Meta 因以纯文本形式存储用户密码被罚款 9100 万欧元

爱尔兰数据保护委员会 (DPC) 在对 Meta Platforms Ireland Limited (MPIL) 处理用户数据的方式进行了为期五年的调查后，对其处以 9100 万欧元的罚款。

这项调查于 2019 年 4 月启动，起因是 MPIL 自行报告了一起事件，该事件称用户密码被无意中以明文形式存储在内部系统中，绕过了正确的加密协议。

主要发现和 GDPR 违规行为

DPC 的决定突出了多项违反《通用数据保护条例》（GDPR）的行为。

该决定在 2024 年 6 月根据 GDPR 第 60 条提交草案后，得到了其他欧洲经济区（EEA）当局的一致批准，没有提出异议。

负责监督调查的委员 Des Hogan 博士和 Dale Sunderland 认定，MPIL 的行为不符合多项 GDPR 要求，包括：

• GDPR 第 33(1) 条- Meta 未能向 DPC 通报涉及以纯文本存储用户密码的个人数据泄露事件。

• GDPR 第 33(5) 条– Meta 未正确记录有关这些密码未加密存储的违规行为。

• GDPR 第 5(1)(f) 条- Meta 未实施足够的技术或组织措施来确保用户密码的安全免遭未经授权的处理。

• GDPR 第 32(1) 条- 该公司未能遵守适当的安全标准来维护用户密码的机密性和完整性。

副局长 Graham Doyle 强调了保护用户密码的重要性，他表示：“考虑到访问此类数据可能引发滥用风险，人们普遍认为用户密码不应以明文形式存储。

必须牢记，本案中考虑的密码特别敏感，因为它们将允许访问用户的社交媒体帐户。”

Meta 的密码安全漏洞

2019 年 3 月，Meta 向 DPC 披露，其内部系统中某些用户密码被错误地以明文形式存储，没有加密或加密保护。

该事件不涉及外部访问这些密码。该调查于 2019 年 4 月开始，旨在评估 Meta 是否遵守 GDPR 义务，重点关注该公司是否采取了足够的措施来保护用户密码，是否适当记录了违规行为并按要求通知了 DPC。

该决定以 GDPR 的完整性和保密性原则为核心，要求 Meta 等数据控制者实施针对数据处理风险的强大安全措施。

这包括评估和降低风险以维护密码等个人数据的安全的义务。

DPC 的决定包括两项关键的纠正措施：

• 根据《GDPR》第 58(2)(b) 条，因未能维护适当的数据保护标准而受到谴责。

• 根据 GDPR 第 58(2)(i) 条和第 83 条，处以 9100 万欧元的行政罚款。

DPC 的调查结果强调了数据控制者的重要义务，即充分保护个人数据、及时记录任何违规行为并立即通知监管机构。

鉴于未加密密码存储可能带来的风险（包括未经授权的访问和数据滥用），这一决定对整个欧盟处理敏感数据的组织发出了严厉警告。

DPC承诺将很快公布该决定的全文和其他细节。

https://gdpr-info.eu/

原文始发于微信公众号（网络研究观）：Meta 因以纯文本形式存储用户密码被罚款 9100 万欧元