-
-
Meta被罚1亿美元:因存储6亿用户密码未加密
-
发表于:
2024-9-30 11:33
3720
-
在网络安全领域,数据保护和隐私一直是重中之重。近日,Meta(前身为Facebook)因存储6亿用户的密码未加密而被爱尔兰数据保护委员会(DPC)处以9100万欧元(约合1.01亿美元)的罚款。这一事件再次引发了公众对大型科技公司数据安全措施的关注。
2019年3月,美国安全研究员布赖恩·克雷布斯(Brian Krebs)发现Meta用户账户密码安全存在缺陷。随后,Meta证实其社交媒体用户的某些密码被以“明文”形式存储在其内部系统上,即没有加密保护。尽管Meta强调这些密码仅在内部暴露,且没有证据表明其中任何密码被滥用,但这一事件仍然引发了广泛的关注和担忧。
DPC在2019年4月启动了对Meta的调查,评估了其对《通用数据保护条例》(GDPR)的遵守情况。最终,DPC认定Meta违反了GDPR中规定的多项安全要求,包括未能及时通知DPC有关以明文形式存储用户密码的个人数据泄露,未能记录与以明文形式存储用户密码有关的个人数据泄露,以及未能使用适当的技术或组织措施来确保用户密码的适当安全性,防止未经授权的处理。
DPC副专员格雷厄姆·多伊尔(Graham Doyle)在一份声明中表示:“考虑到访问此类数据的人所带来的滥用风险,用户密码不应以明文形式存储。”他进一步指出,这些密码的敏感性极高,因为它们可以直接访问用户的社交媒体账户。
此次处罚并非Meta首次因GDPR违规而受到罚款。2022年11月,Meta旗下的Facebook因三年前的数据抓取泄露暴露了数亿条用户记录而被罚2.65亿欧元。2023年1月,DPC对Meta的Facebook处以2.1亿欧元的罚款,对Instagram处以1.8亿欧元的罚款,这两项罚款均因违反与用户同意和数据处理相关的GDPR规定。同月,Meta还因WhatsApp的违规行为支付了550万欧元的罚款。2023年5月,Meta因向美国传输个人数据的方式而被处以12亿欧元的罚款,这是有史以来最大的GDPR罚款。
这些罚款不仅反映了监管机构对数据保护的严格要求,也凸显了大型科技公司在数据安全方面的挑战。随着数据泄露事件的频发,公众对个人数据安全的关注度日益提高,监管机构也在不断加强对企业的监管力度。
在此次事件中,Meta的回应和补救措施也受到了关注。Meta表示,尽管数百万人受到了影响,但公司并未发现员工访问这些密码的证据。Meta还表示,将通知那些账户密码被以明文形式存储的用户,并采取措施修复这一错误。
然而,这一事件也引发了关于企业内部数据访问权限的讨论。据报道,Meta的2000名工程师或开发人员在内部系统中对包含明文密码的数据元素进行了900万次查询。这一情况引发了公众对内部数据访问权限管理的担忧,尤其是在大型科技公司中,内部员工可能拥有过多的数据访问权限。
此次事件还引发了关于密码管理最佳实践的讨论。专家建议,用户应定期更改密码,并使用强密码和多因素认证来保护账户安全。此外,企业也应采取更加严格的技术和组织措施来确保用户数据的安全,防止未经授权的访问和滥用。
总之,Meta因存储6亿用户密码未加密而被罚款的事件再次提醒我们,数据安全和隐私保护是企业和个人都必须高度重视的问题。随着技术的不断发展,数据保护的挑战也在不断增加,企业和监管机构需要共同努力,确保用户数据的安全和隐私得到充分保护。
[招生]系统0day安全班,企业级设备固件漏洞挖掘,Linux平台漏洞挖掘!
最后于 2024-9-30 17:21
被kanxue编辑
,原因: