Meta, la società madre di Facebook e Instagram, è stata colpita da una multa di 91 milioni di euro (circa 101 milioni di dollari) per aver gestito in modo negligente le password degli utenti. La scoperta di questo grave errore di sicurezza ha rivelato che fino a 600 milioni di password sono state archiviate in formato testo semplice, senza alcuna protezione, esponendo potenzialmente milioni di utenti a rischi di sicurezza.
Fino a 600 milioni di password archiviate in testo semplice: la scoperta e le violazioni del GDPR
La vulnerabilità è stata scoperta nel 2019, ma alcune password erano rimaste non protette sin dal 2012. In quell’anno, fino a 20.000 dipendenti Meta avevano accesso diretto a queste password archiviate in formato testo semplice. Questa pratica è una grave violazione delle regole di sicurezza e della protezione dei dati, poiché le password dovrebbero sempre essere criptate per proteggere la privacy degli utenti.
Secondo le normative del GDPR (Regolamento generale sulla protezione dei dati dell’UE), Meta ha violato diversi principi, tra cui il mancato obbligo di notificare tempestivamente la violazione all’autorità di regolamentazione irlandese, il Data Protection Commission (DPC). Inoltre, Meta non ha adottato misure tecniche adeguate per assicurare la sicurezza delle password degli utenti contro l’accesso non autorizzato. Ciò ha portato all’imposizione della multa di 91 milioni di euro da parte del DPC irlandese.
Nonostante la gravità dell’errore, molti osservatori ritengono che la multa sia troppo bassa rispetto alla portata della violazione. Secondo le regole del GDPR, le aziende possono essere multate fino al 4% del loro fatturato globale per violazioni gravi. In questo caso, la multa avrebbe potuto essere significativamente più alta, mettendo maggiore pressione sui dirigenti di Meta per prendere più sul serio la protezione della privacy degli utenti.
Meta e la multa per la mancata sicurezza delle password
Meta ha ammesso la colpa e ha collaborato con il DPC irlandese durante l’indagine, dichiarando che non ci sono prove di password rubate o usate impropriamente. La società ha agito rapidamente per correggere l’errore una volta identificato nel 2019, assicurando che non ci fossero ulteriori rischi per gli utenti. Tuttavia, il fatto che le password siano state archiviate in chiaro per un periodo così lungo solleva domande sul grado di attenzione di Meta nei confronti della sicurezza degli utenti.
La sanzione si aggiunge a una serie di multe inflitte a Meta dal DPC irlandese per violazioni della privacy legate al GDPR. Complessivamente, Meta è stata multata per un totale di 2,5 miliardi di euro, di cui una cifra record di 1,2 miliardi nel 2023 per altre violazioni delle norme sulla protezione dei dati. Questa multa di 91 milioni di euro, sebbene significativa, rappresenta solo una piccola parte delle sanzioni imposte all’azienda negli ultimi anni.
Nonostante le continue sfide legali e finanziarie in Europa, Meta continua a essere uno dei più grandi e influenti colossi tecnologici al mondo, con milioni di utenti attivi ogni giorno sulle sue piattaforme, tra cui Facebook, Instagram e la neo arrivata Threads. La gestione negligente delle password e la conseguente multa sottolineano la necessità di maggiori controlli sulla sicurezza dei dati e la protezione della privacy degli utenti.
