Facebook pode ser multado na UE em até US$ 1,63 bilhão pelo ataque hacker

Órgãos de proteção à privacidade da União Europeia podem aplicar multa de até US$ 1,63 bilhão ao Facebook devido às falhas no código da rede social qie permitiram a hackers controlar os perfis de 50 milhões de pessoas. A multa seria uma punição caso as autoridades concluam que a empresa não cumpriu regras de proteção de dados pessoais do bloco europeu.

A Comissão de Proteção de Dados da Irlanda (DPC, na sigla em inglês), país em que o Facebook tem sede, informou no domingo (30) que "está aguardando do Facebook detalhes urgentes da falha de segurança que impactou 50 milhões de usuários, incluindo detalhes de usuários da UE afetados, para que possamos ter uma noção apropriada da natureza desse vazamento e dos riscos a usuários". Esse foi o segundo aviso que a autoridade irlandesa disparou para a rede social.

VEJA TAMBÉM:

• Deslogou aí? Facebook admite ataque hacker que afetou 50 milhões de contas
• Ataque ao Facebook permitiu invasão a conta de app que usa site como login
• Esqueceu a senha? Veja como recuperar o acesso ao seu Facebook

O Facebook revelou na sexta-feira (28) a existência de uma vulnerabilidade em seus códigos, descoberta na terça-feira (25). Tanto Guy Rosen, vice-presidente de gerenciamento de produtos da rede social, como Mark Zuckerberg, CEO da empresa, afirmaram que haviam comunicado a falha às autoridades nos EUA e na Europa, incluindo a comissão da Irlanda.

Só que, assim que a notícia foi divulgada, a entidade já levantava preocupação sobre dois pontos: "O DPC está preocupado de que essa brecha foi descoberta na terça e afeta milhões de usuários. Até agora, o Facebook não conseguiu esclarecer a natureza do vazamento e qual seu risco aos usuários".

O incidente é o primeiro grande desafio do Regulamento Geral de Proteção de Dados (GRDP, na sigla em inglês), que entrou em vigor em maio na União Europeia e implantou mais exigências para empresas que manipulam informações de europeus e estabelece punições mais duras para aquelas que não cumprem as normas.

Entre outras penas, a multa aplicada às infratoras pode variar de 20 milhões de euros a 4% da receita global da empresa - vale o maior valor. Como o Facebook faturou US$ 40,6 bilhões, a multa poderia chegar a US$ 1,63 bilhão.

Apenas ser alvo de um ataque cibernético que exponha informações de clientes não é suficiente para uma empresa ser enquadrada. Para serem punidas, os órgãos de proteção à privacidade da UE têm de concluir que a companhia não fez o suficiente para proteger seus usuários — desde implementar as melhores práticas de privacidade e exigir que seus fornecedores façam o mesmo — ou que ela tenha desrespeitado alguma demanda legal.

Uma das regras para casos de ataque hacker, por exemplo, é que a empresa vítima informe as autoridades competentes até 72 horas após o incidente. Dependendo do momento em que descobriu o ataque hacker na terça, o Facebook pode ter descumprido essa cláusula, já que avisou as autoridades apenas na terça.

"Eu insisto que o Facebook coopere com o DCP da Irlanda. Nós precisamos saber se usuários da UE foram afetados e o que aconteceu com os dados deles", afirmou V?ra Jourová, comissária do bloco europeu.

Entenda o ataque

A vulnerabilidade na função "ver como" permitiu que os criminosos acessassem tokens — "chaves digitais" que deixam as pessoas continuar logadas no serviço sem precisar recolocar a senha — e isso poderia ser usado para tomar controle das contas das pessoas.

Para resolver o problema, o Facebook resetou os tokens de acesso de 50 milhões de contas. Outros 40 milhões de perfis foram deslogados como precaução. Com isso, 90 milhões de perfis foram afetados — isso representa 4% do total de 2,23 bilhões de usuários mensais do site.

Segundo o próprio Facebook, a invasão pode não ter ficado restrita à rede social. Isso porque, segundo Rosen, ficaram vulneráveis a alguma invasão todos os serviços que usam o cadastro do Facebook como login de entrada. A lista inclui plataformas famosas, como Spotify e AirBnb.