Meta因以纯文本方式存储Facebook和Instagram密码遭巨额罚款

十多年来，Meta在Facebook和Instagram上以纯文本方式存储了超过5亿用户的密码，其中一些密码很容易读取。这一问题在2019年首次被揭露，当时Facebook承认有"数亿"密码未加密存储。Facebook（即现在的Meta）表示，公司外部无法获得这些密码，但同时也承认约有2000名工程师对该用户数据库进行了约900万次查询。

现在，经过爱尔兰数据保护委员会（DPC）长达五年的调查，Meta在爱尔兰的业务最终被罚款9100万欧元。这笔罚款是根据欧洲严格的《通用数据保护条例》（GDPR）征收的。

DPC副专员格雷厄姆-多伊尔（GrahamDoyle）在一份关于罚款的声明中说："考虑到个人访问此类数据可能带来的滥用风险，人们普遍认为不应以明文形式存储用户密码。必须牢记的是，本案中被考虑的密码特别敏感，因为这些密码可以访问用户的社交媒体账户。"

MetaIreland被认定违反了GDPR的四个部分，其中包括它"没有通知DPC有关以纯文本存储用户密码的个人数据泄露事件"。MetaIreland报告了这一违规行为，但只是在发现后几个月才报告。

除了罚款和官方谴责外，DPC裁决的全部内容尚未公开。目前公布的细节并未透露这些密码是否包括美国用户、爱尔兰用户或欧盟其他国家用户的密码。

不过，这个问题很可能只涉及非美国用户。这是因为在2019年，Facebook告诉CNN，大多数纯文本密码都是为一项名为FacebookLite的服务设置的，Facebook将其描述为针对全球连接速度较慢地区的缩减服务。

此外，Meta还在单独就2023年DPC有关GDPR的裁决提起上诉，该裁决可能包括美国数据。据MoneyCheck报道，Meta因违反有关在欧盟和美国之间传输用户数据的数据保护法规而被罚款13亿美元。

目前还不清楚Meta大概是如何改进其安全性的，只知道从2012年起至少有一些密码是未加密存储的。

在针对Meta的裁决之前，Facebook已经历了多年不同的隐私和安全丑闻。在这一问题首次浮出水面前不久，Facebook正因与其他公司共享数据而受到联邦当局的调查，其中最著名的包括CambridgeAnalytica。