DUBLIN (Reuters) - O principal regulador do Facebook (NASDAQ:FB) na União Europeia, o Irish Data Protection Commissioner (DPC), iniciou na quarta-feira uma investigação sobre um ataque cibernético em massa no site de rede social divulgado pela empresa na semana passada.
O Facebook informou sexta-feira que hackers haviam roubado códigos que permitiram o acesso a quase 50 milhões de contas do Facebook, sua maior falha de segurança, devido ao acesso potencial sem precedentes.
"Em particular, a investigação vai examinar o compliance do Facebook com suas obrigações sob a Regulação Geral de Dados (GDPR, na sigla em inglês) para implementar medidas técnicas e organizacionais para garantir a segurança e a proteção de dados pessoais que processa", disse o DPC em um comunicado.
A porta-voz do Facebook Katy Dormer se recusou a comentar sobre a revisão da agência.
Sob as novas regras de privacidade europeia GDPR, que entraram em vigor em maio, infringir as leis de privacidade pode resultar em multas de até 4 por cento da receita global ou 20 milhões de euros, o que for maior, diferente da multa de poucos milhões de euros que existia anteriormente.
O DPC, que regula uma série de multinacionais dos EUA com sede europeia em Dublin, disse que o Facebook informou que sua própria investigação interna está avançando e que a empresa continua a tomar medidas para mitigar o potencial risco aos usuários.
O Facebook disse terça-feira que investigadores haviam determinado que hackers não acessaram outros sites que usam o acesso único pela rede social.
A Comissão Federal de Comércio dos EUA aconselhou usuários do Facebook a considerarem a possibilidade de alterar suas senhas e ficarem atentos a "golpes de impostores" direcionados a eles com dados roubados do site de rede social.
"Se alguém te chamar do nada pedindo dinheiro ou informações pessoais, desligue", disse a advogada do FTC Lisa Weintraub Schifferle, em um alerta publicado no website da agência.
Alguns especialistas em segurança, incluindo um ex-executivo do Facebook, disseram que a empresa pode ter pintado um cenário pior quando divulgou o ataque sexta-feira para garantir compliance com as novas regras severas da União Europeia.
O GDPR impõe penalidades duras se empresas não conseguirem acompanhar regras que incluem um requisito de que divulguem falhas dentro de 72 horas após a descoberta. Isso é uma janela restrita que especialistas em segurança dizem não dar a investigadores tempo adequado para determinar o impacto da falha.
(Por Padraic Halpin, reportagem adicional Jim Finkle)