Meta ถูกปรับ 102 ล้านดอลลาร์จากการจัดเก็บรหัสผ่านเป็นข้อความล้วน

 (engadget.com)
19 คะแนน โดย GN⁺ 2024-09-30 | 7 ความคิดเห็น | แชร์ทาง WhatsApp
  • คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ (DPC) ได้สั่งปรับ Meta เป็นเงิน 101.5 ล้านดอลลาร์ (91 ล้านยูโร) หลังเสร็จสิ้นการสอบสวนเหตุละเมิดความปลอดภัยในปี 2019
  • เดิมที Meta เปิดเผยในเดือนมกราคม 2019 ว่ารหัสผ่านของผู้ใช้บางส่วนถูกจัดเก็บเป็นข้อความล้วนบนเซิร์ฟเวอร์ของบริษัท
  • หนึ่งเดือนต่อมา บริษัทอัปเดตเพิ่มเติมว่ารหัสผ่าน Instagram หลายล้านรายการก็ถูกจัดเก็บในรูปแบบที่อ่านได้ง่ายเช่นกัน
  • Meta ไม่ได้เปิดเผยว่ามีกี่บัญชีที่ได้รับผลกระทบ แต่ในเวลานั้น ผู้บริหารระดับสูงรายหนึ่งกล่าวกับ Krebs on Security ว่าอาจมีรหัสผ่านที่เกี่ยวข้องมากถึง 600 ล้านรายการ
  • รหัสผ่านบางส่วนถูกจัดเก็บเป็นข้อความล้วนบนเซิร์ฟเวอร์ของบริษัทมาตั้งแต่ปี 2012 และพนักงาน Facebook มากกว่า 20,000 คนสามารถค้นหาได้
  • DPC ยืนยันว่ารหัสผ่านไม่ได้ถูกส่งต่อให้บุคคลภายนอก
  • DPC เห็นว่า Meta ละเมิดกฎ GDPR หลายข้อ
    • ไม่แจ้ง DPC โดยไม่ชักช้าถึงเหตุละเมิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการจัดเก็บรหัสผ่านผู้ใช้เป็นข้อความล้วน
    • ไม่จัดทำเอกสารเกี่ยวกับเหตุละเมิดข้อมูลส่วนบุคคลที่เกี่ยวข้องกับการจัดเก็บรหัสผ่านผู้ใช้เป็นข้อความล้วน
    • ไม่ใช้มาตรการทางเทคนิคที่เหมาะสมเพื่อรับประกันความปลอดภัยต่อการประมวลผลรหัสผ่านผู้ใช้โดยไม่ได้รับอนุญาต
  • Graham Doyle รองกรรมการของ DPC กล่าวว่า "รหัสผ่านของผู้ใช้ไม่ควรถูกจัดเก็บเป็นข้อความล้วน และต้องคำนึงว่านี่คือข้อมูลอ่อนไหวที่สามารถนำไปใช้เข้าถึงบัญชีโซเชียลมีเดียได้โดยเฉพาะ"
  • นอกเหนือจากค่าปรับแล้ว DPC ยังออกคำเตือนต่อ Meta ด้วย และน่าจะทราบได้มากขึ้นว่าคำเตือนดังกล่าวจะส่งผลต่อ Meta อย่างไรเมื่อคณะกรรมการประกาศคำตัดสินฉบับสุดท้าย

ความเห็นของ GN⁺

  • เหตุการณ์นี้น่าจะเป็นสัญญาณเตือนสำคัญต่อแนวปฏิบัติด้านการคุ้มครองข้อมูลส่วนบุคคลของบริษัทเทคโนโลยีขนาดใหญ่ และย้ำอีกครั้งว่าการดูแลข้อมูลผู้ใช้อย่างปลอดภัยมีความสำคัญเพียงใด
  • Meta ควรใช้โอกาสนี้ตรวจสอบและปรับปรุงระบบความปลอดภัยครั้งใหญ่ ไม่ใช่แค่มาตรการทางเทคนิคอย่างการเข้ารหัสเท่านั้น แต่ยังรวมถึงการอบรมพนักงาน การตรวจสอบภายใน และความพยายามในระดับองค์กรด้วย
  • ระดับค่าปรับจากการละเมิด GDPR กำลังสูงขึ้นเรื่อยๆ บริษัทต่างๆ จึงต้องตระหนักว่าการปฏิบัติตาม GDPR รวมถึงกฎหมายคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศอย่างเคร่งครัด เป็นเรื่องสำคัญในมิติของการบริหารความเสี่ยงด้วย
  • ขณะเดียวกัน ในเหตุการณ์นี้ยังไม่พบหลักฐานว่าช่องโหว่ด้านความปลอดภัยที่ถูกเปิดเผยถูกนำไปใช้ในทางที่ผิดจริง ถึงอย่างนั้น Meta ก็ยังต้องจ่ายค่าปรับมหาศาล ซึ่งดูเหมือนสะท้อนว่าปัญหานี้มีความร้ายแรงและมีระดับการฝ่าฝืนข้อกำหนดที่สูง
  • ในด้านการจัดการรหัสผ่าน นอกจากการไม่จัดเก็บเป็นข้อความล้วนแล้ว ยังจำเป็นต้องมีมาตรการความปลอดภัยอื่นๆ เช่น การใช้ salt/hash และการบังคับใช้นโยบายรหัสผ่านที่แข็งแกร่ง บริษัทควรจัดทำนโยบายการจัดการรหัสผ่านอย่างเป็นระบบในระดับทั้งองค์กรและบังคับใช้อย่างเข้มงวด

