警示!明文存储用户密码,这家互联网巨头被罚超7亿元
9月29日消息,爱尔兰监管机构对Meta公司(Facebook母公司)处以1.01亿美元(约合人民币7.08亿元)的罚款,原因是Meta以明文形式存储了数亿用户密码,并允许公司内部员工广泛访问这些密码。
Meta早在2019年初就披露了这一疏漏。公司表示,旗下多个社交网络应用程序在记录用户密码时,使用了明文存储的方式,并将这些密码存储在了一个数据库中。该数据库被大约2000名公司工程师查询过,查询次数累计超过900万次。
被调查超五年,Meta因违反GDPR被罚
当时,Meta的官员解释,这一错误是在公司例行的内部网络数据存储安全审查中发现的。公司还表示,没有任何证据表明内部员工不当访问了这些密码,也没有证据显示外部人员曾经获取过这些密码。
尽管Meta作出了上述的保证,这一事件仍然暴露了其在安全管理上的严重失误。近年来,各国的法律和法规已强制要求对密码进行加密哈希处理。
当Meta在2019年披露这一疏漏时,显然未能充分保护数亿用户密码。
爱尔兰数据保护委员会副专员Graham Doyle说:“鉴于访问这些数据的人可能会滥用数据,大家普遍认为用户密码不应以明文形式存储。我们必须考虑到,在这个案件中被讨论的密码尤为敏感,因为它们可以用于访问用户的社交媒体账号。”
自Meta五年前披露此事以来,爱尔兰数据保护委员会就一直在对此事件进行调查。作为欧盟监管大多数美国互联网服务的主要政府机构,该委员会本周对Meta处以1.01亿美元(约合9100万欧元)的罚款。
迄今为止,欧盟已因违反《通用数据保护条例》(GDPR)对Meta累计罚款超过22.3亿美元(约合20亿欧元),其中包括去年创纪录的13.4亿美元(约合12亿欧元)的罚款,Meta目前正在对此进行上诉。
密钥安全是数据安全的基础
用户密码是应用系统中最为核心的敏感数据,是应用安全的前提。对敏感数据进行加密存储,是数据安全常用的做法。而在加密过程中,保证加密密钥的安全性,又成了重中之重。
安永信息基于机密计算技术研发了一套数据加密系统,将加密所使用的密钥内置于TEE中,可防止任何外部黑客和非法内部人获取明文密钥,通过高安全的密钥来保护数据的安全性,如Meta这样的应用中,用户的密钥、敏感身份数据等信息,均可以通过TEE级别的加密,确保其不会被任何非法用户获取,保证敏感数据的安全性。(参考资料:arstechnica.com)