La filiale irlandese di Meta, “casa madre” di Facebook, Instagram, WhatsApp e altre note piattaforme, ha ricevuto un’ammenda multimilionaria da parte della Data Protection Commission (DPC) di Dublino. La DPC è l’equivalente del Garante per la protezione dei dati personali italiano (Garante Privacy), con responsabilità simili nell’applicazione e nel controllo delle normative sulla privacy e sulla protezione dei dati personali. Ha un ruolo significativo perché molte grandi aziende tecnologiche, come Meta, Google e Apple, soltanto per fare qualche nome, hanno la loro sede europea proprio in Irlanda. DPC ha irrogato a Meta una multa da 91 milioni di euro per aver memorizzato in chiaro una parte delle password personali degli utenti.
Com’è possibile che Meta-Facebook abbiano memorizzato le password degli utenti in chiaro?
L’incidente non è recente. A segnalare la pratica “sconsiderata” era stato nel 2019 il giornalista Brian Krebs che nel suo blog sosteneva come oltre 2.000 impiegati di Facebook (la fondazione di Meta è successiva: risale a fine ottobre 2021) avessero lanciato delle query sulle password degli utenti. Per eseguire questo tipo di interrogazioni a livello di database, evidentemente, le password devono essere in chiaro, quindi salvate così come introdotte dagli utenti, senza alcun tipo di hashing.
L’indagine del DPC è iniziata quando Meta ha comunicato pubblicamente di aver rilevato, durante una revisione delle sue misure di sicurezza, che alcune password erano state archiviate in un formato leggibile senza protezione crittografica. L’incidente ha coinvolto principalmente utenti di Facebook Lite, ma anche milioni di utenti di Instagram e Facebook.
All’epoca Facebook si affrettò a sottolineare che le password in chiaro non erano accessibili a terzi e non vi erano evidenze di abusi o accessi non autorizzati. La semplice archiviazione delle password senza protezione crittografica rappresenta tuttavia una grave violazione del Regolamento generale sulla protezione dei dati GDPR).
Sembra incredibile, ma ancora oggi ci sono siti Web e piattaforme online che ancora conservano le password degli utenti in chiaro. In un altro articolo abbiamo visto come conservano le password i siti sui loro server.
Le violazioni contestate a Meta
Tra le principali violazioni riscontrate e formalmente notificate a Meta vi sono le seguenti:
- Meta non ha informato tempestivamente il DPC circa la violazione dei dati personali.
- Non risulta disponibile adeguata documentazione dell’incidente occorso.
- DPC ha rilevato l’assenza di adeguate misure di integrità e riservatezza.
- L’Autorità ha riscontrato la mancata implementazione di misure tecniche e organizzative per proteggere le password degli utenti, come la crittografia.
Nonostante Meta abbia collaborato volontariamente con le autorità irlandesi, la gravità della violazione ha portato alla sanzione da 91 milioni di euro. I portavoce di DPC hanno dichiarato che in futuro forniranno ulteriori dettagli sull’incidente e sulla sua decisione ufficiale.
Come abbiamo osservato all’epoca, ciò che lascia di stucco è che le password di una parte degli utenti di Facebook siano rimaste in chiaro, sui server dell’azienda, lungo una finestra temporale ampia: dal 2012 al 2019.
Come ha fatto l’autore dell’articolo ad accorgersi che Facebook salvava le password di una parte degli utenti in chiaro, senza alcuna protezione crittografica?
Nel nostro articolo, citato in precedenza, abbiamo presentato qualche suggerimento per accorgersi in quali circostanze una piattaforma online memorizza le password degli utenti in chiaro, senza applicare alcuna cifratura. Non sempre, tuttavia, è così facile accorgersi del problema. Anche perché tutte le informazioni sono memorizzate lato server e nella stragrande maggioranza dei casi è impossibile, dall’esterno, scendere nel dettaglio della configurazione software e delle misure di sicurezza utilizzate.
Nel caso di Brian Krebs, il giornalista afferma di aver appreso della situazione attraverso una segnalazione proveniente da una fonte interna di Facebook, un dipendente di alto livello che ha condiviso i dettagli sull’indagine in corso.
A gennaio 2019, infatti, un gruppo di ingegneri Facebook notò che alcune password degli utenti venivano accidentalmente registrate in chiaro durante la revisione di un nuovo codice. Questo ha portato alla creazione di un gruppo di lavoro per esaminare in modo approfondito il problema e per garantire che simili incidenti non avessero a ripetersi.