关键词
明文密码
因意外将6 亿 Facebook 用户的密码以明文形式存储,当地时间9月27日,爱尔兰数据保护委员会(DPC)宣布对Facebook母公司Meta处以9100万欧元(约合1.01亿美元)罚款。
这一处罚结果源自一起已经持续了5年的调查。2019年3月,美国安全研究员布赖恩·克雷布斯(Brian Krebbs) 发现Meta用户账户密码安全存在缺陷,随后,Meta证实其社交媒体用户的某些密码被以“明文”形式存储在其内部系统上(即没有加密保护或加密),并向DPC进行了通报,强调这些密码仅在 Meta 内部暴露,且没有证据表明其中任何密码被滥用,并立即采取行动修复了该错误。
2019年4月,DPC 启动了对Meta的调查,评估了Meta对《通用数据保护条例》(GDPR) 的遵守情况,最终,DPC认定Meta违反了GDPR中规定的相关安全要求:
-
违反GDPR 第 33(1) 条,Meta未能通知 DPC 有关以明文形式存储用户密码的个人数据泄露;
-
违反GDPR 第 33 条第 5 款,Meta 未能记录与以明文形式存储用户密码有关的个人数据泄露;
-
违反GDPR 第 5 条第 (1) 款第 (f) 项,Meta 没有使用适当的技术或组织措施来确保用户密码的适当安全性,防止未经授权的处理;
-
违反GDPR 第 32 条第 (1) 款,Meta 没有实施适当的技术和组织措施来确保与风险相适应的安全级别,包括确保用户密码持续机密性的能力。
“考虑到访问此类数据的人所带来的滥用风险,用户密码不应以明文形式存储,”DPC 副专员格雷厄姆·多伊尔 (Graham Doyle) 在一份关于谴责的声明中表示。
就在此次处罚宣布后,最初的爆料者克雷布斯在 LinkedIn 上发表评论称,虽然他没有发现 Facebook 员工当时访问了被曝光密码的证据,但 “安全/隐私缺陷可能会让 Facebook 20 万员工中的任何一人看到这多达 6 亿个账户的明文密码。
END
原文始发于微信公众号(安全圈):【安全圈】以明文形式存储数亿个密码,Meta 被罚 1 亿美元
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论