Meta multada con 101,5 millones de dólares por una violación en 2019 que expuso cientos de millones de contraseñas de Facebook

Meta fined $101.5M for 2019 breach that exposed hundreds of millions of Facebook passwords

Reinicie sus relojes: Meta ha recibido otra penalización de privacidad en Europa. El viernes, la Comisión de Protección de Datos (DPC) de Irlanda anunció una amonestación y una multa de 91 millones de euros (alrededor de 101,5 millones de dólares al tipo de cambio actual) después de concluir una investigación de varios años sobre una violación de seguridad de 2019 por parte de la empresa matriz de Facebook.

La DPC abrió una investigación legal sobre el incidente en cuestión en abril de 2019 en virtud del Reglamento General de Protección de Datos (GDPR) del bloque después de que Meta, o Facebook, como todavía se llamaba la empresa en aquel entonces, le notificara que “cientos de millones” de contraseñas de usuarios había sido almacenado en texto plano en sus servidores.

El incidente de seguridad es una cuestión legal en la Unión Europea porque el RGPD exige que los datos personales estén adecuadamente protegidos.

Después de investigar, el DPC concluyó que Meta no cumplió con el estándar legal del bloque ya que las contraseñas no estaban protegidas con encriptación sino almacenadas en texto plano, creando un riesgo de que terceros pudieran acceder a la información confidencial de las personas almacenada en sus cuentas de redes sociales.

El regulador, que supervisa el cumplimiento del RGPD por parte de Meta, también encontró que Meta violó las reglas al no notificarle la infracción dentro del plazo requerido (la regulación generalmente estipula que la notificación de la infracción debe realizarse a más tardar 72 horas después de tener conocimiento de ella). ). Meta tampoco documentó adecuadamente la infracción, según el DPC.

En un comunicado, el comisionado adjunto Graham Doyle escribió: “Está ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que surgen cuando las personas acceden a dichos datos. Hay que tener en cuenta que las contraseñas objeto de consideración en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios”.

Al solicitar una respuesta a su última sanción GDPR, el portavoz de Meta, Matthew Pollard, envió por correo electrónico una declaración en la que la compañía buscaba restar importancia al hallazgo afirmando que tomó “medidas inmediatas” sobre lo que había sido un “error” en sus procesos de gestión de contraseñas.

“Como parte de una revisión de seguridad en 2019, descubrimos que un subconjunto de contraseñas de usuarios de FB (Facebook) se registraron temporalmente en un formato legible dentro de nuestros sistemas de datos internos. Tomamos medidas inmediatas para corregir este error y no hay evidencia de que se haya abusado de estas contraseñas o se haya accedido a ellas de manera inadecuada”, escribió Meta. “Señalamos proactivamente este problema a nuestro principal regulador, la Comisión Irlandesa de Protección de Datos, y nos hemos comprometido de manera constructiva con ellos a lo largo de esta investigación.“

Meta ya había acumulado la mayoría de las mayores sanciones GDPR impuestas a gigantes tecnológicos, por lo que la última sanción simplemente subraya la magnitud de sus problemas con el cumplimiento de la privacidad.

La sanción es notablemente más severa que una multa de 17 millones de euros que la DPC entregó a Meta en marzo de 2022 por una violación de seguridad de 2018. Desde entonces, el regulador irlandés ha tenido un cambio de alta dirección. Sin embargo, los dos incidentes también son diferentes: las fallas de seguridad anteriores de Meta afectaron a hasta 30 millones de usuarios de Facebook frente a los cientos de millones cuyas contraseñas se dice que quedaron expuestas como resultado de no proteger las contraseñas en 2019.

El RGPD faculta a las autoridades de protección de datos a imponer multas por infracciones cuando el importe de las sanciones se calcula en función de factores como la naturaleza, la gravedad y la duración de la infracción; el alcance o finalidad del tratamiento; y el número de interesados afectados y nivel de daño sufrido, entre otras consideraciones.

La sanción más alta posible según el RGPD es del 4% de la facturación anual global. Entonces, en el caso de Meta, una multa de 91 millones de euros puede parecer un cambio significativo, pero sigue siendo una pequeña fracción de los miles de millones que la compañía podría enfrentar teóricamente, dado que sus ingresos anuales para 2023 fueron la asombrosa cifra de 134.900 millones de dólares.