社群平臺 Meta 數年前被發現未加密儲存用戶密碼，今年（2024年）9 月遭愛爾蘭資料保護主管機關處以 9,100 萬歐元罰金。

2019 年 3 月 Meta 被發現以明碼儲存用戶密碼，其愛爾蘭分公司向愛爾蘭資料保護委員會（Data Protection Commission，DPC）坦承不慎以明文形式將「某部份」用戶密碼儲存在內部系統，DPC 於 4 月啟動調查。經過 5 月調查，今年 6 月 DPC 做出裁決草案，這份草案獲得歐盟會員國主管機關無異議通過。DPC 也在 9 月 26 日通知 Meta 最終裁決，包含 9,100 萬歐元罰款。

根據愛爾蘭主管機關的調查，Meta 的罪狀包括未能通知，亦未能文件記錄其明碼儲存用戶密碼的個資外洩事件，他們也未能使用適當的技術或組織措施防止用戶密碼遭未授權處理，以及確保用戶密碼的長期機密性。簡而言之，Meta 行為已經違反了歐盟隱私法 GDPR。

安全專家 Brian Krebs 報導 2019 年 Meta 的資安事件，估計共有 2 億到 6 億臉書用戶密碼以明文儲存，以致可為該公司 2 萬員工搜尋得到，外洩事件最早可追溯到 2012 年。而且根據 Meta／臉書內部調查，log 顯示，2,000 名臉書工程師已對儲存的用戶密碼資料庫做了大約 900 萬次查詢。最終被曝光事件影響的臉書用戶人數不得而知。Meta 對當局說，這些密碼並未被外部人士存取。

這已不是 Meta 第一次挨罰。去年 5 月 Meta 因把歐盟用戶的個資傳送到美國，遭罰 12 億歐元，是 GDPR 金額歷來最高的罰單。2022 年 Meta 的臉書因資料保存不當，讓他人從其平台擷取 5 億用戶個資被罰 2.65 億歐元。其餘這家社群平台也先後因 Instagram、WhatsApp、臉書資料處理被開罰單。Meta 自 2018 年向歐盟繳交罰金已經高達 25 億歐元，為罰款最大戶。

參考來源：iThome

全面提升資料安全：Thales CipherTrust 資料保護平台

Meta 明碼儲存用戶密碼而遭巨額罰款的事件，凸顯了資料保護的重要性，企業必須採取更嚴謹的方式來保護自身所持有的機敏資料。Thales CipherTrust 是專為資料安全所設計的解決方案，提供多層級的安全保障，從資料加密、資料存取控制和合規性管理，協助企業更全面地管理、保護機敏資料。

Thales CipherTrust 解決方案主要功能包括：

• 資料發現與分類

  • 自動資料發現：CipherTrust 可自動掃描資料庫並辨識敏感資料的位置和類型，協助企業識別出需要保護的資料範圍，避免遺漏。
  • 資料分類：針對不同機敏性級別的資料進行分類管理，並依風險程度採取不同的保護措施，更有效分配資源。

• CipherTrust 資料庫透明加密

  提供強大的資料加密功能，支援靜態資料加密（Data-at-Rest Encryption）、集中化金鑰管理、特權用戶存取控制和詳細的資料存取稽核日誌。無論資料儲存在本地、雲端或混合環境中，CipherTrust 都能加密機敏資料，確保資料無法被未經授權的存取所讀取。

• CipherTrust Tokenization 代碼化

  將資料轉換為代碼，進而保護機敏資訊。只有經授權的用戶或系統才能將資料轉換回原始形式，因此即使資料被洩漏，攻擊者也無法輕易解讀其內容。相比加密，代碼化不需要加解密運算，降低系統資源消耗且加強安全性，特別適合高頻存取的應用場景。代碼化亦簡化了合規性管理，例如 PCI-DSS 要求，滿足企業在儲存和處理機敏資料時的法規遵循需求。

• CipherTrust 金鑰管理

  金鑰管理是資料安全的核心。Thales CipherTrust 的集中式金鑰管理功能，涵蓋金鑰的生成、儲存、使用及銷毀等完整生命周期過程。透過自動化金鑰管理系統，讓企業能統一管理不同資料庫系統中的加密金鑰，確保金鑰僅被授權的合法加密服務使用，降低操作複雜性和金鑰安全風險。

• 合規管理

  CipherTrust 支援多種全球性法規標準，協助企業滿足 GDPR、HIPAA、PCI-DSS 等資料保護要求。透過內建的合規性稽核工具和報表，簡化企業合規流程，降低潛在資安風險。

結合這些先進技術，Thales CipherTrust 資料保護平台讓企業能集中管理所有環境的機敏資料，並在不影響系統運作的前提下保護資料庫中的敏感資料，確保資料存取安全，避免未經授權的暴露，協助企業全面提升資料安全性。