社群平台Meta数年前被发现未加密存储用户密码，上周遭爱尔兰数据保护主管机关处以9,100万欧元罚金。

2019年3月Meta被发现以明码存储用户密码，其爱尔兰分公司向爱尔兰数据保护委员会（Data Protection Commission，DPC）坦承它不慎以明文形式将「某部份」用户密码存储在内部系统，DPC于4月启动调查。经过5月调查，今年6月DPC做出裁决草案，这份草案获得欧盟会员国主管机关无异议通过。DPC也在9月26日通知Meta最终裁决，包含9,100万欧元罚款。

根据爱尔兰主管机关的调查，Meta的罪状包括未能通知，亦未能文档记录其明码存储用户密码的个资外泄事件，他们也未能使用适当的技术或组织措施防止用户密码遭未授权处理，以及确保用户密码的长期机密性。简而言之，Meta行为已经违反了欧盟隐私法GDPR。

安全专家Brian Krebs报导2019年Meta的资安事件，估计共有2亿到6亿脸书用户密码以明文存储，以致可为该公司2万员工搜索得到，外泄事件最早可追溯到2012年。而且根据Meta／脸书内部调查，log显示，2,000名脸书工程师已对存储的用户密码数据库做了大约900万次查找。最终被曝光事件影响的脸书用户人数不得而知。Meta对当局说，这些密码并未被外部人士存取。

这已是Meta多次挨罚中的最新记录。去年5月Meta因把欧盟用户的个资发送到美国，遭罚12亿欧元，是GDPR金额历来最高的罚单。2022年Meta的脸书因数据保存不当，让他人从其平台截取5亿用户个资被罚2.65亿欧元。其余这家社群平台也先后因Instagram、WhatsApp、脸书数据处理被开罚单。Meta自2018年向欧盟缴交罚金已经高达25亿欧元，是罚款最大户。