บทความที่เกี่ยวข้อง

7 ความคิดเห็น

 
princox 2024-09-30

ว้าว... อันนี้ค่อนข้างช็อกเลยนะครับ
 
savvykang 2024-09-30

เฟซบุ๊กก็ยังเป็นเฟซบุ๊กเหมือนเดิมนี่แหละ
 
wedding 2024-09-30

ในระดับ FAANG แต่เก็บรหัสผ่านเป็นข้อความล้วนเนี่ยนะ.. เป็นข่าวที่เหลือเชื่อจริง ๆ..
 
GN⁺ 2024-09-30
ความเห็นจาก Hacker News

  • Meta ตั้งใจจะไม่เก็บรหัสผ่านแบบ plaintext แต่มีเหตุการณ์ที่รหัสผ่านแบบ plaintext ถูกบันทึกลงในล็อกจากบั๊ก

    • ตั้งแต่ปี 2012 มีรหัสผ่าน 600 ล้านรายการถูกเก็บในรูปแบบที่อ่านได้ง่าย และพนักงาน Facebook มากกว่า 20,000 คนสามารถเข้าถึงได้
    • นี่ไม่ใช่แค่ความผิดพลาดเล็กน้อย แต่เป็นปัญหาร้ายแรง

  • ค่าปรับคิดเป็น 0.1% ของรายได้ปัจจุบัน

    • บริษัทที่มีรายได้ต่อปี 1 พันล้านดอลลาร์จะต้องจ่ายค่าปรับ 100,000 ดอลลาร์
    • เรื่องนี้ไม่ได้สร้างแรงจูงใจให้รักษาความปลอดภัยอย่างเหมาะสม
    • หากการปรับปรุงการดีบักผ่านล็อกช่วยเพิ่มประสิทธิภาพได้มากกว่า 0.1% ก็ถือเป็นดีลที่คุ้มสำหรับบริษัท

  • คำถามเรื่อง hashing และการโจมตีแบบ rainbow table ในการสัมภาษณ์ของ Meta อาจเป็นเหมือนการร้องขอความช่วยเหลือรูปแบบหนึ่ง

  • ค่าปรับ 102 ล้านดอลลาร์ฟังดูเหมือนเป็นเงินก้อนใหญ่ แต่หากคิดต่อรหัสผ่าน plaintext ที่รั่วไหลหนึ่งรายการแล้ว ยังไม่ถึง 1 ดอลลาร์ด้วยซ้ำ

    • ค่าปรับนี้ถูกสั่งเพราะไม่ได้แจ้งหน่วยงานกำกับดูแลให้ทันเวลา
    • การประเมินผลกระทบต่อผู้ใช้ที่เสียหายนั้นน่าสนใจ

  • เหตุข้อมูลรั่วไหลในปี 2019 เกิดขึ้นจากระบบที่สร้างขึ้นในปี 2012

    • GDPR เริ่มใช้ในปี 2018 และ Meta ถูกปรับเพราะเปิดเผยเหตุข้อมูลรั่วไหลปี 2019 อย่างไม่เหมาะสม

  • เข้าใจได้ยากว่าบริษัทใหญ่จะทำพลาดแบบนี้

    • การทำ password hashing และ salting เป็นขั้นตอนความปลอดภัยพื้นฐาน
    • นึกไม่ออกเลยว่าบริษัทใหญ่อย่าง Meta/Facebook จะพลาดเรื่องแบบนี้ได้

  • หวังว่าระบบของทีมยืนยันตัวตนจะไม่ได้บันทึก payload ที่มีรหัสผ่านลงในล็อก

    • มีความเป็นไปได้ว่าสิ่งนี้เกิดขึ้นในองค์ประกอบโครงสร้างพื้นฐานที่อีกทีมหนึ่งเป็นเจ้าของ

  • มีการพูดคุยซ้ำ: ลิงก์
 
darkhi 2024-10-01

ดูเหมือนว่าจะไม่ได้ตั้งใจเก็บเป็นข้อความล้วนตอนบันทึกลงเซิร์ฟเวอร์ แต่มีกรณีที่รหัสผ่านแบบข้อความล้วนที่รับเข้ามาถูกบันทึกไว้ระหว่างกระบวนการที่มีการเก็บล็อก
เจอกันบ่อยแบบเงียบ ๆ ทั้งในและต่างประเทศเลยครับ...(กรณีที่รหัสผ่านถูกบันทึกอยู่ในไฟล์ล็อก...)
 
2024-09-30
[ความคิดเห็นนี้ถูกซ่อน]