Nel 2019 si è scoperto che Meta ha salvato le password di centinaia di milioni di utenti in formato testuale, rendendole praticamente accessibili a tutti i dipendenti dell’azienda. Il database in cui erano contenute le password è stato infatti consultato da almeno 2.000 ingegneri per ben 9 milioni di volte.
Un errore che praticamente ha messo a rischio la privacy di tutti i milioni di utenti coinvolti, ma Meta si è difesa dicendo che dopo essersi accorta del problema non ha notato nessun utilizzo illecito delle password da parte dei suoi dipendenti e che le password non erano accessibili a individui esterni all’azienda. Sicuramente un lato positivo di tutta questa vicenda, ma che non diminuisce la gravità di quest’episodio, soprattutto quando molte aziende preservano le password con la crittografia in hash.
E il processo per crittografare le password funziona soltanto in una direzione, quindi in quel caso chi accede al database delle password non può in alcun modo riconvertirle in testo, a meno che un hacker non voglia provare a indovinare la password perdendo tempo e utilizzando enormi risorse computazionali.
L’Irlanda multa Meta per l’errore delle password avvenuto nel 2019
La crittografia al giorno d’oggi è un processo richiesto anche per legge in diversi paesi del mondo, quindi quest’errore della compagnia di Mark Zuckerberg le è costato caro. Le autorità irlandesi hanno infatti imposto una multa alla multinazionale dal valore di 101 milioni di dollari (circa 90.4 milioni di euro) dopo 5 anni di investigazioni. Con questa nuova multa, l’Unione Europea ha praticamente sanzionato Meta per un totale di 2 miliardi di euro.
“Che le password degli utenti non debbano essere preservate in formato testuale è una cosa largamente accettata, considerato il rischio di abuso che potrebbe arrivare dalle persone che accedono a questi dati“, ha dichiarato Graham Doyle, commissario della Data Protection Commission iralandese, “bisogna tenere a mente che le password, l’oggetto in considerazione in questo caso, sono particolarmente sensibili, in quanto permettono di accedere agli account social di un utente“.