La Comisión Irlandesa de Protección de Datos (DPC) ha multado a Meta con 91 millones de euros (101,56 millones de dólares) como parte de una investigación sobre una falla de seguridad en marzo de 2019, cuando la compañía reveló que había almacenado por error las contraseñas de los usuarios en texto plano en sus sistemas.
La investigación, iniciada por la DPC el mes siguiente, encontró que el gigante de las redes sociales violó cuatro artículos diferentes del Reglamento General de Protección de Datos (GDPR) de la Unión Europea.
Con ese fin, la DPC culpó a Meta por no notificar de inmediato a la DPC sobre la violación de datos, documentar las violaciones de datos personales relacionadas con el almacenamiento de contraseñas de usuarios en texto sin formato y no utilizar medidas técnicas adecuadas para garantizar la confidencialidad de las contraseñas de los usuarios.
Meta reveló originalmente que la transgresión de la privacidad llevó a la exposición de un subconjunto de contraseñas de Facebook de los usuarios en texto plano, aunque señaló que no había evidencia de que se hubiera accedido indebidamente o se hubiera abusado de ellas internamente.
Según Krebs on Security, algunas de estas contraseñas se remontan a 2012, y un empleado senior afirmó que “unos 2.000 ingenieros o desarrolladores realizaron aproximadamente nueve millones de consultas internas en busca de elementos de datos que contenían contraseñas de usuario en texto plano”.
Un mes después, la compañía reconoció que millones de contraseñas de Instagram también se almacenaron de manera similar y que está notificando a los usuarios afectados.
“Está ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos”, dijo Graham Doyle, comisionado adjunto del DPC, en un comunicado de prensa.
“Hay que tener en cuenta que las contraseñas, objeto de consideración en este caso, son particularmente sensibles, ya que permitirían el acceso a las cuentas de las redes sociales de los usuarios”.
En un comunicado compartido con Associated Press, Meta dijo que tomó “medidas inmediatas” para corregir el error y que “marcó este problema de manera proactiva” al DPC.