Meta bị phạt 102 triệu USD vì lưu trữ mật khẩu người dùng không an toàn

Meta bị phạt 102 triệu USD vì lưu trữ mật khẩu người dùng không an toàn

Cơ quan bảo vệ dữ liệu Ireland (DPC) vừa tuyên bố phạt Meta, công ty mẹ của Facebook, Instagram và WhatsApp, số tiền lên tới 102 triệu USD (khoảng 2.400 tỷ đồng) vì vi phạm quy định về bảo vệ dữ liệu cá nhân của Liên minh Châu Âu (EU) – cụ thể là Quy định chung về bảo vệ dữ liệu (GDPR). Việc phạt này liên quan đến việc Meta lưu trữ mật khẩu của hàng triệu người dùng một cách không an toàn, cho phép nhân viên nội bộ truy cập vào chúng mà không cần tuân thủ các biện pháp bảo mật cần thiết.

Theo DPC, Meta đã vi phạm Điều 32 của GDPR, quy định về an ninh dữ liệu. Điều tra của cơ quan này cho thấy Meta đã không thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ mật khẩu người dùng khỏi sự truy cập trái phép. Điều này có nghĩa là nhân viên của Meta, ngay cả khi không có quyền hạn cần thiết, vẫn có thể xem được mật khẩu của người dùng trong dạng văn bản rõ ràng, làm gia tăng đáng kể nguy cơ bị đánh cắp hoặc bị lạm dụng.

Quyết định phạt này là kết quả của một cuộc điều tra kéo dài, được tiến hành sau khi phát hiện ra các lỗ hổng bảo mật trong hệ thống của Meta. DPC đã xem xét một loạt yếu tố, bao gồm quy mô của vi phạm, tính chất nghiêm trọng của vi phạm, cũng như các biện pháp mà Meta đã thực hiện để khắc phục vấn đề. Mặc dù Meta đã tuyên bố đã khắc phục các lỗ hổng này, DPC nhấn mạnh rằng sự vi phạm ban đầu là không thể chấp nhận được và đã gây ra rủi ro đáng kể đối với quyền riêng tư của người dùng.

Việc phạt này đánh dấu một bước ngoặt quan trọng trong việc thực thi GDPR, cho thấy sự quyết tâm của cơ quan chức năng EU trong việc bảo vệ dữ liệu cá nhân của người dân. Đây cũng là một lời cảnh tỉnh đối với các công ty công nghệ khác, nhấn mạnh tầm quan trọng của việc đầu tư vào các biện pháp bảo mật mạnh mẽ và tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu. Meta có quyền kháng cáo phán quyết này.

#Meta #GDPR #PhạtTiền #BảoMậtDữLiệu #ViPhạmQuyĐịnh #QuyềnRiêngTư #AnToànDữLiệu #Facebook #Instagram #WhatsApp #Ireland #LiênMinhChâuÂu #DữLiệuCáNhân #BảoMậtMậtKhẩu

Ủy ban bảo vệ dữ liệu Ireland (DPC) đã phạt Meta 101,5 triệu đô la (91 triệu euro) sau khi kết thúc cuộc điều tra về vi phạm bảo mật vào năm 2019, trong đó công ty đã lưu nhầm mật khẩu của người dùng ở dạng văn bản thuần túy. Thông báo ban đầu của Meta chỉ nói về cách họ tìm thấy một số mật khẩu người dùng được lưu trữ dưới dạng văn bản thuần túy trên máy chủ của mình vào tháng 1 năm đó. Nhưng một tháng sau, họ cập nhật thông báo tiết lộ rằng hàng triệu mật khẩu Instagram cũng được lưu trữ ở định dạng dễ đọc.

Mặc dù Meta không cho biết có bao nhiêu tài khoản bị ảnh hưởng nhưng một nhân viên cấp cao đã nói hồi đó vụ việc liên quan tới 600 triệu mật khẩu. Một số mật khẩu đã được lưu trữ ở định dạng dễ đọc trong máy chủ của công ty kể từ năm 2012. Theo báo cáo, chúng cũng có thể được hơn 20.000 nhân viên Facebook tìm kiếm, mặc dù DPC đã làm rõ trong quyết định của mình rằng ít nhất chúng không được cung cấp cho các bên bên ngoài.

DPC nhận thấy Meta đã vi phạm một số quy tắc GDPR liên quan đến hành vi vi phạm. Nó xác định rằng công ty đã không “thông báo cho DPC về vi phạm dữ liệu cá nhân liên quan đến việc lưu trữ mật khẩu người dùng ở dạng bản rõ” và không “ghi lại các vi phạm dữ liệu cá nhân liên quan đến việc lưu trữ mật khẩu người dùng ở dạng bản rõ”. Họ cũng cho rằng Meta đã vi phạm GDPR khi không sử dụng các biện pháp kỹ thuật phù hợp để đảm bảo an toàn cho mật khẩu của người dùng trước việc xử lý trái phép.

“Người ta chấp nhận rộng rãi rằng mật khẩu người dùng không nên được lưu trữ ở dạng văn bản gốc, xem xét các rủi ro lạm dụng phát sinh từ những người truy cập dữ liệu đó. Cần phải lưu ý rằng mật khẩu được xem xét trong trường hợp này đặc biệt nhạy cảm, vì chúng sẽ cho phép truy cập vào tài khoản mạng xã hội của người dùng”, Phó ủy viên DPC, Graham Doyle, cho biết trong một tuyên bố.

UBND huyện cũng đã khiển trách công ty bên cạnh hình phạt. Chúng tôi có thể biết thêm về ý nghĩa của điều đó đối với Meta khi ủy ban công bố quyết định cuối cùng đầy đủ và các thông tin liên quan khác trong tương lai.