2024 年 9 月 27 日,Meta 被愛爾蘭數據保護委員會(DPC)罰款 9100 萬歐元。
此次罰款源於 2019 年的一次安全審查,當時 Meta 被發現以明文形式存儲用戶密碼。用戶密碼不應該以明文的形式存儲,這是一項基本的安全標準,因為一旦這些數據被不當訪問,可能會帶來嚴重的濫用風險。Meta 未能採取適當措施保護用戶的密碼數據,而且太晚才向委員會通報。
Meta 作為一家全球知名的科技公司,擁有龐大的用戶群體。在數據安全方面理應承擔更高的責任。以明文形式存儲密碼,意味著如果公司的服務器遭到黑客攻擊,用戶的密碼將很容易被竊取。這不僅會給用戶的個人信息安全帶來巨大威脅,也可能導致用戶的財產損失。
愛爾蘭數據保護委員會在發現這一問題後,經過長達五年的調查,最終決定對 Meta 處以鉅額罰款。這一決定向 Meta 以及其他科技公司發出了一個強烈信號,即必須高度重視用戶數據安全,嚴格遵守數據保護法規。
原因主要包括以下幾點:
以明文存儲密碼:用戶密碼不應該以明文的形式存儲,這是基本的安全標準,然而 Meta 在沒有采取保護措施或者對數據進行加密的情況下,儲存了部分用戶的密碼信息。Meta 的這一行為使這些密碼數據一旦被不當訪問,可能會帶來嚴重的濫用風險。
通知不及時:Meta 不僅沒能採取適當措施保護用戶的密碼數據,而且太晚才向愛爾蘭數據保護委員會通報。Meta 公司最初在 2019 年 3 月向愛爾蘭數據保護委員會報告時,只提到該公司在當年 1 月被發現的一些用戶密碼以明文形式存儲在服務器上,一個月後才更新稱還有數百萬個 Instagram 的賬戶密碼也被以易於閱讀的格式存儲。
Meta 被罰款涉及多少用戶
雖然 Meta 官方沒有透露具體有多少用戶受到影響,但一名高級員工當時告訴 Krebs on Security 這一事件涉及 6 億多個密碼,其中一些密碼自 2012 年以來就以明文格式存儲在公司服務器上,甚至可以被 2 萬多名 Facebook 員工任意搜索查看。不過,DPC 已澄清 Meta 未對外公開過具體涉及的用戶數量。
如此龐大數量的用戶密碼被以不安全的方式存儲,其潛在風險可想而知。這不僅涉及到用戶的個人隱私問題,還可能對用戶的社交網絡活動、在線交易等方面產生嚴重影響。如果這些密碼被不法分子獲取,用戶可能會面臨賬戶被盜、個人信息被洩露、遭受網絡詐騙等風險。
Meta 公司表示已採取行動修復錯誤,並且沒有證據表明這些密碼曾被濫用或遭到不當訪問。
Meta 因 GDPR 被罰款總額
截至目前,由於違反歐盟 2018 年出臺的《通用數據保護條例》(GDPR),Meta 已被罰款共計 25 億歐元。其中包括 2023 年因向美國傳輸歐盟用戶數據被罰款 12 億歐元,以及此次因以明文存儲用戶密碼被罰款 9100 萬歐元等。此外,Meta 還因其他違反 GDPR 的行為被多次罰款。
世界就是一個巨大的草臺班子