以明文形式存储数亿个密码,Meta 被罚 1 亿美元

admin 2024年10月8日22:06:36评论20 views字数 826阅读2分45秒阅读模式

以明文形式存储数亿个密码,Meta 被罚 1 亿美元

关键词

明文密码

因意外将6 亿 Facebook 用户的密码以明文形式存储,当地时间9月27日,爱尔兰数据保护委员会(DPC)宣布对Facebook母公司Meta处以9100万欧元(约合1.01亿美元)罚款。

这一处罚结果源自一起已经持续了5年的调查。2019年3月,美国安全研究员布赖恩·克雷布斯(Brian Krebbs) 发现Meta用户账户密码安全存在缺陷,随后,Meta证实其社交媒体用户的某些密码被以“明文”形式存储在其内部系统上(即没有加密保护或加密),并向DPC进行了通报,强调这些密码仅在 Meta 内部暴露,且没有证据表明其中任何密码被滥用,并立即采取行动修复了该错误。

2019年4月,DPC 启动了对Meta的调查,评估了Meta对《通用数据保护条例》(GDPR) 的遵守情况,最终,DPC认定Meta违反了GDPR中规定的相关安全要求:

  • 违反GDPR 第 33(1) 条,Meta未能通知 DPC 有关以明文形式存储用户密码的个人数据泄露;

  • 违反GDPR 第 33 条第 5 款,Meta 未能记录与以明文形式存储用户密码有关的个人数据泄露;

  • 违反GDPR 第 5 条第 (1) 款第 (f) 项,Meta 没有使用适当的技术或组织措施来确保用户密码的适当安全性,防止未经授权的处理;

  • 违反GDPR 第 32 条第 (1) 款,Meta 没有实施适当的技术和组织措施来确保与风险相适应的安全级别,包括确保用户密码持续机密性的能力。

“考虑到访问此类数据的人所带来的滥用风险,用户密码不应以明文形式存储,”DPC 副专员格雷厄姆·多伊尔 (Graham Doyle) 在一份关于谴责的声明中表示。

就在此次处罚宣布后,最初的爆料者克雷布斯在 LinkedIn 上发表评论称,虽然他没有发现 Facebook 员工当时访问了被曝光密码的证据,但 “安全/隐私缺陷可能会让 Facebook 20 万员工中的任何一人看到这多达 6 亿个账户的明文密码。

END

原文始发于微信公众号(安全圈):【安全圈】以明文形式存储数亿个密码,Meta 被罚 1 亿美元

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月8日22:06:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   以明文形式存储数亿个密码,Meta 被罚 1 亿美元https://cn-sec.com/archives/3242775.html

发表评论

匿名网友 填写信息