9月27日消息，据外电报道，社交媒体巨头 meta 因在其内部系统中意外以纯文本而不是加密格式存储了数亿用户的密码而被罚款 9100 万欧元（1.01 亿美元）。

meta 早在 2019 年就首次宣布发现了这一工程错误。当时，该公司表示将通知所有密码存储未受保护的用户，尽管它强调这些密码仅在 meta 内部暴露，并且没有证据表明任何一个密码被滥用。

经过五年的调查，爱尔兰数据保护委员会 (DPC)——由于 meta 的欧洲总部位于爱尔兰，因此是欧盟对 meta 的主要隐私管理机构——发现该事件违反了 meta 根据欧盟《通用数据保护条例》(GDPR) 所承担的法律义务。

DPC 在周五的一份声明中表示，它对 meta 进行了谴责和罚款，原因是其多次违反了 GDPR，包括未能将个人数据泄露情况通知 DPC，以及未能实施适当的技术措施保护用户密码。

要登录在线服务，该服务需要知道用户的密码；这是用户和服务共享的秘密。但为了防止这些密码被窃取——无论是被恶意内部人员还是被侵入系统的黑客窃取——在线服务通常会以受保护的格式存储密码。

正如该公司所解释的那样，Facebook 通常使用行业标准的加密技术（包括哈希和加盐）来保护人们的密码。目前尚不清楚为什么大量 Facebook 和 Instagram 用户没有这样做。

DPC 表示，已与其他欧盟机构分享了这一决定，且均未对罚款提出异议，不过解释罚款的完整决定并未与周五监管机构的公告同时发布。

副局长格雷厄姆·道尔 (Graham Doyle) 表示：考虑到访问此类数据可能引发滥用风险，人们普遍认为用户密码不应以明文形式存储。必须牢记，本案中考虑的密码特别敏感，因为它们将允许访问用户的社交媒体帐户。

meta 尚未回应置评请求。