La información filtrada se publicó en un foro de Internet e incluía nombres completos, números de teléfono, ubicaciones, fecha de nacimiento y, en algunos casos, la dirección de correo electrónico de millones de usuarios de Meta entre 2018 y 2019. Cuando Business Insider sacó a la luz la filtración, Meta dijo que el atacante había conseguido la información mediante una vulnerabilidad que la compañía había reparado en 2019. También comentó que los datos sustraídos eran los mismos que habían salido a la luz en una filtración anterior que fue revelada por Motherboard en enero de 2021.
Según ha determinado la DCP, Meta violó el artículo 5 del RGPD que versa sobre los principios relativos al tratamiento de los datos personales. “Dado que este conjunto de datos eran tan grande, que ya había habido precedentes de scraping en la plataforma y que los problemas se podían haber identificado antes, finalmente imponemos una multa significativa”, dice Helen Dixon, comisaria para la protección de datos en Irlanda. El scraping es una técnica que permite a los atacantes acceder a datos a partir de la lectura de un sitio web.
Esta no es la primera, y posiblemente no será la última, multa multimillonaria que Irlanda impone a Meta por los fallos de seguridad o malas prácticas de alguna de sus filiales, que incluyen a Facebook, Instagram y Whatsapp. La de hoy es la tercera sanción en lo que va de año. La primera fue de 17 millones de euros por no proteger correctamente los datos de los usuarios y la segunda subió hasta los 405 millones de euros por no cumplir con el artículo 5 del RGPD. A estos casi 750 millones de euros en multas hay que sumarle un castigo de 225 millones de euros que Whatsapp recibió en 2021.