近日，GDPR“金牌大客戶”Meta公司再次吃到天價(jià)罰單。

愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)（DPC）對Meta處以1.01億美元的罰款，原因是該公司存儲(chǔ)了數(shù)億用戶的明文密碼，并允許大約2000名Meta工程師自由查詢這些數(shù)據(jù)。據(jù)稱，這些工程師共查詢了這些敏感信息900萬次之多。

雖然Meta沒有透露具體有多少用戶受到影響，但估計(jì)將涉及“數(shù)億Facebook Lite用戶、數(shù)千萬其他Facebook用戶”和數(shù)百萬Instagram用戶。

Meta在沒有加密和訪問控制等適當(dāng)保護(hù)措施的情況下存儲(chǔ)用戶帳戶密碼違反了《通用數(shù)據(jù)保護(hù)條例》（GDPR）的多項(xiàng)條款，具體如下：

• 第33(1)條-個(gè)人數(shù)據(jù)泄露通知：Meta未能及時(shí)通知DPC其以純文本形式存儲(chǔ)了用戶密碼，這構(gòu)成了個(gè)人數(shù)據(jù)泄露。
• 第33(5)條-個(gè)人數(shù)據(jù)泄露的記錄：Meta沒有正確記錄與以純文本存儲(chǔ)用戶密碼相關(guān)的個(gè)人數(shù)據(jù)泄露，未能保留事件的充分記錄。
• 第5(1)(f)條-完整性和保密性：Meta沒有實(shí)施足夠的安全措施來確保用戶密碼的保護(hù)，因?yàn)槊艽a以純文本形式存儲(chǔ)，缺乏加密或加密保護(hù)。
• 第32(1)條-處理安全性：Meta未能實(shí)施適當(dāng)?shù)募夹g(shù)和組織措施來保護(hù)密碼，例如加密，這可以維護(hù)數(shù)據(jù)的機(jī)密性并降低未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)。

密碼存儲(chǔ)事故的起因

2019年Meta首次對外披露了這起密碼存儲(chǔ)事故。當(dāng)時(shí)，Meta表示，其在一項(xiàng)例行的內(nèi)部安全審查中發(fā)現(xiàn)了這個(gè)問題——用于連接旗下社交網(wǎng)絡(luò)的某些應(yīng)用程序意外將用戶密碼記錄為明文，并存儲(chǔ)在一個(gè)易于查詢的數(shù)據(jù)庫中。不過，Meta當(dāng)時(shí)強(qiáng)調(diào)沒有發(fā)現(xiàn)任何內(nèi)部員工不正當(dāng)訪問這些密碼的證據(jù)，外部人員更無法獲取這些信息。

盡管如此，這次披露無疑暴露了Meta在用戶數(shù)據(jù)保護(hù)方面的重大失誤。要知道，早在數(shù)十年前，密碼存儲(chǔ)的“黃金標(biāo)準(zhǔn)”就已經(jīng)是通過哈希加密（hash）來保護(hù)用戶密碼。哈希是通過單向的密碼學(xué)算法將明文密碼轉(zhuǎn)換為一串獨(dú)特的長字符，而這一轉(zhuǎn)換是不可逆的，這意味著即便擁有哈希值，也無法通過加密算法將其轉(zhuǎn)換回原來的明文密碼。

而哈希密碼的作用，類似于給房子買了一份火災(zāi)保險(xiǎn)，一旦發(fā)生意外（比如密碼數(shù)據(jù)庫被黑客攻陷），這種保護(hù)機(jī)制可以有效減輕甚至避免更嚴(yán)重的后果。

哈希加密：密碼保護(hù)的關(guān)鍵

為了讓哈希加密起到應(yīng)有的效果，算法必須符合一些重要要求。首先，哈希算法必須消耗大量的計(jì)算資源，這樣可以讓暴力破解哈希變得更加困難。這意味著像SHA1和MD5這樣的快速算法并不適合用于密碼存儲(chǔ)，因?yàn)樗鼈冊O(shè)計(jì)的初衷是快速處理信息。而類似于Bcrypt、PBKDF2和SHA512crypt的算法則更加適合，因?yàn)樗鼈儓?zhí)行速度慢且占用大量內(nèi)存和處理能力。

另一個(gè)關(guān)鍵要求是“加鹽”——在將明文密碼哈希之前，算法會(huì)額外添加一些字符。這樣做的好處是增加了破解哈希的難度，因?yàn)楣粽咝枰幚砀嗟慕M合，嘗試的次數(shù)可能達(dá)到數(shù)億次。

總體來說，哈希加密的最終目的是確保密碼只以哈希值的形式存儲(chǔ)，從而使得即便黑客或內(nèi)部人員獲得數(shù)據(jù)，也無法輕易將其用于不法目的。然而，Meta在2019年承認(rèn)的這起安全事故，表明其在保護(hù)數(shù)億用戶密碼時(shí)顯然沒有遵循這些業(yè)界通用的安全規(guī)范。

GDPR的“金牌大客戶”

愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)副專員格雷厄姆·多伊爾（Graham Doyle）對此次事故發(fā)表評論時(shí)表示：“考慮到訪問此類數(shù)據(jù)可能帶來的濫用風(fēng)險(xiǎn)，用戶密碼不應(yīng)以明文形式存儲(chǔ)已經(jīng)是廣泛接受的共識。必須意識到，這些密碼尤其敏感，因?yàn)樗鼈兡軌蜃尣环ǚ肿又苯釉L問用戶的社交媒體賬戶。”

此次，愛爾蘭數(shù)據(jù)保護(hù)委員會(huì)對Meta的調(diào)查歷時(shí)五年，作為歐盟對美國互聯(lián)網(wǎng)服務(wù)進(jìn)行監(jiān)管的主要機(jī)構(gòu)，委員會(huì)在本周宣布對Meta處以9100萬歐元（約合1.01億美元）的罰款。Meta堪稱GDPR的“金牌大客戶”，自2018年《通用數(shù)據(jù)保護(hù)條例》（GDPR）生效以來，Meta因違反數(shù)據(jù)保護(hù)法規(guī)累計(jì)被歐盟罰款超過20億歐元，其中包括去年創(chuàng)紀(jì)錄的12億歐元罰款。