近日，GDPR“金牌大客戶”Meta公司再次吃到天價罰單。

愛爾蘭數(shù)據(jù)保護委員會（DPC）對Meta處以1.01億美元的罰款，原因是該公司存儲了數(shù)億用戶的明文密碼，并允許大約2000名Meta工程師自由查詢這些數(shù)據(jù)。據(jù)稱，這些工程師共查詢了這些敏感信息900萬次之多。

雖然Meta沒有透露具體有多少用戶受到影響，但估計將涉及“數(shù)億Facebook Lite用戶、數(shù)千萬其他Facebook用戶”和數(shù)百萬Instagram用戶。

Meta在沒有加密和訪問控制等適當保護措施的情況下存儲用戶帳戶密碼違反了《通用數(shù)據(jù)保護條例》（GDPR）的多項條款，具體如下：

• 第33(1)條-個人數(shù)據(jù)泄露通知：Meta未能及時通知DPC其以純文本形式存儲了用戶密碼，這構成了個人數(shù)據(jù)泄露。
• 第33(5)條-個人數(shù)據(jù)泄露的記錄：Meta沒有正確記錄與以純文本存儲用戶密碼相關的個人數(shù)據(jù)泄露，未能保留事件的充分記錄。
• 第5(1)(f)條-完整性和保密性：Meta沒有實施足夠的安全措施來確保用戶密碼的保護，因為密碼以純文本形式存儲，缺乏加密或加密保護。
• 第32(1)條-處理安全性：Meta未能實施適當?shù)募夹g和組織措施來保護密碼，例如加密，這可以維護數(shù)據(jù)的機密性并降低未經(jīng)授權訪問的風險。

密碼存儲事故的起因

2019年Meta首次對外披露了這起密碼存儲事故。當時，Meta表示，其在一項例行的內部安全審查中發(fā)現(xiàn)了這個問題——用于連接旗下社交網(wǎng)絡的某些應用程序意外將用戶密碼記錄為明文，并存儲在一個易于查詢的數(shù)據(jù)庫中。不過，Meta當時強調沒有發(fā)現(xiàn)任何內部員工不正當訪問這些密碼的證據(jù)，外部人員更無法獲取這些信息。

盡管如此，這次披露無疑暴露了Meta在用戶數(shù)據(jù)保護方面的重大失誤。要知道，早在數(shù)十年前，密碼存儲的“黃金標準”就已經(jīng)是通過哈希加密（hash）來保護用戶密碼。哈希是通過單向的密碼學算法將明文密碼轉換為一串獨特的長字符，而這一轉換是不可逆的，這意味著即便擁有哈希值，也無法通過加密算法將其轉換回原來的明文密碼。

而哈希密碼的作用，類似于給房子買了一份火災保險，一旦發(fā)生意外（比如密碼數(shù)據(jù)庫被黑客攻陷），這種保護機制可以有效減輕甚至避免更嚴重的后果。

哈希加密：密碼保護的關鍵

為了讓哈希加密起到應有的效果，算法必須符合一些重要要求。首先，哈希算法必須消耗大量的計算資源，這樣可以讓暴力破解哈希變得更加困難。這意味著像SHA1和MD5這樣的快速算法并不適合用于密碼存儲，因為它們設計的初衷是快速處理信息。而類似于Bcrypt、PBKDF2和SHA512crypt的算法則更加適合，因為它們執(zhí)行速度慢且占用大量內存和處理能力。

另一個關鍵要求是“加鹽”——在將明文密碼哈希之前，算法會額外添加一些字符。這樣做的好處是增加了破解哈希的難度，因為攻擊者需要處理更多的組合，嘗試的次數(shù)可能達到數(shù)億次。

總體來說，哈希加密的最終目的是確保密碼只以哈希值的形式存儲，從而使得即便黑客或內部人員獲得數(shù)據(jù)，也無法輕易將其用于不法目的。然而，Meta在2019年承認的這起安全事故，表明其在保護數(shù)億用戶密碼時顯然沒有遵循這些業(yè)界通用的安全規(guī)范。

GDPR的“金牌大客戶”

愛爾蘭數(shù)據(jù)保護委員會副專員格雷厄姆·多伊爾（Graham Doyle）對此次事故發(fā)表評論時表示：“考慮到訪問此類數(shù)據(jù)可能帶來的濫用風險，用戶密碼不應以明文形式存儲已經(jīng)是廣泛接受的共識。必須意識到，這些密碼尤其敏感，因為它們能夠讓不法分子直接訪問用戶的社交媒體賬戶。”

此次，愛爾蘭數(shù)據(jù)保護委員會對Meta的調查歷時五年，作為歐盟對美國互聯(lián)網(wǎng)服務進行監(jiān)管的主要機構，委員會在本周宣布對Meta處以9100萬歐元（約合1.01億美元）的罰款。Meta堪稱GDPR的“金牌大客戶”，自2018年《通用數(shù)據(jù)保護條例》（GDPR）生效以來，Meta因違反數(shù)據(jù)保護法規(guī)累計被歐盟罰款超過20億歐元，其中包括去年創(chuàng)紀錄的12億歐元罰款。