A Meta, dona da rede social Facebook, foi multada em 91 milhões de euros (cerca de R$ 555 milhões em conversão direta de moeda) pela Comissão de Proteção de Dados da Irlanda. O valor foi definido em uma decisão sobre um caso que é investigado desde 2019.
A plataforma foi penalizada por armazenar senhas de usuários de forma insegura — em texto bruto, sem criptografia ou outras camadas adicionais de segurança. A denúncia original feita há cinco anos fere diversos princípios da GDPR, a equivalente europeia da nossa Lei Geral de Proteção de Dados (LGPD) e principal inspiração da nossa legislação cibernética.
Tecnologia, negócios e comportamento sob um olhar crítico.
Assine já o The BRIEF, a newsletter diária que te deixa por dentro de tudo
- Leia também: 7 dicas para criar senhas seguras
Segundo a nota da comissão, armazenar senhas nesse formato, chamado no meio digital de plain text, é algo conhecidamente não recomendável "considerando os riscos de abuso que emergem de pessoas acessando esses dados". No período, mecanismos como verificação em dois fatores ainda não eram tão disseminados, o que só colocava as contas dos usuários ainda mais em perigo.
A investigação puniu a Meta também porque a empresa não notificou autoridades sobre a falta de proteção e nem documentou eventuais problemas decorrentes desse armazenamento inseguro. Uma "repreensão" em forma de advertência também faz parte do veredito, mas não há detalhes sobre quais as consequências dessa ação para a empresa.
Relembre o caso
No começo de 2019, o próprio Facebook confirmou que contas de diversos usuários do Facebook e do Instagram estavam armazenadas sem proteção nos servidores da companhia. A empresa alegou que isso aconteceu "devido a um erro nos servidores" e só indicou que a falha era mais grave do que se imaginava um mês depois do anúncio original.
Investigações feitas na época por especialistas em cibersegurança, porém, descobriram que algumas das senhas estavam nessa condição insegura desde 2012. E, apesar de a Meta não revelar a quantidade de logins afetados, o número chegaria a 600 milhões de senhas expostas a pelo menos 20 mil funcionários — e potenciais invasores que poderiam roubar essas credenciais.
A decisão completa da comissão com todos os detalhes da investigação ainda não foi publicada. Até agora, a Meta não se pronunciou oficialmente sobre o caso.
Fontes