La información bancaria personal de 29.000 trabajadores de Facebook Inc. en los Estados Unidos se vio comprometida el mes pasado cuando un ladrón robó varios discos duros corporativos del automóvil de un empleado.
Los discos duros, que no estaban cifrados, incluían datos de nómina como nombres de empleados, números de cuentas bancarias y los últimos cuatro dígitos de los números de seguridad social de los empleados, según un correo electrónico que Facebook compartió con el personal el viernes por la mañana. Las unidades también incluyeron información de compensación, incluidos salarios, montos de bonificación y algunos detalles de capital.
Facebook se ha enfrentado a varias instancias en los últimos años de exponer datos personales de los usuarios de la red social. Sin embargo, las unidades robadas no incluían datos de usuarios de Facebook, dijo la portavoz.
“Trabajamos con las fuerzas del orden público mientras investigaban un reciente robo de un auto y el robo de la bolsa de un empleado que contenía equipo de la compañía con información de nómina de empleados almacenada en ella”, dijo la portavoz en un comunicado compartido con Bloomberg. “No hemos visto evidencia de abuso y creemos que fue un crimen aplastante en lugar de un intento de robar información de los empleados”.
El robo ocurrió el 17 de noviembre, y Facebook se dio cuenta de que faltaban los discos duros el 20 de noviembre, según el correo electrónico interno. El 29 de noviembre, una “investigación forense” confirmó que esos discos duros incluían información sobre la nómina de los empleados. Facebook comenzó a alertar a los empleados afectados el viernes 13 de diciembre.
El empleado que fue robado es miembro del departamento de nómina de Facebook, y se suponía que no debía llevar los discos duros fuera de la oficina. “Hemos tomado las medidas disciplinarias apropiadas”, dijo la portavoz. “No discutiremos los detalles del personal individual”.
Facebook todavía está trabajando con la policía para recuperar la información, aunque no se ha encontrado ninguno de los discos duros. En un correo electrónico, Facebook alentó a los empleados a notificar a sus bancos y les ofreció una suscripción de dos años a un servicio de monitoreo de robo de identidad.
Este caso plantea preguntas sobre el nivel de las medidas de seguridad que cuenta la red social con respecto a la protección de los datos de sus usuarios y empleados. Tampoco se entiende por qué datos sensibles se transportan tan casualmente en discos duros sin cifrar. Lo más probable es que no se le pidiera al empleado que lo transportara de esta manera y podría ser por error.
Sin embargo, como señaló The Verge , almacenar datos bancarios y personales de los empleados en forma no encriptada es una práctica cuestionable considerando que el empleado estaba paseando por el Área de la Bahía altamente propensa al robo.
Este tipo de riesgo es asumido por muchas empresas de forma generalizado que no dimensionan las consecuencias legales, económicas y de confianza que traen estos incidentes para la organización.