- Ủy ban Bảo vệ Dữ liệu Ireland (DPC) đã phạt Meta 101,5 triệu USD (91 triệu euro) sau khi hoàn tất cuộc điều tra về vụ vi phạm bảo mật năm 2019
- Ban đầu, vào tháng 1/2019, Meta công bố rằng một số mật khẩu người dùng đã được lưu ở dạng văn bản thuần trên máy chủ của công ty
- Một tháng sau, công ty cập nhật rằng hàng triệu mật khẩu Instagram cũng được lưu ở định dạng có thể đọc dễ dàng
- Meta không tiết lộ có bao nhiêu tài khoản bị ảnh hưởng, nhưng vào thời điểm đó, một lãnh đạo cấp cao đã nói với Krebs on Security rằng có thể có tới 600 triệu mật khẩu liên quan
- Một số mật khẩu đã được lưu ở dạng văn bản thuần trên máy chủ công ty từ năm 2012, và hơn 20.000 nhân viên Facebook có thể tìm kiếm chúng
- DPC xác nhận rằng các mật khẩu này không bị cung cấp cho bên ngoài
- DPC kết luận Meta đã vi phạm nhiều quy định của GDPR
- Không thông báo cho DPC mà không chậm trễ về vụ vi phạm dữ liệu cá nhân liên quan đến việc lưu mật khẩu người dùng ở dạng văn bản thuần
- Không ghi chép tài liệu về vụ vi phạm dữ liệu cá nhân liên quan đến việc lưu mật khẩu người dùng ở dạng văn bản thuần
- Không sử dụng các biện pháp kỹ thuật phù hợp để bảo đảm an toàn trước việc xử lý trái phép mật khẩu người dùng
- Phó ủy viên DPC Graham Doyle cho biết: "Mật khẩu người dùng không nên được lưu ở dạng văn bản thuần, đặc biệt khi xét đến việc đây là thông tin nhạy cảm cho phép truy cập vào các tài khoản mạng xã hội"
- Ngoài khoản tiền phạt, DPC cũng đưa ra cảnh báo đối với Meta, và có thể sẽ biết rõ hơn tác động đối với Meta khi ủy ban công bố quyết định cuối cùng
Ý kiến của GN⁺
- Vụ việc này sẽ là hồi chuông cảnh tỉnh đối với thực tiễn bảo vệ quyền riêng tư của các tập đoàn công nghệ lớn. Nó một lần nữa nhắc lại tầm quan trọng của việc quản lý dữ liệu người dùng một cách an toàn
- Meta cần nhân cơ hội này rà soát và cải tổ toàn diện hệ thống bảo mật của mình. Ngoài các biện pháp kỹ thuật như mã hóa, dường như cũng cần các nỗ lực ở cấp độ tổ chức như đào tạo nhân viên và kiểm toán nội bộ
- Mức phạt đối với các vi phạm GDPR đang ngày càng tăng. Doanh nghiệp cần nhận thức rằng việc tuân thủ nghiêm ngặt GDPR cũng như luật bảo vệ dữ liệu cá nhân của từng quốc gia là điều quan trọng cả về góc độ quản trị rủi ro
- Mặt khác, trong vụ việc này chưa xác nhận có dấu hiệu cho thấy lỗ hổng bảo mật đã thực sự bị khai thác. Dù vậy, việc Meta vẫn phải chịu khoản phạt rất lớn cho thấy mức độ nghiêm trọng của vấn đề và mức độ vi phạm các quy định liên quan được đánh giá là lớn
- Liên quan đến quản lý mật khẩu, ngoài việc không lưu ở dạng văn bản thuần còn cần nhiều biện pháp bảo mật khác như dùng salt/hash và áp dụng chính sách mật khẩu mạnh. Doanh nghiệp cần xây dựng và áp dụng nghiêm ngặt một chính sách quản lý mật khẩu có hệ thống trên toàn công ty
7 bình luận
Wow... cái này đúng là hơi sốc đấy.
Facebook đúng là vẫn chứng nào tật nấy nhỉ
Facebook đã lưu trữ mật khẩu người dùng dưới dạng văn bản thuần trên máy chủ nội bộ
Bọn này là tái phạm quen thói.
Thế mà lại là lưu mật khẩu dạng văn bản thuần ở FAANG... đúng là một tin tức khó tin..
Ý kiến trên Hacker News
Meta đã không cố ý lưu mật khẩu ở dạng văn bản thuần, nhưng đã có một sự cố khiến mật khẩu thuần bị ghi vào log do lỗi
Mức phạt hiện tại là 0,1% doanh thu
Trong các buổi phỏng vấn ở Meta, câu hỏi về hashing và tấn công rainbow table có thể là một dạng lời kêu cứu
Mức phạt 102 triệu USD nghe có vẻ lớn, nhưng tính trên mỗi mật khẩu thuần bị lộ thì còn chưa đến 1 USD
Vụ rò rỉ dữ liệu năm 2019 xảy ra trong một hệ thống được tạo ra từ năm 2012
Thật khó hiểu khi một công ty lớn lại mắc sai lầm như vậy
Mong là hệ thống của đội ngũ xác thực đã không ghi log payload chứa mật khẩu
Thảo luận trùng lặp: liên kết
Có vẻ không phải là cố ý lưu dưới dạng văn bản thuần khi lưu trên máy chủ, mà là trong quá trình ghi log đã có trường hợp mật khẩu dạng văn bản thuần được nhập vào bị lưu lại.
Tình trạng này âm thầm xảy ra khá nhiều, cả trong nước lẫn quốc tế...(những trường hợp mật khẩu bị lưu trong file log...)