Meta recebe multa de US$ 102 milhões por armazenar senhas em texto puro

 (engadget.com)
19 pontos por GN⁺ 2024-09-30 | 7 comentários | Compartilhar no WhatsApp
  • A Comissão de Proteção de Dados da Irlanda (DPC) aplicou uma multa de US$ 101,5 milhões (€ 91 milhões) à Meta após concluir a investigação sobre o incidente de segurança de 2019
  • A Meta havia anunciado originalmente, em janeiro de 2019, que algumas senhas de usuários foram armazenadas em texto puro em seus servidores
  • Um mês depois, atualizou a informação dizendo que milhões de senhas do Instagram também foram armazenadas em um formato facilmente legível
  • A Meta não revelou quantas contas foram afetadas, mas na época um alto funcionário mencionou ao Krebs on Security que até 600 milhões de senhas poderiam estar envolvidas
  • Algumas senhas foram armazenadas em texto puro nos servidores da empresa desde 2012, e mais de 20 mil funcionários do Facebook podiam pesquisá-las
  • A DPC confirmou que as senhas não foram fornecidas a partes externas
  • A DPC concluiu que a Meta violou várias regras do GDPR
    • Não notificou sem demora à DPC a violação de dados pessoais relacionada ao armazenamento de senhas de usuários em texto puro
    • Não documentou a violação de dados pessoais relacionada ao armazenamento de senhas de usuários em texto puro
    • Não utilizou medidas técnicas adequadas para garantir a segurança contra o tratamento não autorizado das senhas dos usuários
  • O vice-comissário da DPC, Graham Doyle, afirmou que "as senhas dos usuários não devem ser armazenadas em texto puro, e isso deve ser considerado especialmente por se tratar de informações sensíveis que permitem acesso a contas de redes sociais"
  • Além da multa, a DPC também emitiu uma advertência à Meta, e será possível saber mais sobre o impacto disso sobre a empresa quando a comissão anunciar sua decisão final

Opinião do GN⁺

  • Este caso deve servir de alerta para as práticas de proteção de dados das grandes empresas de tecnologia. Ele reforça mais uma vez a importância de gerenciar os dados dos usuários com segurança
  • A Meta deve aproveitar este episódio para revisar e melhorar de forma ampla seus sistemas de segurança. Além de medidas técnicas como criptografia, também parecem necessários esforços organizacionais, como treinamento de funcionários e auditorias internas
  • O nível das multas por violações do GDPR está aumentando cada vez mais. As empresas precisam reconhecer que cumprir rigorosamente o GDPR e as leis de proteção de dados de cada país também é importante do ponto de vista de gestão de riscos
  • Por outro lado, neste caso não houve confirmação de que a vulnerabilidade de segurança revelada tenha sido de fato explorada. Ainda assim, a Meta acabou recebendo uma multa pesada porque a gravidade do problema e o nível de violação das regras foram considerados elevados
  • Em relação à gestão de senhas, além de evitar o armazenamento em texto puro, também são exigidas diversas medidas de segurança, como uso de salt/hash e aplicação de políticas robustas de senhas. As empresas precisam estabelecer e aplicar com rigor uma política sistemática de gestão de senhas em toda a organização

Leituras relacionadas

7 comentários

 
princox 2024-09-30

Uau... isso é meio chocante.
 
savvykang 2024-09-30

O Facebook sendo Facebook, né.
 
wedding 2024-09-30

Até no FAANG em texto puro... é uma notícia inacreditável..
 
GN⁺ 2024-09-30
Comentários do Hacker News

  • A Meta não pretendia armazenar senhas em texto puro, mas houve um incidente em que, por causa de um bug, senhas em texto puro foram registradas em logs

    • Desde 2012, 600 milhões de senhas foram armazenadas em um formato facilmente legível, e mais de 20 mil funcionários do Facebook podiam acessá-las
    • Isso não é um simples erro, mas um problema grave

  • Multa de 0,1% da receita atual

    • Uma empresa com receita anual de US$ 1 bilhão teria que pagar US$ 100 mil de multa
    • Isso não cria incentivo para manter a segurança de forma adequada
    • Se melhorar a depuração por meio de logs aumentar a eficiência em mais de 0,1%, é um ótimo negócio para a empresa

  • Em entrevistas da Meta, perguntas sobre hashing e ataques com rainbow table podem ser uma espécie de pedido de ajuda

  • A multa de US$ 102 milhões parece um valor alto, mas não chega a US$ 1 por cada senha em texto puro exposta

    • A multa foi aplicada por não informar as autoridades em tempo hábil
    • É interessante a avaliação sobre os usuários afetados

  • O incidente de vazamento de dados de 2019 ocorreu em um sistema criado em 2012

    • O GDPR foi introduzido em 2018, e a Meta foi multada por não divulgar adequadamente o vazamento de dados de 2019

  • É difícil entender como uma empresa grande comete esse tipo de erro

    • Hashing e salting de senhas são procedimentos básicos de segurança
    • É difícil imaginar uma grande empresa como Meta/Facebook cometendo esse tipo de erro

  • Espero que o sistema da equipe de autenticação não tenha registrado em logs payloads contendo senhas

    • Isso pode ter acontecido em um componente de infraestrutura pertencente a outra equipe

  • Discussão duplicada: link
 
darkhi 2024-10-01

Parece que não foi um caso de armazenamento intencional em texto puro no servidor; houve casos em que a senha em texto puro inserida acabou sendo salva durante o processo de registro de logs.
Isso acontece com uma frequência surpreendente, tanto na Coreia quanto no exterior...(casos em que a senha fica sendo salva no arquivo de log...)
 
2024-09-30
[Este comentário foi ocultado.]