社群平臺Meta數年前被發現未加密儲存用戶密碼,上周遭愛爾蘭資料保護主管機關處以9,100萬歐元罰金

2019年3月Meta被發現以明碼儲存用戶密碼,其愛爾蘭分公司向愛爾蘭資料保護委員會(Data Protection Commission,DPC)坦承它不慎以明文形式將「某部份」用戶密碼儲存在內部系統,DPC於4月啟動調查。經過5月調查,今年6月DPC做出裁決草案,這份草案獲得歐盟會員國主管機關無異議通過。DPC也在9月26日通知Meta最終裁決,包含9,100萬歐元罰款。

根據愛爾蘭主管機關的調查,Meta的罪狀包括未能通知,亦未能文件記錄其明碼儲存用戶密碼的個資外洩事件,他們也未能使用適當的技術或組織措施防止用戶密碼遭未授權處理,以及確保用戶密碼的長期機密性。簡而言之,Meta行為已經違反了歐盟隱私法GDPR。

安全專家Brian Krebs報導2019年Meta的資安事件,估計共有2億到6億臉書用戶密碼以明文儲存,以致可為該公司2萬員工搜尋得到,外洩事件最早可追溯到2012年。而且根據Meta/臉書內部調查,log顯示,2,000名臉書工程師已對儲存的用戶密碼資料庫做了大約900萬次查詢。最終被曝光事件影響的臉書用戶人數不得而知。Meta對當局說,這些密碼並未被外部人士存取。

這已是Meta多次挨罰中的最新記錄。去年5月Meta因把歐盟用戶的個資傳送到美國,遭罰12億歐元,是GDPR金額歷來最高的罰單。2022年Meta的臉書因資料保存不當,讓他人從其平臺擷取5億用戶個資被罰2.65億歐元。其餘這家社群平臺也先後因Instagram、WhatsApp、臉書資料處理被開罰單。Meta自2018年向歐盟繳交罰金已經高達25億歐元,是罰款最大戶。

熱門新聞

Advertisement