La Commissione Irlandese per la Protezione dei Dati (Data Protection Commission, DPC) ha imposto una multa di 91 milioni di euro a Meta dopo aver scoperto nel 2019 che l'azienda aveva memorizzato 600 milioni di password di Facebook e Instagram in formato testo semplice.
Secondo la DPC, Meta ha violato il Regolamento Generale sulla Protezione dei Dati (GDPR) non adottando le misure tecniche adeguate per garantire la sicurezza delle password degli utenti contro l'elaborazione non autorizzata. Inoltre, Meta non ha notificato tempestivamente alla DPC la violazione dei dati relativi alla memorizzazione delle password in chiaro e non ha documentato adeguatamente tali violazioni.
Le password interessate appartenevano principalmente agli utenti di Facebook Lite, ma la problematica ha coinvolto anche altri utenti di Facebook e Instagram. La questione è emersa accidentalmente durante una revisione del codice da parte di Facebook.
Affari internazionali e mercati neri digitali
Negli anni, diversi set di dati relativi agli utenti di Facebook sono finiti in circolazione nei mercati neri del Dark Web. Sono stati segnalati set specifici per paesi come Iran, Sudan e Hong Kong. Il più vasto tra questi, contenente oltre 303 milioni di record, è stato condiviso su un canale Telegram nel febbraio 2022, includendo indirizzi email, nomi, numeri di telefono e altre informazioni personali.
Nel mese di aprile del 2021, un cybercriminale ha pubblicato gratuitamente più di mezzo miliardo di profili Facebook su un forum hacker. I dati includevano email, ID di Facebook, date di nascita, numeri di telefono e altre informazioni personali identificabili, coprendo profili da oltre 100 Paesi.
Anche i dati personali degli utenti del Marketplace di Facebook sono finiti online. Circa 200.000 record contenenti nomi, numeri di telefono, indirizzi email, ID di Facebook e informazioni del profilo sono stati divulgati.
La salvaguardia delle informazioni personali sulla piattaforma è fondamentale per prevenire possibili attacchi di phishing che sfruttano i dati personali. La consapevolezza e la protezione dell'identità digitale rimangono le migliori difese contro i rischi della cybersecurity.