社群平台Meta数年前被发现未加密储存用户密码,上周遭爱尔兰资料保护主管机关处以9,100万欧元罚金。
2019年3月Meta被发现以明码储存用户密码,其爱尔兰分公司向爱尔兰资料保护委员会(Data Protection Commission,DPC)坦承它不慎以明文形式将「某部份」用户密码储存在内部系统,DPC于4月启动调查。经过5月调查,今年6月DPC做出裁决草案,这份草案获得欧盟会员国主管机关无异议通过。DPC也在9月26日通知Meta最终裁决,包含9,100万欧元罚款。
根据爱尔兰主管机关的调查,Meta的罪状包括未能通知,亦未能文件记录其明码储存用户密码的个资外泄事件,他们也未能使用适当的技术或组织措施防止用户密码遭未授权处理,以及确保用户密码的长期机密性。简而言之,Meta行为已经违反了欧盟隐私法GDPR。
安全专家Brian Krebs报导2019年Meta的资安事件,估计共有2亿到6亿脸书用户密码以明文储存,以致可为该公司2万员工搜寻得到,外泄事件最早可追溯到2012年。而且根据Meta/脸书内部调查,log显示,2,000名脸书工程师已对储存的用户密码资料库做了大约900万次查询。最终被曝光事件影响的脸书用户人数不得而知。Meta对当局说,这些密码并未被外部人士存取。
这已是Meta多次挨罚中的最新记录。去年5月Meta因把欧盟用户的个资传送到美国,遭罚12亿欧元,是GDPR金额历来最高的罚单。2022年Meta的脸书因资料保存不当,让他人从其平台撷取5亿用户个资被罚2.65亿欧元。其余这家社群平台也先后因Instagram、WhatsApp、脸书资料处理被开罚单。Meta自2018年向欧盟缴交罚金已经高达25亿欧元,是罚款最大户。