Meta multata per $101,5 milioni per la violazione della sicurezza delle password

Il principale regolatore sulla privacy dell’Unione Europea ha multato Meta di €91 milioni ($101.5 milioni) per misure di sicurezza inadeguate riguardanti le password degli utenti.

Oggi, la Commissione Irlandese per la Protezione dei Dati (DPC) ha annunciato la sua decisione finale in un’indagine che coinvolge Meta Platforms Ireland Limited (MPIL).

L’annuncio afferma che l’indagine è iniziata nell’aprile 2019 quando MPIL ha segnalato di aver erroneamente archiviato certe password degli utenti dei social media in “plaintext”, il che significa che sono state conservate senza alcuna crittografia o protezione crittografica sui suoi sistemi interni.

Questa violazione ha sollevato notevoli preoccupazioni riguardo alla sicurezza dei dati degli utenti e alla conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR).

Il Vice Commissario Graham Doyle ha sottolineato la gravità della memorizzazione delle password in chiaro, affermando nell’annuncio,

“È ampiamente accettato che le password degli utenti non dovrebbero essere memorizzate in chiaro, considerando i rischi di abuso che derivano dall’accesso di persone a tali dati.”

“Bisogna tenere a mente che le password, oggetto di considerazione in questo caso, sono particolarmente sensibili, in quanto permetterebbero l’accesso agli account dei social media degli utenti,” ha aggiunto.

Nel giugno 2024, il DPC ha presentato una bozza di decisione riguardante il caso ad altre autorità di controllo interessate in tutta l’Unione Europea e l’Area Economica Europea.

Dato che non sono state sollevate obiezioni contro la bozza, il DPC ha proceduto a finalizzare la sua decisione. Il 26 settembre, il DPC ha informato MPIL che avrebbe affrontato un rimprovero insieme a una salata multa di 91 milioni di euro (circa 101,5 milioni di dollari) per la sua negligenza.

Il DPC ha identificato molteplici violazioni del GDPR nelle sue scoperte. In particolare, MPIL è stato citato per non aver notificato al DPC la violazione dei dati personali riguardante la memorizzazione non crittografata delle password degli utenti.

Inoltre, la commissione ha notato che MPIL non ha documentato le violazioni. Inoltre, il DPC ha scoperto che MPIL non aveva implementato misure tecniche o organizzative adeguate per proteggere le password degli utenti da accessi non autorizzati.

Infine, il DPC accusa MPIL di non aver implementato misure di sicurezza adeguate rispetto ai rischi associati all’elaborazione delle password.

Secondo un portavoce di Meta in una email a Bloomberg, il problema è stato scoperto durante una revisione della sicurezza nel 2019.

Il portavoce ha scritto: “Abbiamo preso immediatamente provvedimenti per correggere questo errore, e non ci sono prove che queste password siano state utilizzate o accessate in modo improprio.”

“Abbiamo segnalato proattivamente questo problema al nostro principale regolatore, la Commissione Irlandese per la Protezione dei Dati, e abbiamo collaborato in modo costruttivo con loro durante questa indagine,” ha dichiarato il portavoce.

Questa ultima multa si aggiunge alla crescente lista di sanzioni GDPR inflitte a Meta, che include già alcune delle multe più elevate mai imposte ai giganti della tecnologia, come riportato da TechCrunch.

Questo sottolinea le continue difficoltà dell’azienda nel rispetto della privacy e solleva dubbi sulla sua capacità di proteggere efficacemente i dati degli utenti.