ADVERTISEMENT
社群巨頭 Meta 因未妥善保護使用者密碼,違反歐盟《一般資料保護規則》(GDPR),遭愛爾蘭數據保護委員會(DPC)重罰 9100 萬歐元(約合 1.01 億美元)。
這並非 Meta 首次因違反 GDPR 遭到裁罰,但此次事件凸顯了該公司在資料安全方面令人擔憂的疏失。事件起因於 2019 年,Meta 承認旗下社群平台的應用程式以明文形式記錄並儲存了數億使用者的密碼,且約有 2000 名公司工程師可以存取這些資料,累計查詢次數超過 900 萬次。
儘管 Meta 堅稱這些密碼未遭不當存取或外洩,但此事件明顯違反了業界長達三十多年的密碼儲存最佳實務——密碼雜湊(password hashing)。
何謂密碼雜湊?為何如此重要?
密碼雜湊是透過單向加密演算法將密碼轉換成長字串的過程,每個獨特的密碼都會產生獨特的雜湊值。由於轉換過程是單向的,因此無法將雜湊值反向解密回原始密碼。
這就像為房屋購買火險,萬一發生緊急情況(例如資料庫遭駭或房屋失火),這層保護措施能將損害降至最低。
為了確保雜湊機制的有效性,必須遵循以下幾項要點:
- 使用強大的雜湊演算法: 必須選擇專為密碼雜湊設計的演算法,例如 Bcrypt、PBKDF2 或 SHA512crypt,這些演算法運算速度慢,且會消耗大量記憶體和處理能力,大幅增加破解難度。
- 加鹽(salting): 在將密碼進行雜湊處理之前,先在密碼中加入一段隨機生成的字串,進一步增加破解所需的運算資源。
Meta 未能妥善執行密碼雜湊,導致數億使用者的密碼以明文形式儲存,形同將使用者置於風險之中。愛爾蘭 DPC 副委員 Graham Doyle 指出:「使用者密碼不應以明文儲存,這是業界廣泛接受的原則,因為存取此類資料會帶來濫用的風險。在本案中,這些密碼尤其敏感,因為它們可以讓他人存取用户的社群媒體帳戶。」
GDPR 鐵腕執法
GDPR 於 2018 年生效,旨在保護歐盟公民的個人資料安全。愛爾蘭 DPC 作為歐盟的主要監管機構,負責監督大多數美國網路服務公司在歐盟的業務。
自 GDPR 生效以來,Meta 已因多次違規行為累計被罰款超過 20 億歐元,其中包括 2023 年因違反 GDPR 遭裁罰的 12 億歐元罰款,該罰款目前正由 Meta 上訴中。
此次事件再次凸顯了企業遵守資料安全規範的重要性,特別是妥善保護使用者敏感資料,例如密碼。 任何疏忽都可能導致嚴重後果,不僅會損害使用者信任,更可能面臨巨額罰款。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!