Meta multada! Milhões de senhas em texto simples
UE multa Meta em 91 milhões de euros por armazenar milhões de senhas em texto simples
A Comissão Irlandesa de Proteção de Dados (DPC) multou a Meta em € 91 milhões (cerca de US$ 101,5 milhões) por não proteger as senhas dos usuários. Essa multa é uma resposta a um incidente ocorrido em 2019, onde milhões de senhas do Facebook e Instagram foram armazenadas em texto simples, o que as tornou facilmente acessíveis sem criptografia.
O DPC diz que este incidente violou várias disposições do GDPR. O que é pior, o Facebook nem mesmo notificou seus usuários sobre essa violação e não implementou a segurança até e depois que a violação foi descoberta.
A multa da Meta inclui a violação dos seguintes artigos do GDPR:
- Artigo 33.º, n.º 1, do RGPD, uma vez que a MPIL não notificou o DPC de uma violação de dados pessoais relativa ao armazenamento de palavras-passe de utilizador em texto simples;
- Artigo 33.º, n.º 5, do RGPD, uma vez que a MPIL não documentou as violações de dados pessoais relativas ao armazenamento de palavras-passe de utilizador em texto simples;
- Artigo 5.º, n.º 1, alínea f) do RGPD, uma vez que a MPIL não utilizou medidas técnicas ou organizacionais adequadas para garantir a segurança adequada das palavras-passe dos utilizadores contra o tratamento não autorizado; e
- Artigo 32.º, n.º 1, do RGPD, porque a MPIL não implementou medidas técnicas e organizacionais adequadas para garantir um nível de segurança adequado ao risco, incluindo a capacidade de garantir a confidencialidade contínua das palavras-passe dos utilizadores.
O incidente ocorreu quando as senhas acabaram em partes dos sistemas da Meta que não foram realmente projetadas para gerenciamento de senhas, possivelmente como resultado de logs de erros ou falhas. Isso significava que essas senhas eram acessíveis a mais de 20.000 funcionários da Meta. As senhas foram armazenadas em texto simples de 2012 a 2019, quando uma revisão de segurança de rotina descobriu que elas estavam sendo armazenadas em um formato legível.
O vice-comissário do DPC, Graham Doyle, disse em um comunicado à imprensa:
"É amplamente aceito que as senhas de usuário não devem ser armazenadas em texto simples, considerando os riscos de abuso que surgem de pessoas que acessam esses dados. Deve-se ter em mente que as senhas objeto de consideração neste caso são particularmente sensíveis, pois permitiriam o acesso às contas de mídia social dos usuários.
O procedimento padrão da Meta de armazenamento de senhas inclui uma técnica de hash chamada "script", que envolve a conversão da senha real em uma sequência aleatória de caracteres que não pode ser facilmente revertida. Esse método protege as contas de usuário, garantindo que, mesmo que os dados sejam acessados, as senhas originais permaneçam seguras. No entanto, as senhas ainda acabaram em outros sistemas da Meta.
A Meta reconheceu o incidente em 2019 e disse que não havia evidências de qualquer acesso externo ou abuso desses dados.
via Reuters
bom dia, sr
quantos casos como este, em escala menor, acontecem no Brasil?