Liên minh châu Âu phạt Meta 263 triệu USD vì sự cố bảo mật năm 2017
Do để lộ thông tin cá nhân của hàng triệu người dùng trong sự cố bảo mật năm 2017, Meta bị Liên minh châu Âu đưa ra án phạt với số tiền lên tới 251 triệu EUR (tương đương 263 triệu USD).
Án phạt được Ủy ban bảo vệ dữ liệu Ireland (DPC) đưa ra dựa trên Luật bảo vệ dữ liệu chung (GDPR). Sự cố xảy ra vào tháng 7/2017 khi Facebook triển khai chức năng tải video bao gồm tính năng “View as”, cho phép người dùng xem trang cá nhân của mình dưới góc nhìn của người dùng khác.
Tuy nhiên, một lỗi trong thiết kế đã giúp kẻ xấu tạo ra token người dùng để truy cập đầy đủ trang cá nhân Facebook của họ. Sau đó, chúng dùng token để khai thác các tính năng trên các tài khoản khác, truy cập bất hợp pháp thông tin và dữ liệu của nhiều người dùng.
Theo nhà chức trách, từ ngày 14/9 đến 28/9/2018, kẻ xấu lợi dụng lỗ hổng để đăng nhập xấp xỉ 29 triệu tài khoản Facebook trên toàn cầu, khoảng 3 triệu trong số này tại châu Âu/khu vực kinh tế châu Âu.
Dữ liệu bị xâm phạm bao gồm họ tên, địa chỉ email, số điện thoại, vị trí, nơi làm việc, ngày sinh, khu vực, giới tính, bài viết trên dòng thời gian, nhóm mà họ là thành viên, dữ liệu cá nhân con của họ.
DPC mở hai cuộc điều tra liên quan đến sự cố, một liên quan đến thông báo bảo mật và một liên quan đến quy tắc bảo vệ dữ liệu ngay từ khi thiết kế. Cơ quan công bố phán quyết cuối cùng vào ngày 17/12. Trong cả hai trường hợp, Meta đều vi phạm quy định GDPR.
Cụ thể, Meta bị phạt 11 triệu EUR trong cuộc điều tra đầu tiên vì DPC phát hiện thông báo bảo mật của công ty mẹ Facebook không bao gồm tất cả thông tin “có thể có và nên có”. Tập đoàn cũng không ghi lại đầy đủ thông tin của sự cố và các bước đã thực hiện để khắc phục.
Với cuộc điều tra thứ hai, Meta bị phạt 240 triệu EUR vì vi phạm các nguyên tắc GDPR trong bảo vệ dữ liệu ngay từ khi thiết kế, không áp dụng các biện pháp thích hợp để bảo vệ dữ liệu người dùng trước việc truy cập trái phép.
Theo Phó Ủy viên DPC Graham Doyle, nó cho thấy tác hại nghiêm trọng đến các cá nhân khi không xây dựng các yêu cầu bảo vệ dữ liệu trong suốt chu kỳ phát triển, thiết kế dịch vụ. Những loại dữ liệu bị lộ không mong muốn có nguy cơ bị lạm dụng.
Hồi tháng 9, DPC cũng phạt Meta 91 triệu EUR vì sự cố bảo mật năm 2019, trong đó mật khẩu của hàng trăm triệu người dùng được lưu dưới dạng văn bản thô trên máy chủ.