十多年来,Meta 在 Facebook 和 Instagram 上以纯文本方式存储了超过 5 亿用户的密码,其中一些密码很容易读取。这一问题在 2019 年首次被揭露,当时 Facebook 承认有"数亿"密码未加密存储。 Facebook (即现在的 Meta)表示,公司外部无法获得这些密码,但同时也承认约有 2000 名工程师对该用户数据库进行了约 900 万次查询。
现在,经过爱尔兰数据保护委员会(DPC)长达五年的调查,Meta 在爱尔兰的业务最终被罚款9100万欧元。 这笔罚款是根据欧洲严格的《通用数据保护条例》(GDPR)征收的。
DPC 副专员格雷厄姆-多伊尔(Graham Doyle)在一份关于罚款的声明中说:"考虑到个人访问此类数据可能带来的滥用风险,人们普遍认为不应以明文形式存储用户密码。必须牢记的是,本案中被考虑的密码特别敏感,因为这些密码可以访问用户的社交媒体账户。"
Meta Ireland 被认定违反了 GDPR 的四个部分,其中包括它"没有通知 DPC 有关以纯文本存储用户密码的个人数据泄露事件"。 Meta Ireland 报告了这一违规行为,但只是在发现后几个月才报告。
除了罚款和官方谴责外,DPC 裁决的全部内容尚未公开。 目前公布的细节并未透露这些密码是否包括美国用户、爱尔兰用户或欧盟其他国家用户的密码。
不过,这个问题很可能只涉及非美国用户。 这是因为在 2019 年,Facebook 告诉CNN,大多数纯文本密码都是为一项名为 Facebook Lite 的服务设置的,Facebook 将其描述为针对全球连接速度较慢地区的缩减服务。
此外,Meta 还在单独就 2023 年 DPC 有关 GDPR 的裁决提起上诉,该裁决可能包括美国数据。 据MoneyCheck报道,Meta因违反有关在欧盟和美国之间传输用户数据的数据保护法规而被罚款13亿美元。
目前还不清楚 Meta 大概是如何改进其安全性的,只知道从 2012 年起至少有一些密码是未加密存储的。
在针对 Meta 的裁决之前,Facebook 已经历了多年不同的隐私和安全丑闻。 在这一问题首次浮出水面前不久,Facebook 正因与其他公司共享数据而受到联邦当局的调查,其中最著名的包括Cambridge Analytica。