官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

因意外将6 亿 Facebook 用户的密码以明文形式存储，当地时间9月27日，爱尔兰数据保护委员会（DPC）宣布对Facebook母公司Meta处以9100万欧元（约合1.01亿美元）罚款。

这一处罚结果源自一起已经持续了5年的调查。2019年3月，美国安全研究员布赖恩·克雷布斯（Brian Krebbs） 发现Meta用户账户密码安全存在缺陷，随后，Meta证实其社交媒体用户的某些密码被以“明文”形式存储在其内部系统上（即没有加密保护或加密），并向DPC进行了通报，强调这些密码仅在 Meta 内部暴露，且没有证据表明其中任何密码被滥用，并立即采取行动修复了该错误。

2019年4月，DPC 启动了对Meta的调查，评估了Meta对《通用数据保护条例》（GDPR） 的遵守情况，最终，DPC认定Meta违反了GDPR中规定的相关安全要求：

• 违反GDPR 第 33（1） 条，Meta未能通知 DPC 有关以明文形式存储用户密码的个人数据泄露；
• 违反GDPR 第 33 条第 5 款，Meta 未能记录与以明文形式存储用户密码有关的个人数据泄露；
• 违反GDPR 第 5 条第 （1） 款第 （f） 项，Meta 没有使用适当的技术或组织措施来确保用户密码的适当安全性，防止未经授权的处理；
• 违反GDPR 第 32 条第 （1） 款，Meta 没有实施适当的技术和组织措施来确保与风险相适应的安全级别，包括确保用户密码持续机密性的能力。

“考虑到访问此类数据的人所带来的滥用风险，用户密码不应以明文形式存储，”DPC 副专员格雷厄姆·多伊尔 （Graham Doyle） 在一份关于谴责的声明中表示。

就在此次处罚宣布后，最初的爆料者克雷布斯在 LinkedIn 上发表评论称，虽然他没有发现 Facebook 员工当时访问了被曝光密码的证据，但 "安全/隐私缺陷可能会让 Facebook 20 万员工中的任何一人看到这多达 6 亿个账户的明文密码。

附：Meta近期因GDPR违规被罚记录

2022年11月，Meta 旗下的 Facebook被罚 2.65 亿欧元，原因是三年前的数据抓取泄露暴露了数亿条用户记录。

2023 年 1 月，DCP 宣布对 Meta 的 Facebook 处以 2.1 亿欧元的罚款，对 Instagram 处以 1.8 亿欧元的罚款，这两项罚款均因违反与用户同意和数据处理相关的 GDPR 规定。同月，Meta 还因 WhatsApp 的违规行为支付了 550 万欧元的罚款。

2023年5月，Meta 因向美国传输个人数据的方式而被处以 12 亿欧元的罚款，这是有史以来最大的 GDPR 罚款。Meta 正在对 DCP 的判决提出上诉。

参考来源：

Meta fined $100M for exposing plaintext passwords of millions of Facebook users

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022