近日爱尔兰数据保护委员会(DPC)对Meta(前Facebook)处以 9100 万欧元(约合人民币7.08亿元)的罚款,原因是该公司以明文形式存储了数亿用户的密码,并允许大约2000名工程师自由查询这些数据。据报道,这些工程师共查询了这些敏感信息900万次之多。
尽管Meta没有透露具体受影响的用户数量,但估计涉及“数亿Facebook Lite用户、数千万其他Facebook用户”以及数百万Instagram用户。这一事件可以追溯到2019年的一次安全审查,当时发现Meta旗下的Facebook和Instagram在内部系统中以明文形式存储了超过6亿个用户密码。更令人震惊的是,自2012年以来,这些密码一直以明文格式存在于公司服务器上,并且可以被超过2万名Facebook员工随意访问和查看。
Meta事件反思
Meta此次事件的原因在于组织整体的数据安全保护意识不足,对明文存储用户密码这种明显且古老的安全风险重视程度不够,数据存储环节的安全风险未被识别或未采取必要的技术保护措施,同时对数据查询相关的管理和内控机制严重缺失,最终导致了严重的后果。
从组织视角来看,需要在数据安全生命周期的每一个环节落实安全保护措施。例如,采用单向散列算法确保密码信息以密文存储且不可逆,同时为了防止密码被脱库或遭遇彩虹表攻击,建议对密码进行加盐处理。此外,还需要加强内控机制,通过管理手段尽可能弥补技术的缺失或不足。
从员工视角来看,需要员工具备完整的数据安全知识体系,以便敏锐洞察并提前消除业务各环节的数据安全风险。
数据安全人才培养重要性
Meta堪称GDPR的“金牌大客户”,自2018年《通用数据保护条例》(GDPR)生效以来,因违反数据保护法规累计被欧盟罚款超过20亿欧元,其中包括去年创纪录的12亿欧元。如果Meta足够重视数据安全管理,并积极进行数据安全人才培养及储备,或许这些天价罚款可以被避免。
数据安全管理不仅需要一套完善的制度与体系,更重要的是组织内部需具备专业知识和技术能力的数据安全专家。这些专家不仅能有效提升数据安全评估和管理数据安全风险的能力,还能更好地保护用户数据的安全与隐私,从而促进公司的技术创新和发展,应对数字经济的快速发展。
CDSP2.0首期班
2019年云安全联盟CSA大中华区发布了数据安全认证专家CDSP1.0培训认证项目,成为全国首个数据安全认证项目;2024年10月更新发布数据安全认证专家CDSP2.0,以满足数字经济快速发展中对安全专业人才日益增长的需求。
CDSP 2.0课程将涵盖数据安全威胁、数据安全框架、数据安全最佳实践,以及数据安全风险识别、数据治理与架构设计等关键领域的关键知识和能力培养,帮助专业人员应对数据泄露、网络攻击和其他数据安全威胁,确保组织的数字资产安全。此外,CDSP 2.0课程将重点关注现代数字化安全威胁的应对策略,包括但不限于数据分类、加密、访问控制、事件响应、数据隐私法、风险评估、安全框架和安全软件开发等。
阅读推荐
