Il Garante Privacy irlandese ha sanzionato Meta con 91 milioni di euro per la conservazione in chiaro delle password di un numero significativo di utenti. Questo evento evidenzia l'importanza cruciale della gestione delle password nella sicurezza dei dati.

L'incidente denunciato da Meta nel 2019

Nel 2019 Meta rivelò pubblicamente e segnalò al Garante per la protezione dei dati personali competente, quello irlandese, un incidente piuttosto grave. In particolare, Meta aveva comunicato pubblicamente e al Garante di aver inavvertitamente salvato e conservato in chiaro, nei propri sistemi interni, alcune password degli utenti dei social media della società. Le password quindi, consultabili da chiunque avesse accesso ai sistemi interni di Meta, non avevano alcuna copertura criptografica. Questo nonostante sia ormai ritenuta da tutti una prassi necessaria quella di conservare le password almeno in formato hash. Nonchè un obbligo normativo. Stando a quanto dichiarato da Meta, le password in chiaro ammontavano a circa 600 milioni ed appartenevano a decine di milioni di utenti di Facebook, Facebook Lite e Instagram. 

Il Garante irlandese, ricevuta la dovuta segnalazione da Meta, ha avviato debita istruttoria per indagare sull'incidente, visto anche l'ampio numero di cittadini coinvolti.

L'istruttoria del Garante irlandese

Va detto che Meta, nel 2019, aveva già pubblicato la notizia relativa a questa falla di sicurezza principalmente però per tranquilizzare gli utenti specificando che nessuno, a parte i dipendenti Meta, avevano avuto accesso alle password. Insomma, per Meta non c'erano prove di accesso abusivo o utilizzo improprio di queste password.

Già questo, per il Garante irlandese, è stato motivo di attenzione. L'art. 33 del GDPR è esplicito nel normare le tempistiche di notifica che, ricordiamo

"deve essere effettuata senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza".

Non solo: Meta non ha documentato la violazione e non ha neppure analizzato i possibili rischi, non adottando di conseguenza i provvedimenti necessari per porre rimedio al problema. Una violazione esplicita, ha ribadito il Garante irlandese, dei principi di integrità e riservatezza dei dati previsti dal GDPR.

Le violazioni al GDPR da parte di Meta

La sanzione inflitta a Meta è stata motivata da diverse violazioni:

1. notifica di violazione dei dati personali:
   Meta non ha notificato al Garante nei tempi previsti la memorizzazione delle password degli utenti in chiaro;
2. documentazione di violazione di dati personali:
   Meta non ha documentato adeguatamente le violazioni relative all'archiviazione delle password, omettendo di conservare una documentazione appropriata riguardo all'incidente;
3. integrità e riservatezza:
   Meta non ha implementato misure tecniche o organizzative adeguate per proteggere le password degli utenti, conservandole in forma di testo in chiaro, senza crittografia;
4. sicurezza del trattamento:
   Meta non ha adottato misure tecniche e organizzative adeguate per proteggere le password, come la crittografia, che avrebbero mantenuto la riservatezza dei dati e ridotto il rischio di accesso non autorizzato.

Le misure tecniche e organizzative devono essere adeguate a garantire un livello di sicurezza commisurato al rischio, considerando lo stato dell'arte, i costi di attuazione, la natura del trattamento e il rischio potenziale per i diritti e le libertà delle persone fisiche. Il GDPR sottolinea esplicitamente l'importanza della criptazione come misura di sicurezza, richiedendo anche che l'efficacia delle misure implementate sia testata ciclicamente.

Viste le gravi violazioni riscontrate, il numero di cittadini coinvolti e la negligenza da parte di Meta, il Garante Privacy ha optato per una multa salata di ben 91 milioni di euro, proporzionata al fatturato di 58,06 miliardi di euro della società.

Questa decisione sottolinea l'urgenza di adottare misure tecniche e organizzative avanzate per garantire una corretta gestione delle credenziali. È fondamentale che le aziende utilizzino algoritmi crittografici robusti per proteggere i dati personali e prevenire accessi non autorizzati.

Per saperne di più > Password: ancora non ci siamo

Gestire le password: un tema complesso

L’incidente di Meta mette in luce vulnerabilità significative nella gestione delle password nei contesti aziendali, aspetto cruciale per garantire la sicurezza dei dati e la conformità alla normativa. 

Le aziende devono adottare, per obbligo normativo, tecniche crittografiche robuste per proteggere le password degli utenti, rendendo difficile per un aggressore recuperarle, anche nel caso in cui riesca ad accedere al database. Così come impedire che perfino i dipendenti che vi accedono legittimamente nell'ambito della propria mansione lavorativa possano avervi accesso diretto. 

È altrettanto importante che le aziende monitorino gli accessi per rilevare quelli non autorizzati e implementino misure di risposta rapida in caso di violazioni (SOC, log degli accessi ecc...). E’ poi fondamentale mantenersi aggiornati sulle nuove minacce e vulnerabilità, poiché le tecnologie e le tattiche dei cyber criminali evolvono rapidamente e le aziende devono essere pronte ad adattarsi.

Investire nella sicurezza delle password non solo protegge gli utenti, ma rafforza anche la fiducia nel marchio e nella reputazione dell'azienda. In un'epoca in cui i dati sono una risorsa preziosa, una gestione efficace delle password risulta cruciale per garantire la protezione delle informazioni personali e la compliance con le normative vigenti.

Per approfondire > Gestione Sicura delle Password in Ambito Aziendale per la Conformità al GDPR