Meta recibe una multa de $102 millones por almacenar contraseñas en texto plano

 (engadget.com)
19 puntos por GN⁺ 2024-09-30 | 7 comentarios | Compartir por WhatsApp
  • La Comisión de Protección de Datos de Irlanda (DPC) impuso a Meta una multa de 101.5 millones de dólares (91 millones de euros) tras concluir su investigación sobre el incidente de seguridad de 2019
  • Meta había anunciado originalmente en enero de 2019 que algunas contraseñas de usuarios se habían almacenado en texto plano en sus servidores
  • Un mes después, actualizó la información indicando que millones de contraseñas de Instagram también se habían almacenado en un formato fácil de leer
  • Meta no reveló cuántas cuentas resultaron afectadas, pero en ese momento un alto ejecutivo mencionó a Krebs on Security que podrían haber estado involucradas hasta 600 millones de contraseñas
  • Algunas contraseñas se almacenaron en texto plano en los servidores de la empresa desde 2012, y más de 20 mil empleados de Facebook podían consultarlas
  • La DPC confirmó que las contraseñas no fueron proporcionadas a terceros externos
  • La DPC determinó que Meta violó varias reglas del GDPR
    • No notificó sin demora a la DPC sobre una violación de datos personales relacionada con el almacenamiento de contraseñas de usuarios en texto plano
    • No documentó la violación de datos personales relacionada con el almacenamiento de contraseñas de usuarios en texto plano
    • No utilizó medidas técnicas adecuadas para garantizar la seguridad frente al tratamiento no autorizado de las contraseñas de los usuarios
  • El subcomisionado de la DPC, Graham Doyle, señaló que “las contraseñas de los usuarios no deberían almacenarse en texto plano, y esto debe considerarse especialmente sensible dado que permite el acceso a cuentas de redes sociales”
  • Además de la multa, la DPC emitió una advertencia a Meta, y se sabrá más sobre su impacto cuando la comisión anuncie su decisión final

Opinión de GN⁺

  • Este caso servirá como una llamada de atención sobre las prácticas de protección de datos personales en las grandes empresas tecnológicas. Vuelve a recordar lo importante que es gestionar de forma segura los datos de los usuarios
  • Meta debería aprovechar este caso para revisar y mejorar a fondo sus sistemas de seguridad. Además de medidas técnicas como el cifrado, también parecen necesarias acciones organizacionales como capacitación al personal y auditorías internas
  • El nivel de las sanciones por violaciones al GDPR sigue aumentando. Las empresas deben reconocer que cumplir estrictamente con el GDPR y con las leyes de protección de datos de cada país también es clave desde la perspectiva de la gestión de riesgos
  • Por otro lado, en este caso no se ha confirmado evidencia de que la vulnerabilidad de seguridad expuesta haya sido explotada realmente. Aun así, el hecho de que Meta enfrente una multa tan elevada parece deberse a la gravedad del problema y al nivel de incumplimiento de las regulaciones relacionadas
  • En la gestión de contraseñas, además del almacenamiento en texto plano, se requieren diversas medidas de seguridad como el uso de salt/hash y la aplicación de políticas de contraseñas robustas. Las empresas necesitan establecer y aplicar estrictamente políticas sistemáticas de gestión de contraseñas a nivel corporativo

Lecturas relacionadas

7 comentarios

 
princox 2024-09-30

Vaya... esto sí está algo impactante.
 
savvykang 2024-09-30

Facebook siendo Facebook.
 
wedding 2024-09-30

Que sea en FAANG y además en texto plano... de verdad es una noticia increíble..
 
GN⁺ 2024-09-30
Comentarios en Hacker News

  • Meta no intentó almacenar contraseñas en texto plano, pero hubo un incidente en el que, por un bug, las contraseñas en texto plano quedaron registradas en los logs

    • Desde 2012, 600 millones de contraseñas se almacenaron en un formato fácil de leer, y más de 20 mil empleados de Facebook podían acceder a ellas
    • Esto no fue un simple error, sino un problema grave

  • Actualmente la multa equivale al 0.1% de los ingresos

    • Una empresa con ingresos anuales de 1,000 millones de dólares tendría que pagar una multa de 100 mil dólares
    • Esto no genera un incentivo para mantener una seguridad adecuada
    • Si mejorar el debugging mediante logs aumenta la eficiencia en más de 0.1%, para la empresa es un buen trato

  • En las entrevistas de Meta, las preguntas sobre hashing y ataques con tablas arcoíris podrían ser una especie de pedido de ayuda

  • Una multa de 102 millones de dólares suena a mucho, pero la multa por cada contraseña en texto plano filtrada no llega ni a 1 dólar

    • La multa se impuso por no notificar a tiempo a las autoridades
    • Es interesante cómo se evalúa el daño a los usuarios afectados

  • El incidente de filtración de datos de 2019 ocurrió en un sistema creado en 2012

    • El GDPR se introdujo en 2018, y Meta recibió la multa por no divulgar adecuadamente la filtración de datos de 2019

  • No se entiende cómo una empresa grande puede cometer este tipo de errores

    • Hashear y aplicar sal a las contraseñas son procedimientos básicos de seguridad
    • Cuesta imaginar que una gran empresa como Meta/Facebook cometa errores así

  • Ojalá que el sistema del equipo de autenticación no haya registrado en logs payloads que incluían contraseñas

    • Es posible que esto haya ocurrido en un componente de infraestructura administrado por otro equipo

  • Discusión duplicada: enlace
 
darkhi 2024-10-01

Parece que no fue que lo guardaran deliberadamente en texto plano al almacenarlo en el servidor, sino que hubo casos en los que la contraseña ingresada en texto plano quedó guardada durante el proceso de registro en los logs.
Pasa más de lo que uno cree, tanto dentro como fuera del país... (casos en los que la contraseña termina guardada en archivos de log...)
 
2024-09-30
[Este comentario fue ocultado.]