Read, hack, repeat

Twitter demora 14 dias para avisar sobre vulnerabilidade e é multado em € 450 mil na Irlanda

Guilherme Petry

O Twitter foi multado em € 450 mil por não notificar a Comissão de Proteção de Dados irlandesa (DPC) sobre uma violação de segurança dentro do prazo, que é de 72 horas, além de não documentá-la adequadamente. As infrações vão contra o Regulamento Geral de Proteção de Dados (GDPR).

A comissão informou que já estava investigando o Twitter desde janeiro de 2019. Segundo a DPC, o Twitter infringiu o Artigo 33 (1) e o 33 (5) do GDPR, ou seja: falha em notificar a violação a tempo, além de falha em documentar a violação de forma adequada. “A DPC aplicou uma multa administrativa de € 450 mil ao Twitter como medida eficaz, proporcionada e dissuasiva”, diz a comissão em nota à imprensa.

O GDPR é o regulamento de política de dados na Europa que entrou em vigor em maio de 2018, após os escândalos envolvendo o Facebook, a Cambridge Analytica e a eleição do ex-presidente Donald Trump nos Estados Unidos. Segundo o regulamento, os órgãos reguladores, como a DPC da Irlanda, podem impor multas de até € 20 milhões ou valor equivalente a 4% do faturamento anual da empresa.

O caso

O vazamento que fez o Twitter ser multado foi causado por um bug no app da rede social para Android de pelo menos seis anos atrás. O bug permitia que fossem expostos tweets privados, de contas protegidas.

De acordo com a Bleepingcomputer, o Twitter disse que não percebeu a gravidade do problema até o dia 3 de janeiro de 2019, mas a descoberta do bug foi feita no dia 26 de dezembro de 2018, pelo programa de bug bounty da empresa. Mesmo assim, a empresa falhou em relatar o caso dentro do prazo, só avisando à DPC no dia 8 de janeiro.

No Twitter, a empresa lamenta que isso tenha acontecido, assume a responsabilidade pelo erro e garante trabalhar para proteger a privacidade de seus usuários. Também disse ter colaborado de perto com a DPC irlandesa durante a investigação.

"O Twitter trabalhou em estreita colaboração com a Comissão Irlandesa de Proteção de Dados para apoiar sua investigação. Temos um compromisso compartilhado com a segurança e privacidade online e respeitamos a decisão deles, que está relacionada a uma falha em nosso processo de resposta a incidentes”, diz o Tweet.


Fontes: Data Protection Commission (DPC); Bleepingcomputer; Twitter.

Compartilhar twitter/ facebook/ Copiar link
Your link has expired
Success! Check your email for magic link to sign-in.