A Comissão Irlandesa de Proteção de Dados (DPC) aplicou uma multa de 91 milhões de euros à Meta, na sequência de uma investigação sobre uma violação de segurança, em 2019, altura em que a empresa armazenou as palavras-passe dos utilizadores em texto simples.

O inquérito foi aberto há cinco anos, após a Meta ter notificado a DPC por ter armazenado passwords em texto simples. A Meta reconheceu publicamente que em janeiro de 2019, havia encontrado algumas palavras-chave armazenadas em texto simples nos seus servidores” e um mês depois revelou que havia ainda “milhões de senhas do Instagram armazenadas em formato facilmente legível”.

A empresa de Mark Zuckerberg não divulgou quantas contas foram afetadas, mas uma notícia de março de 2019, no KrebsOnSecurity, referia que “centenas de milhões de utilizadores do Facebook tinham as palavras-passe das suas contas armazenadas em texto simples e pesquisáveis por milhares de funcionários do Facebook, em alguns casos, desde 2012”.

Terão sido entre 200 milhões e 600 milhões de palavras-passe que estiveram acessíveis aos mais de 20 mil colaboradores do Facebook. Alegadamente, os dados não foram disponibilizados a terceiros, escreveu na altura vice-presidente de engenharia, segurança e privacidade do Facebook, Pedro Canahuati.

Além disso, “até à data, não encontrámos provas de que alguém tenha abusado ou acedido indevidamente” às palavras-passe, lê-se numa notícia do Engadget.

A DPC concluiu que a Meta violou várias regras do RGPD, referindo que a empresa não conseguiu informar atempadamente “a DPC de uma violação de dados pessoais relativa ao armazenamento de senhas de utilizadores em texto simples” e que não conseguiu “documentar violações de dados pessoais relativas ao armazenamento de senhas de utilizadores em texto simples”.

Multa de 91 milhões de euros à Meta. 2024
Multa de 91 milhões de euros à Meta. 2024 créditos: DPC irlandesa

“É amplamente aceite” que as palavras-passe dos utilizadores não devem ser armazenadas em texto simples, “tendo em conta os riscos de abuso que decorrem do acesso a esses dados”, declarou em comunicado o comissário adjunto da DPC, Graham Doyle.

Além destas sanções, o Comité de Conduta DPC emitiu também uma repreensão à empresa, cujos detalhes serão conhecidos quando a comissão publicar a sua decisão final completa e outras informações relacionadas.

Em 2019, depois do incidente, os sistemas do Facebook passaram a mascarar as palavras-passe tendo o problema sido corrigido.

A DPC Irlandesa é a principal entidade reguladora da UE para a maioria das principais empresas tecnológicas dos EUA, porque as suas operações na UE estão localizadas nesse país.

A Meta tem vindo estado envolvida em vários casos relacionados com o alegado incumprimento das regras europeias. Em março, a Comissão Europeia anunciou ter aberto cinco investigações relacionadas com a violação das regras do regulamento dos mercados digitais (DMA na sigla em inglês para Digital Markets Act), incluindo sobre a Meta e, em abril, Bruxelas abriu uma investigação contra o Facebook e Instagram por possível violação da lei dos serviços digitais.

Até à data, a UE multou a Meta num total de 2,5 mil milhões de euros por violações de dados ao abrigo do RGPD, introduzido em 2018, incluindo uma multa recorde de 1,2 mil milhões de euros, em 2023, da qual a Meta está a recorrer.