El pasado viernes, Meta (empresa matriz de Facebook e Instagram) recibió una multa de la Comisión de Protección de Datos (CPD) de Irlanda de 91 millones de euros debido a una investigación que realizó sobre un fallo de seguridad en marzo de 2019 en la que Meta reveló que había almacenado por error las contraseñas de los usuarios sin ningún tipo de cifrado en sus sistemas.
La investigación, iniciada por el CPD al mes siguiente, determinó que el gigante de las redes sociales había incumplido cuatro apartados diferentes del Reglamento General de Protección de Datos (RGPD) de la Unión Europea:
- Artículo 33, apartado 1, ya que no había notificado sin dilación indebida al CPD la violación de seguridad de los datos.
- Artículo 33, apartado 5, ya que no había documentado las violaciones de seguridad de los datos personales que supone el almacenamiento de contraseñas de usuarios en texto claro.
- Artículo 5, apartado 1, letra f), ya que no utilizó las medidas técnicas u organizativas adecuadas para garantizar la seguridad apropiada de las contraseñas de los usuarios contra el tratamiento no autorizado.
- Artículo 32, apartado 1, ya que no aplicó medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluida la capacidad de garantizar la confidencialidad permanente de las contraseñas de los usuarios.
Inicialmente, Meta reveló que la transgresión de la privacidad dio lugar a la exposición de un subconjunto de las contraseñas de Facebook de los usuarios en texto claro, aunque señaló que no había pruebas de que se hubiera accedido indebidamente a ellas o se hubiera abusado de ellas internamente.
No obstante, según el blog Krebs on Security, algunas de estas contraseñas datan de 2012, y un empleado sénior anónimo afirmó que «Unos 2.000 ingenieros y desarrolladores realizaron aproximadamente nueve millones de consultas a datos que contienen contraseñas de usuarios en texto claro.«
Además, un mes después la empresa reconoció haber almacenado contraseñas de millones de usuarios de Instagram de manera similar y notificó a los usuarios afectados.
En un comunicado, Graham Doyle, comisionado adjunto de la CPD, declaró: «Se ha aceptado ampliamente que las contraseñas de los usuarios no deben almacenarse en texto claro, teniendo en cuenta los riesgos de abuso que suponen las personas que acceden a esos datos. Hay que tener en cuenta que las contraseñas, objeto de consideración en este caso, son especialmente sensibles, ya que permitirían acceder a las cuentas de redes sociales de los usuarios.«.
Más información:
- Irish Data Protection Commission fines Meta Ireland €91 million https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-91-million-fine-of-Meta
- Meta Fined €91 Million for Storing Millions of Facebook and Instagram Passwords in Plaintext https://thehackernews.com/2024/09/meta-fined-91-million-for-storing.html
- Facebook Stored Hundreds of Millions of User Passwords in Plain Text for Years https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/
La entrada Multa de 91 millones de euros a Facebook e Instagram por almacenar contraseñas en texto claro se publicó primero en Una Al Día.