Meta fue multada por violar el GDPR al almacenar 600 millones de contraseñas de cuentas de redes sociales en texto plano

En una época en la que la seguridad en línea es más importante que nunca, se descubrió que Meta Platforms Ireland Limited (MPIL) almacenaba en texto plano más de 600 millones de contraseñas pertenecientes a usuarios de Instagram y Facebook. Algunas de estas contraseñas han estado en esta forma durante más de 10 años. La luz sobre este tema se arrojó por primera vez en 2019 cuando Facebook, ahora conocido como Meta, admitió ante la Comisión de Protección de Datos (DPC) que cientos de millones de contraseñas se almacenaban inadvertidamente sin cifrar en texto plano.

Después de una investigación de cinco años por parte de la DPC, las operaciones de Meta en Irlanda fueron multadas con 101,5 millones de dólares. Se descubrió que Meta había violado el Reglamento General de Protección de Datos (GDPR) de Europa al no almacenar las contraseñas de muchos usuarios de Instagram y Facebook de una manera más segura. Meta aseguró que estas contraseñas sin cifrar no estaban disponibles para personas fuera de la empresa. Sin embargo, la compañía admitió que 2,000 ingenieros habían realizado 9 millones de consultas sobre esta base de datos de usuarios en particular.

La decisión de la DPC encontró que Meta Platforms Ireland Limited (MPIL) no siguió las reglas del GDPR al cometer las siguientes violaciones:

Artículo 33(1)-MPIL no notificó a la DPC sobre una violación de datos personales relacionada con el almacenamiento de contraseñas de usuario en texto plano;
Artículo 33(5)-MPIL no documentó las violaciones de datos personales relacionadas con el almacenamiento de contraseñas de usuario en texto plano;
Artículo 5(1)(f)-MPIL no utilizó medidas técnicas u organizativas apropiadas para garantizar la seguridad adecuada de las contraseñas de los usuarios contra el procesamiento no autorizado; y
Artículo 32(1)-MPIL no implementó medidas técnicas y organizativas adecuadas para garantizar un nivel de seguridad adecuado al riesgo, incluida la capacidad de garantizar la confidencialidad continua de las contraseñas de usuario.

LEAR  GeForce NOW se centra en Fallout esta semana

“Es ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen de que personas accedan a esos datos. Hay que tener en cuenta que las contraseñas objeto de consideración en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios.” – Graham Doyle, Comisionado Adjunto de la DPC

La decisión de la DPC requiere que Meta emita una advertencia de conformidad con el Artículo 58(2)(b) del GDPR; y pague la multa mencionada de 91 millones de euros (101,5 millones de dólares). La DPC agregó que publicará la Decisión completa y otra información relacionada en su momento. Se cree que las contraseñas incluidas en la resolución solo abarcan a usuarios no estadounidenses. En 2019, Meta le dijo a CNN que la mayoría de las contraseñas en texto plano eran para un servicio llamado Facebook Lite, que era un servicio de redes sociales menos completo para áreas del mundo que tenían una conectividad a internet más lenta.

La Comisión de Protección de Datos de Irlanda multa a Meta con el equivalente a 101,5 millones de dólares por violar el GDPR. | Crédito de imagen-Comisión de Protección de Datos

Meta es dueño de Facebook, Messenger, Instagram y WhatsApp.