国庆前,爱尔兰数据保护委员会(DPC)对 Meta(前Facebook) 处以 9100 万欧元(7.14 亿元人民币)的罚款,再次敲响数据安全警钟。
原因是 Meta 在未加保护或加密的情况下以明文形式存储用户密码。
一、问题还得从五年前说起
2019年3月,美国安全研究员布赖恩·克雷布斯(Brian Krebbs) 发现 Facebook 用户账户密码安全存在缺陷,当时 Facebook 证实其数亿用户的密码未加密存储,并向 DPC 进行了通报,声称这些密码没有外泄,但同时也承认大约 2000 名工程师曾对这些数据库进行了近 900 万次的查询。
截图来自 javaguide
根据 Meta 的承认,除了“数亿” Facebook Lite 用户外,还有数千万其他 Facebook 和 Instagram 用户受到影响。尽管没有证据表明这些凭据被滥用,或者外部方获得了访问权限,但仍存在巨大的风险。
真就应了那句话:这个世界是个巨大的草台班子。
二、Meta 违反通用数据保护条例
Meta 未能加密密码不仅是一个技术错误,而且违反了欧洲的《通用数据保护条例》(GDPR),该条例要求个人数据必须受到强大的安全措施的保护。
特别是,DPC 发现 Meta 违反了多项重要的 GDPR 规则:
第5条第1款(f)项——完整性和保密性:Meta 没有使用适当的技术或组织措施来确保用户密码的适当安全性。敏感用户数据的保密性和完整性受到威胁。
第32条第1款——处理的安全性:Meta 没有采取必要的组织和技术安全措施来确保与风险相适应的安全级别,包括确保用户密码保持持续的机密性。
第33条第1款——个人数据泄露的通知:尽管 Meta 自愿向 DPC 披露了问题,但直到漏洞活跃了一段时间之后才这样做。
第33条第5款——个人数据泄露的记录:违规行为因 Meta 没有适当记录泄露事件以及延迟通知用户而变得更加严重。
三、为什么密码不能被明文存储?
加密被认为是数据安全领域的绝对最低要求。
在用户忘记密码时,服务端往往是不会告知用户原密码的,而是只能通过密码重置的方式来保护用户的账号安全。这是因为服务端通常是将密码经过哈希算法加密后存储在数据库中,无法反推出原始密码。
以明文形式存储密码就像留下一个未上锁的门,一旦被破门而入,攻击者可以直接获取所有用户的密码,而且,密码通常包含个人信息,明文存储意味着用户的隐私可能会被泄露;更重要的是,如果密码以明文形式存储,内部人员可能会滥用这些信息,比如未经授权地访问用户账户。对于像 Meta 这样管理着全球数十亿用户敏感数据的公司来说,这种疏忽是不可接受的。
四、加密不是可选的,用户数据的安全必须是任何公司的首要任务。
对于所有规模的企业来说:加密不仅是被推荐的,而且是必不可少的。
这一事件再次凸显了现代数字环境的一个基本现实:安全是用户信任的基础。忽视保护敏感数据的公司除了面临罚款外,还冒着失去客户信任的风险。随着数字经济的发展,用户数据的安全必须是任何公司的首要任务。
对于 Meta 来说,财务后果可能不会太严重,但其声誉的损害可能需要更长的时间来修复。
Meta 的 9100 万欧元教训是整个行业必须注意的。
参考链接:
[1]https://www.bbc.com/news/articles/cvgl8lerx85o
[2]https://www.linkedin.com/pulse/ireland-fines-meta-91-million-storing-passwords-plaintext-dhagia-gii8f
