Meta 因明文密码被罚款 9100 万欧元

fabiha01

爱尔兰监管机构最近的一项裁决向我们表明，即使是大型跨国公司也无法避免看似简单的错误——Facebook 的母公司 Meta 因可避免的错误而支付了 9100 万欧元的罚款。该事件早在2019年就已发生，以下是Meta的官方声明。

发生了什么事？
受到处罚的原因是：数百万用户的密码以纯文本形式存储。密码绝不能以未加密的形式存储，尤其是当它们属于客户时。

正确的是，Meta 没有以纯文本形式存储密码，而是按照行业惯例对其进行加密。 Meta 的声明并没有解释为什么这种密码掩蔽在这种情况下不起作用。无论如何，通过读取所谓的日志文件，访问可能是可能的（您可以在此AWS 文章中找到有关日志文件的更多信息）。

Meta 本身意识到了未加密的密码。受影响的用户，尤其是 Instagram 和 Facebook 平台的用户已收到通知。此外，Meta 还在公告中解释了自身的保护措施，以防止未经授权的账户访问——例如，如果系统检测到来自世界其他地区的访问。

据 Meta 称，内部调查显示，没有发生外部访问。也没有证据表明存在员工虐待行为。然而，目前还不清楚是否真的排除了访问权。

数据泄露的危险
危险不仅在于可能的外部访问。理论上，数千名员工也可以访问这些数据。此外，这些数据不仅可用于登录受影响的社交网络。由于全球许多用户在不同的服务中使用至少相似的密码，因此至少在理论上，访问其他服务的完整性也面临风险。

仅失去对受影响账户的控制权的风险就可能产生严重后果。这种访问权限可能会被用来通过社会工程手段伤害其他人。社会工程学通常被定义为诱导他人做出旨在利用这些弱点的决定的过程 - 例如，通过释放财务资源。或者，通过滥用账户，相关人员可能会受到严重诽谤。造成损害的可能性是巨大的，印度商务传真列表 潜在犯罪者的犯罪想象力也是无限的。在这些情况下，受影响的人所面临的后果可能包括需要创建新密码，甚至造成深远的财务或个人损失。

决定和罚款的依据
当局的决定是基于违反报告义务等原因。此外，Meta 的内部文档至少是不够的。立法者将报告义务与自然人权利和自由存在的风险联系起来，参见第 6 条。 33 GDPR。然而，只有当事件对受影响的人构成高风险时才有必要通知他们，参见第 6 条。 34 GDPR。根据该决定，罚款基于以下调查结果：

未采取足够的技术和组织措施来确保数据处理的安全（GDPR 第 32（1）条）
违反了数据处理的完整性和保密性原则（GDPR 第 5（1）（f）条）
未能妥善记录个人数据泄露（GDPR 第 33（5）条）
尽管有相应的法律义务，但未向监管机构报告数据泄露情况，或未及时报告（GDPR 第 33（1）条）
9100 万欧元的罚款数额惊人，但不太可能对 Meta 造成持久损害：其母公司 Meta Platforms 2023 年的收入将略低于 1350 亿欧元。因此，所处罚款约占年营业额的 0.65%。

分析
爱尔兰监管机构在决定中也再次明确：在发生数据泄露的情况下，应毫不拖延地告知相关监管机构。否则，监管机构解释说，不报告的事实本身就可能对自然人的权利和自由造成风险。这也解释了为什么在本案中，尽管 Meta 发出了通知，但还是因通知过晚而受到警告。

对于数据保护官员和负责人来说，这进一步表明应该认真对待报告数据泄露的 72 小时期限。因此，如有疑问，必须选择仅暂时报告数据泄露，并在必要时稍后提供有关事实的重要信息。记录保存不充分也受到了批评。责任人应使用适当的工具提供事件调查的证据。

而且，正如这里发生的那样，尽管密码采用了适当的行业标准加密，但不正确的配置可能会导致密码在日志文件中以纯文本形式显示。这种情况在某种程度上超出了数据保护官或数据保护协调员的控制范围，他们必须能够依赖提供给他的信息，尤其是这些技术细节。然而，针对可能存在的弱点进行有针对性的询问可以使公司内部或外部的控制更加有效，并提高认识。

问题仍然是，以严格的授权分配和强制性理由要求的形式对日志文件进行有效的访问管理是否能够降低事件的显眼性。至少对于数据保护顾问来说，从总体上看这个案例，不清楚为什么会担心大量员工会了解这些信息。通过适当的概念、访问限制和制定适当的 IT 安全政策，组织内的此类风险至少可以部分降低。

在这种情况下，对 Meta 的损害主要不是经济上的，而是声誉上的。一些新闻报道称，Meta 以纯文本形式存储密码。这种至少在某种程度上简略的事实陈述忽略了错误在于加密的错误配置这一事实，因此 Facebook 员工有可能已经获得了密码信息。至少密码没有以这种形式保存，而且读起来更加引人注目。

从绝对数量来看，罚款数额相当可观，但与爱尔兰数据保护机构对该美国公司处以的其他罚款相比，还是比较小的。例如，由于非法向美国转移数据，美国已被处以12亿欧元的罚款；自 GDPR 出台以来，罚款总额已超过 40 亿欧元（请参阅LTO.de 上的这份报告）。