因意外将6 亿 Facebook 用户的密码以明文形式存储,当地时间9月27日,爱尔兰数据保护委员会(DPC)宣布对Facebook母公司Meta处以9100万欧元(约合1.01亿美元)罚款。
这一处罚结果源自一起已经持续了5年的调查。2019年3月,美国安全研究员布赖恩·克雷布斯(Brian Krebbs) 发现Meta用户账户密码安全存在缺陷,随后,Meta证实其社交媒体用户的某些密码被以“明文”形式存储在其内部系统上(即没有加密保护或加密),并向DPC进行了通报,强调这些密码仅在 Meta 内部暴露,且没有证据表明其中任何密码被滥用,并立即采取行动修复了该错误。
2019年4月,DPC 启动了对Meta的调查,评估了Meta对《通用数据保护条例》(GDPR) 的遵守情况,最终,DPC认定Meta违反了GDPR中规定的相关安全要求:
- 违反GDPR 第 33(1) 条,Meta未能通知 DPC 有关以明文形式存储用户密码的个人数据泄露;
- 违反GDPR 第 33 条第 5 款,Meta 未能记录与以明文形式存储用户密码有关的个人数据泄露;
- 违反GDPR 第 5 条第 (1) 款第 (f) 项,Meta 没有使用适当的技术或组织措施来确保用户密码的适当安全性,防止未经授权的处理;
- 违反GDPR 第 32 条第 (1) 款,Meta 没有实施适当的技术和组织措施来确保与风险相适应的安全级别,包括确保用户密码持续机密性的能力。
“考虑到访问此类数据的人所带来的滥用风险,用户密码不应以明文形式存储,”DPC 副专员格雷厄姆·多伊尔 (Graham Doyle) 在一份关于谴责的声明中表示。
就在此次处罚宣布后,最初的爆料者克雷布斯在 LinkedIn 上发表评论称,虽然他没有发现 Facebook 员工当时访问了被曝光密码的证据,但 "安全/隐私缺陷可能会让 Facebook 20 万员工中的任何一人看到这多达 6 亿个账户的明文密码。
附:Meta近期因GDPR违规被罚记录
2022年11月,Meta 旗下的 Facebook被罚 2.65 亿欧元,原因是三年前的数据抓取泄露暴露了数亿条用户记录。
2023 年 1 月,DCP 宣布对 Meta 的 Facebook 处以 2.1 亿欧元的罚款,对 Instagram 处以 1.8 亿欧元的罚款,这两项罚款均因违反与用户同意和数据处理相关的 GDPR 规定。同月,Meta 还因 WhatsApp 的违规行为支付了 550 万欧元的罚款。
2023年5月,Meta 因向美国传输个人数据的方式而被处以 12 亿欧元的罚款,这是有史以来最大的 GDPR 罚款。Meta 正在对 DCP 的判决提出上诉。
参考来源:
Meta fined $100M for exposing plaintext passwords of millions of Facebook users