Multa de 91 millones de euros a Meta por almacenar contraseñas de Facebook en texto plano

En 2019 salió a la luz que Meta, entonces Facebook, llevaba años almacenando las contraseñas de acceso a la red social en sus servidores en texto plano. La compañía entonces le quitó importancia, señalando que las contraseñas no habían sido hackeadas y no había existido acceso de terceros a ellas, señalando que «solo» sus empleados podrían haberlas visto, aunque estaban sin cifrar.

Evidentemente, a las autoridades de la UE no les hizo mucha gracia y decidieron investigar el asunto. Finalmente, cinco años después, han anunciado una multa de 91 millones de euros a Meta por ello. Aunque es bastante elevada, aunque sensíblemente menor que las sanciones recibidas por la empresa por otros incumplimientos de normas en la UE

La Comisión de protección de datos de Irlanda, o DPC, ha sido el organismo encargado de la investigación, así como de imponer la multa y reprochar su actitud a la compañía, que ha violado las normas de la RGPD de la UR por no cifrar la información. En concreto, Meta ha violado el artículo 33 (1) de la RGPD, por no notificar al DPC de una brecha de datos personal sobre el almacenamiento de contraseñas de usuarios en texto plano; además del 33(5) por no documentar laws brechas de datos personales relacionadas con dicho almacenamiento.

Además, también violó el artículo 5(1) de la RGPD, dado que no empleó medidas técnicas ni organizativas adecuadas para conseguir la seguridad adecuada de las contraseñas de los usuarios contra su procesado no autorizado, y el artículo 32(1), dado que no implementó las medidas técnicas y organizativas adecuadas para asegurar que ponía en marcha un nivel adecuado de seguridad para el riesgo que suponía el almacenamiento de contraseñas. Incluyendo la capacidad en este caso de asegurar la confidencialidad continuada de las contraseñas de los usuarios.

Según ha manifestado el Subcomisionado del DPC Graham Doyle al respecto «ya está ampliamente aceptado que las contraseñas de los usuarios no deben almacenarse en texto plano, considerando los riesgos de abuso que pueden surgir del acceso de las personas a dichos datos. Debe tenerse presente que las contraseñas objeto de consideración en este caso son particularmente sensibles, ya que permitirían el acceso a las cuentas de redes sociales de los usuarios».

Meta confirmó en 2019 que había estado guardándolas en texto plano, señalando que las tenía así para «cientos de millones de usuarios», pero sin concretar un número exacto. Algunas fuentes hablaron en su día de 600 millones. La compañía también comentó que no tenía evidencias de que sus empleados hubiesen accedido a ellas, aunque terminó por reconocer que notificaría a las personas afectadas que las contraseñas de acceso a sus cuentas se habían guardado sin cifrar.

La mayoría de los afectados fueron los cientos de millones de usuarios de Facebook Lite, una versión ligera de la app de la red social para Android destinada a usuarios de países en los que la conectividad no era muy buena. Este detalles implicaba, por tanto, que la mayoría de usuarios afectado eran de fuera de Estados Unidos.

Pero también afectó a millones de usuarios de la versión completa de la app, e incluso llegó a implicar el almacenaje en texto plano de contraseñas de miles de usuarios de Instagram. Al parecer, las contraseñas llevaban accesibles de este modo a los empleados de la red social desde 2012.