|
國(guó)慶前�,愛(ài)爾蘭數(shù)據(jù)保護(hù)委員會(huì)(DPC)對(duì) Meta(前Facebook) 處以 9100 萬(wàn)歐元(7.14 億元人民幣)的罰款,再次敲響數(shù)據(jù)安全警鐘��。
原因是 Meta 在未加保護(hù)或加密的情況下以明文形式存儲(chǔ)用戶密碼�����。
問(wèn)題還得從五年前說(shuō)起
2019年3月�����,美國(guó)安全研究員布賴恩·克雷布斯(Brian Krebbs) 發(fā)現(xiàn) Facebook 用戶賬戶密碼安全存在缺陷���,當(dāng)時(shí) Facebook 證實(shí)其數(shù)億用戶的密碼未加密存儲(chǔ),并向 DPC 進(jìn)行了通報(bào)��,聲稱這些密碼沒(méi)有外泄,但同時(shí)也承認(rèn)大約 2000 名工程師曾對(duì)這些數(shù)據(jù)庫(kù)進(jìn)行了近 900 萬(wàn)次的查詢����。
截圖來(lái)自 javaguide
根據(jù) Meta 的承認(rèn),除了“數(shù)億” Facebook Lite 用戶外���,還有數(shù)千萬(wàn)其他 Facebook 和 Instagram 用戶受到影響�����。盡管沒(méi)有證據(jù)表明這些憑據(jù)被濫用���,或者外部方獲得了訪問(wèn)權(quán)限,但仍存在巨大的風(fēng)險(xiǎn)�����。
Meta 違反通用數(shù)據(jù)保護(hù)條例
Meta 未能加密密碼不僅是一個(gè)技術(shù)錯(cuò)誤���,而且違反了歐洲的《通用數(shù)據(jù)保護(hù)條例》(GDPR)���,該條例要求個(gè)人數(shù)據(jù)必須受到強(qiáng)大的安全措施的保護(hù)。
特別是���,DPC 發(fā)現(xiàn) Meta 違反了多項(xiàng)重要的 GDPR 規(guī)則:
第5條第1款(f)項(xiàng)——完整性和保密性:Meta 沒(méi)有使用適當(dāng)?shù)募夹g(shù)或組織措施來(lái)確保用戶密碼的適當(dāng)安全性����。敏感用戶數(shù)據(jù)的保密性和完整性收到威脅。
第32條第1款——處理的安全性:Meta 沒(méi)有采取必要的組織和技術(shù)安全措施來(lái)確保與風(fēng)險(xiǎn)相適應(yīng)的安全級(jí)別�,包括確保用戶密碼保持持續(xù)的機(jī)密性。
第33條第1款——個(gè)人數(shù)據(jù)泄露的通知:盡管 Meta 自愿向 DPC 披露了問(wèn)題���,但直到漏洞活躍了一段時(shí)間之后才這樣做�。
第33條第5款——個(gè)人數(shù)據(jù)泄露的記錄:違規(guī)行為因 Meta 沒(méi)有適當(dāng)記錄泄露事件以及延遲通知用戶而變得更加嚴(yán)重���。
為什么密碼不能被明文存儲(chǔ)��?
加密被認(rèn)為是數(shù)據(jù)安全領(lǐng)域的絕對(duì)最低要求���。
在用戶忘記密碼時(shí),服務(wù)端往往是不會(huì)告知用戶原密碼的�����,而是只能通過(guò)密碼重置的方式來(lái)保護(hù)用戶的賬號(hào)安全���。這是因?yàn)榉?wù)端通常是將密碼經(jīng)過(guò)哈希算法加密后存儲(chǔ)在數(shù)據(jù)庫(kù)中�����,無(wú)法反推出原始密碼��。
以明文形式存儲(chǔ)密碼就像留下一個(gè)未上鎖的門(mén)�����,一旦被破門(mén)而入��,攻擊者可以直接獲取所有用戶的密碼,而且�����,密碼通常包含個(gè)人信息����,明文存儲(chǔ)意味著用戶的隱私可能會(huì)被泄露;更重要的是�����,如果密碼以明文形式存儲(chǔ),內(nèi)部人員可能會(huì)濫用這些信息����,比如未經(jīng)授權(quán)地訪問(wèn)用戶賬戶。對(duì)于像 Meta 這樣管理著全球數(shù)十億用戶敏感數(shù)據(jù)的公司來(lái)說(shuō)�����,這種疏忽是不可接受的����。
加密不是可選的,用戶數(shù)據(jù)的安全必須是任何公司的首要任務(wù)��。
對(duì)于所有規(guī)模的企業(yè)來(lái)說(shuō):加密不僅是被推薦的��,而且是必不可少的�。
這一事件再次凸顯了現(xiàn)代數(shù)字環(huán)境的一個(gè)基本現(xiàn)實(shí):安全是用戶信任的基礎(chǔ)。忽視保護(hù)敏感數(shù)據(jù)的公司除了面臨罰款外�,還冒著失去客戶信任的風(fēng)險(xiǎn)。隨著數(shù)字經(jīng)濟(jì)的發(fā)展�,用戶數(shù)據(jù)的安全必須是任何公司的首要任務(wù)。
對(duì)于 Meta 來(lái)說(shuō)�����,財(cái)務(wù)后果可能不會(huì)太嚴(yán)重,但其聲譽(yù)的損害可能需要更長(zhǎng)的時(shí)間來(lái)修復(fù)���。
Meta 的 9100 萬(wàn)歐元教訓(xùn)是整個(gè)行業(yè)必須注意的����。
參考鏈接:
[1]https://www./news/articles/cvgl8lerx85o
[2]https://www.linkedin.com/pulse/ireland-fines-meta-91-million-storing-passwords-plaintext-dhagia-gii8f
|
