La Commission irlandaise de protection des données (DPC) a infligé à Meta une amende de 101,5 millions de dollars (91 millions d’euros) après avoir clôturé une enquête sur une faille de sécurité en 2019, dans laquelle la société a stocké par erreur les mots de passe des utilisateurs en texte brut. L’annonce originale de Meta ne parlait que de la façon dont elle avait trouvé certains mots de passe d’utilisateurs stockés en texte brut sur ses serveurs en janvier de la même année. Mais un mois plus tard, il a mis à jour son annonce pour révéler que des millions de mots de passe Instagram étaient également stockés dans un format facilement lisible.
Bien que Meta n’ait pas précisé combien de comptes étaient concernés, un employé senior a déclaré Krebs sur la sécurité à l’époque, l’incident impliquait jusqu’à 600 millions de mots de passe. Certains mots de passe étaient stockés dans un format facilement lisible sur les serveurs de l’entreprise depuis 2012. Ils auraient également pu être recherchés par plus de 20 000 employés de Facebook, bien que la DPC ait précisé dans sa décision qu’ils n’étaient au moins pas mis à la disposition de parties externes.
Le DPC a constaté que Meta avait violé plusieurs règles du RGPD liées à cette violation. Il a déterminé que la société n’avait pas « informé la DPC d’une violation de données personnelles concernant le stockage des mots de passe des utilisateurs en texte clair » sans retard injustifié et n’avait pas « documenté les violations de données personnelles concernant le stockage des mots de passe des utilisateurs en texte clair ». Il a également déclaré que Meta avait violé le RGPD en n’utilisant pas de mesures techniques appropriées pour garantir la sécurité des mots de passe des utilisateurs contre tout traitement non autorisé.
« Il est largement admis que les mots de passe des utilisateurs ne doivent pas être stockés en clair, compte tenu des risques d’abus qui découlent de l’accès des personnes à ces données. Il faut garder à l’esprit que les mots de passe faisant l’objet d’un examen dans ce cas sont particulièrement sensibles », car ils permettraient d’accéder aux comptes de réseaux sociaux des utilisateurs », a déclaré le sous-commissaire du DPC, Graham Doyle, dans un communiqué.
La DPC a également infligé à l’entreprise une réprimande en plus de la sanction. Nous en saurons peut-être davantage sur ce que cela signifie pour Meta exactement lorsque la commission publiera sa décision finale complète et d’autres informations connexes à l’avenir.