2024 年 9 月 27 日,Meta 被爱尔兰数据保护委员会(DPC)罚款 9100 万欧元。
此次罚款源于 2019 年的一次安全审查,当时 Meta 被发现以明文形式存储用户密码。用户密码不应该以明文的形式存储,这是一项基本的安全标准,因为一旦这些数据被不当访问,可能会带来严重的滥用风险。Meta 未能采取适当措施保护用户的密码数据,而且太晚才向委员会通报。
Meta 作为一家全球知名的科技公司,拥有庞大的用户群体。在数据安全方面理应承担更高的责任。以明文形式存储密码,意味着如果公司的服务器遭到黑客攻击,用户的密码将很容易被窃取。这不仅会给用户的个人信息安全带来巨大威胁,也可能导致用户的财产损失。
爱尔兰数据保护委员会在发现这一问题后,经过长达五年的调查,最终决定对 Meta 处以巨额罚款。这一决定向 Meta 以及其他科技公司发出了一个强烈信号,即必须高度重视用户数据安全,严格遵守数据保护法规。
原因主要包括以下几点:
以明文存储密码:用户密码不应该以明文的形式存储,这是基本的安全标准,然而 Meta 在没有采取保护措施或者对数据进行加密的情况下,储存了部分用户的密码信息。Meta 的这一行为使这些密码数据一旦被不当访问,可能会带来严重的滥用风险。
通知不及时:Meta 不仅没能采取适当措施保护用户的密码数据,而且太晚才向爱尔兰数据保护委员会通报。Meta 公司最初在 2019 年 3 月向爱尔兰数据保护委员会报告时,只提到该公司在当年 1 月被发现的一些用户密码以明文形式存储在服务器上,一个月后才更新称还有数百万个 Instagram 的账户密码也被以易于阅读的格式存储。
Meta 被罚款涉及多少用户
虽然 Meta 官方没有透露具体有多少用户受到影响,但一名高级员工当时告诉 Krebs on Security 这一事件涉及 6 亿多个密码,其中一些密码自 2012 年以来就以明文格式存储在公司服务器上,甚至可以被 2 万多名 Facebook 员工任意搜索查看。不过,DPC 已澄清 Meta 未对外公开过具体涉及的用户数量。
如此庞大数量的用户密码被以不安全的方式存储,其潜在风险可想而知。这不仅涉及到用户的个人隐私问题,还可能对用户的社交网络活动、在线交易等方面产生严重影响。如果这些密码被不法分子获取,用户可能会面临账户被盗、个人信息被泄露、遭受网络诈骗等风险。
Meta 公司表示已采取行动修复错误,并且没有证据表明这些密码曾被滥用或遭到不当访问。
Meta 因 GDPR 被罚款总额
截至目前,由于违反欧盟 2018 年出台的《通用数据保护条例》(GDPR),Meta 已被罚款共计 25 亿欧元。其中包括 2023 年因向美国传输欧盟用户数据被罚款 12 亿欧元,以及此次因以明文存储用户密码被罚款 9100 万欧元等。此外,Meta 还因其他违反 GDPR 的行为被多次罚款。
世界就是一个巨大的草台班子