A Comissão Irlandesa de Proteção de Dados (DPC) impôs uma multa de 91 milhões de euros à Meta após uma investigação sobre uma falha de segurança detectada em março de 2019. Na ocasião, a empresa reconheceu ter armazenado inadvertidamente senhas de usuários do Facebook e Instagram em texto simples.

O inquérito, iniciado em abril de 2019, concluiu que a Meta desrespeitou quatro disposições do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. A DPC apontou que a empresa não informou a violação de forma imediata, deixou de registrar adequadamente o incidente de segurança e não adotou medidas técnicas para proteger as senhas dos usuários.

A Meta havia informado inicialmente que a vulnerabilidade expôs parte das senhas de usuários do Facebook, mas afirmou não haver sinais de que essas informações tenham sido acessadas de forma indevida. Conforme foi relatado, algumas dessas senhas datavam desde 2012, e aproximadamente 2.000 funcionários tiveram acesso a esses dados em mais de nove milhões de consultas internas.

Posteriormente, a empresa admitiu que a mesma falha também impactou milhões de senhas de usuários do Instagram, e começou a alertar os afetados. Graham Doyle, vice-comissário da DPC, destacou que armazenar senhas em texto simples é uma prática inaceitável devido aos riscos potenciais de acesso não autorizado. Em resposta, a Meta declarou ter adotado ações imediatas para solucionar o problema e informou a DPC de maneira proativa sobre a falha.