因意外将6 亿 Facebook 用户的密码以明文形式存储,当地时间9月27日,爱尔兰数据保护委员会(DPC)宣布对Facebook母公司Meta处以9100万欧元(约合1.01亿美元)罚款。
这一处罚结果源自一起已经持续了5年的调查。2019年3月,美国安全研究员布赖恩·克雷布斯(Brian Krebbs) 发现Meta用户账户密码安全存在缺陷,随后,Meta证实其社交媒体用户的某些密码被以“明文”形式存储在其内部系统上(即没有加密保护或加密),并向DPC进行了通报,强调这些密码仅在 Meta 内部暴露,且没有证据表明其中任何密码被滥用,并立即采取行动修复了该错误。
2019年4月,DPC 启动了对Meta的调查,评估了Meta对《通用数据保护条例》(GDPR) 的遵守情况,最终,DPC认定Meta违反了GDPR中规定的相关安全要求:
- 违反GDPR 第 33(1) 条,Meta未能通知 DPC 有关以明文形式存储用户密码的个人数据泄露;
- 违反GDPR 第 33 条第 5 款,Meta 未能记录与以明文形式存储用户密码有关的个人数据泄露;
- 违反GDPR 第 5 条第 (1) 款第 (f) 项,Meta 没有使用适当的技术或组织措施来确保用户密码的适当安全性,防止未经授权的处理;
- 违反GDPR 第 32 条第 (1) 款,Meta 没有实施适当的技术和组织措施来确保与风险相适应的安全级别,包括确保用户密码持续机密性的能力。
“考虑到访问此类数据的人所带来的滥用风险,用户密码不应以明文形式存储,”DPC 副专员格雷厄姆·多伊尔 (Graham Doyle) 在一份关于谴责的声明中表示。
就在此次处罚宣布后,最初的爆料者克雷布斯在 LinkedIn 上发表评论称,虽然他没有发现 Facebook 员工当时访问了被曝光密码的证据,但 “安全/隐私缺陷可能会让 Facebook 20 万员工中的任何一人看到这多达 6 亿个账户的明文密码。
附:Meta近期因GDPR违规被罚记录
2022年11月,Meta 旗下的 Facebook被罚 2.65 亿欧元,原因是三年前的数据抓取泄露暴露了数亿条用户记录。
2023 年 1 月,DCP 宣布对 Meta 的 Facebook 处以 2.1 亿欧元的罚款,对 Instagram 处以 1.8 亿欧元的罚款,这两项罚款均因违反与用户同意和数据处理相关的 GDPR 规定。同月,Meta 还因 WhatsApp 的违规行为支付了 550 万欧元的罚款。
2023年5月,Meta 因向美国传输个人数据的方式而被处以 12 亿欧元的罚款,这是有史以来最大的 GDPR 罚款。Meta 正在对 DCP 的判决提出上诉。
参考来源:
Meta fined $100M for exposing plaintext passwords of millions of Facebook users
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容