明文存储用户密码，美国互联网巨头Meta违反GDPR被罚超7亿元

前情回顾·全球网络安全执法

• 供应商泄露用户信息，甲方被罚近一亿元

• 2024年最高罚单！Uber因违反GDPR被罚超23亿元

• 系统被黑致使客户摄像头遭未授权访问，这家安防公司被罚超2000万元

• 承包政府系统上线前未做安全测试，两家知名企业被罚8200万元

安全内参9月29日消息，爱尔兰监管机构对Meta公司（Facebook母公司）处以1.01亿美元（约合人民币7.08亿元）的罚款，原因是Meta以明文形式存储了数亿用户密码，并允许公司内部员工广泛访问这些密码。

Meta早在2019年初就披露了这一疏漏。公司表示，旗下多个社交网络应用程序在记录用户密码时，使用了明文存储的方式，并将这些密码存储在了一个数据库中。该数据库被大约2000名公司工程师查询过，查询次数累计超过900万次。

被调查超五年，Meta因违反GDPR被罚

当时，Meta的官员解释，这一错误是在公司例行的内部网络数据存储安全审查中发现的。公司还表示，没有任何证据表明内部员工不当访问了这些密码，也没有证据显示外部人员曾经获取过这些密码。

尽管Meta作出了上述的保证，这一事件仍然暴露了其在安全管理上的严重失误。近年来，各国的法律和法规已强制要求对密码进行加密哈希处理。

当Meta在2019年披露这一疏漏时，显然未能充分保护数亿用户密码。

爱尔兰数据保护委员会副专员Graham Doyle说：“鉴于访问这些数据的人可能会滥用数据，大家普遍认为用户密码不应以明文形式存储。我们必须考虑到，在这个案件中被讨论的密码尤为敏感，因为它们可以用于访问用户的社交媒体账号。”

自Meta五年前披露此事以来，爱尔兰数据保护委员会就一直在对此事件进行调查。作为欧盟监管大多数美国互联网服务的主要政府机构，该委员会本周对Meta处以1.01亿美元（约合9100万欧元）的罚款。

迄今为止，欧盟已因违反《通用数据保护条例》（GDPR）对Meta累计罚款超过22.3亿美元（约合20亿欧元），其中包括去年创纪录的13.4亿美元（约合12亿欧元）的罚款，Meta目前正在对此进行上诉。

密码哈希加密是业界最佳实践

三十多年来，几乎所有行业的最佳实践都要求对密码进行加密哈希处理。哈希是一种单向加密算法，能够将密码转换为一串独特的长字符，每个输入都会生成唯一的哈希值。

由于这种转换是单向的，即从明文到哈希值，无法通过加密技术将哈希值还原为明文。这意味着唯一的破解方式就是通过猜测，这通常需要大量的时间和计算资源。

使用哈希密码的概念就像为房屋购买火灾保险——在密码数据库遭到黑客攻击或房屋发生火灾等紧急情况下，这种保护措施能够避免原本可能更加严重的损失。

要使哈希方案发挥预期的效果，需要满足一系列要求。其中之一是哈希算法必须设计为需要大量计算资源的方式。这也就是为何SHA1和MD5等算法并不适合，因为它们的设计初衷是快速生成哈希值，几乎不消耗计算资源。相比之下，Bcrypt、PBKDF2或SHA512crypt等专门为密码哈希设计的算法，则运作较慢，且需要大量的内存和处理能力。

另一项要求是哈希算法必须包含加密“加盐”机制，即在密码明文中加入少量随机字符后再进行哈希处理。加盐大大增加了破解哈希值的难度。所谓破解，就是通过算法生成大量猜测（通常以亿次计），然后将每个生成的哈希值与泄露数据库中的哈希值进行比较。

哈希的最终目的，是仅以哈希形式存储密码，绝不以明文形式存储。这样可以防止黑客和恶意内部人员在不耗费大量资源的情况下利用这些密码数据。

参考资料：https://arstechnica.com/security/2024/09/meta-slapped-with-101-million-fine-for-storing-passwords-in-plaintext/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。