou que armazenar senhas em texto simples é uma violação grave dos princípios básicos de segurança cibernética.

A comissão destacou que as melhores práticas determinam que dados confidenciais, incluindo senhas, devem sempre ser armazenados em um formato criptografado para evitar uso indevido em caso de acesso não autorizado.

Implicações financeiras e de reputação para a Meta

A multa de € 91 milhões representa uma penalidade financeira significativa para a Meta, mas os danos à reputação podem ser ainda mais custosos.

Com o crescente escrutínio sobre como os gigantes da tecnologia lidam com dados pessoais, principalmente à luz das regulamentações do GDPR, o incidente aumenta a crescente lista de desafios que a Meta enfrenta na UE.

A violação serve como um lembrete claro da importância de medidas robustas de segurança cibernética, especialmente quando se trata de lidar com informações confidenciais do usuário.

Esta última multa se soma a uma série de ações regulatórias tomadas contra a Meta pelas autoridades europeias.

Com a vasta base de usuários e a influência substancial da empresa, incidentes como esses alimentam ainda mais as preocupações sobre como ela lida com os dados pessoais confiados a ela por milhões de pessoas no mundo todo.

Supervisão regulatória reforçada

A decisão do DPC de impor uma multa significativa à Meta envia uma mensagem clara a outras empresas que operam na UE: o não cumprimento dos padrões do GDPR resultará em consequências sérias.

Além da penalidade financeira, a forma como a Meta lidou com a violação ressalta a necessidade de maior supervisão regulatória no setor de tecnologia.

À medida que ataques cibernéticos e violações de dados se tornam cada vez mais comuns, reguladores ao redor do mundo estão intensificando esforços para responsabilizar empresas por falhas de segurança e transparência.

Para a Meta, a multa de € 91 milhões pode ser apenas o começo, já que a empresa continua enfrentando escrutínio sobre suas práticas de privacidade de dados em diversas jurisdições.