La Data Protection Commission (DPC) dell’Irlanda ha inflitto una multa di 91 milioni di euro a Meta per aver conservato in chiaro (senza crittografia) le password degli utenti di Facebook e Instagram dal 2012 al 2019. Il fatto era stato svelato oltre cinque anni fa da un dipendente al noto giornalista Brian Krebs.
Violazioni multiple del GDPR
Dopo la pubblicazione dell’incidente sul sito KrebsOnSecurity, Meta (all’epoca si chiamava ancora Facebook) aveva confermato il salvataggio in formato leggibile delle password di alcuni utenti di Facebook e Instagram. L’azienda ha successivamente comunicato che il numero di utenti era più alto.
La DPC ha avviato un’indagine ad aprile 2019 e oggi, dopo oltre cinque anni, ha pubblicato l’esito finale. Meta ha violato quattro articoli del GDPR (Regolamento generale sulla protezione dei dati). Innanzitutto non ha informato l’autorità entro 72 ore, dopo aver scoperto che le password erano state memorizzate in chiaro.
L’azienda di Menlo Park non ha inoltre documentato il data breach e non ha usato misure tecniche o organizzative per garantire la sicurezza delle password contro l’elaborazione non autorizzata (oltre 20.000 dipendenti hanno potuto accedervi). Infine, Meta non ha implementato misure appropriate per garantire un livello di sicurezza adatto al rischio.
L’azienda californiana dovrà quindi pagare una sanzione amministrativa di 91 milioni di euro. La somma è piuttosto bassa, considerato il numero utenti interessati (oltre 600 milioni). Un portavoce di Meta ha dichiarato:
Come parte di una revisione della sicurezza, nel 2019 abbiamo scoperto che un sottoinsieme di password degli utenti di Facebook erano state temporaneamente registrate in un formato leggibile nei nostri sistemi. Abbiamo preso provvedimenti immediati per correggere questo errore e non ci sono prove che queste password siano state abusate o utilizzate in modo improprio. Abbiamo segnalato in modo proattivo questo problema alla Data Protection Commission e ci siamo impegnati in modo costruttivo con loro durante questa indagine.
Meta occupa saldamente il primo posto della classifica delle multe per la violazione del GDPR in Europa con quasi 2,6 miliardi di euro.