Ủy ban Bảo vệ Dữ liệu (DPC) của Ireland đã chính thức áp đặt mức phạt 251 triệu euro (tương đương 263 triệu đô la Mỹ) đối với Meta vì những vi phạm liên quan đến sự cố này. Đây là một đòn giáng mạnh vào gã khổng lồ mạng xã hội, đồng thời là lời cảnh tỉnh sâu sắc về trách nhiệm bảo vệ dữ liệu người dùng.
Sự cố bắt nguồn từ tháng 7 năm 2017, khi Facebook triển khai tính năng "Xem dưới dạng" trong trình tải video mới. Tính năng này cho phép người dùng xem trang cá nhân của mình dưới góc độ của một người dùng khác.
Tuy nhiên, một lỗi nghiêm trọng trong thiết kế đã tạo kẽ hở cho tin tặc lợi dụng. Chúng đã khai thác sự kết hợp giữa trình tải video và tính năng "Happy Birthday Composer" để tạo ra mã thông báo người dùng, cho phép xâm nhập trái phép vào hồ sơ Facebook.
Bằng cách sử dụng mã thông báo này, tin tặc có thể tiếp tục tấn công hàng loạt tài khoản khác, tiếp cận dữ liệu cá nhân của hàng triệu người dùng.
Theo DPC, từ ngày 14 đến 28-9-2018, khoảng 29 triệu tài khoản Facebook trên toàn cầu đã bị ảnh hưởng bởi lỗ hổng này, trong đó có khoảng 3 triệu tài khoản thuộc Liên minh châu Âu (EU) và Khu vực Kinh tế châu Âu (EEA).
Sự trỗi dậy của smartphone Trung Quốc, từ việc sao chép đến vượt mặt
Phạm vi dữ liệu bị xâm phạm vô cùng rộng, bao gồm tên đầy đủ, địa chỉ email, số điện thoại, địa điểm, nơi làm việc, ngày sinh, tôn giáo, giới tính, bài đăng trên dòng thời gian, nhóm tham gia và thậm chí cả dữ liệu cá nhân của trẻ em. Chính sự đa dạng và nhạy cảm của dữ liệu bị rò rỉ có thể là một trong những yếu tố chính dẫn đến mức phạt nặng nề.
DPC đã tiến hành hai cuộc điều tra riêng biệt về vụ việc: một về việc thông báo vi phạm của Meta và một về các quy tắc bảo vệ dữ liệu theo thiết kế và mặc định. Kết quả, Meta bị kết luận đã vi phạm Quy định Bảo vệ Dữ liệu Chung (GDPR) của EU trong cả hai trường hợp.
Cụ thể, Meta bị phạt 11 triệu euro vì thông báo vi phạm không đầy đủ thông tin và không ghi chép đầy đủ về sự cố và các biện pháp khắc phục. Khoản phạt còn lại, 240 triệu euro, liên quan đến việc Meta vi phạm các nguyên tắc GDPR về bảo vệ dữ liệu theo thiết kế, do thiếu các biện pháp bảo vệ dữ liệu khỏi việc xử lý ngoài ý muốn.
Phó ủy viên DPC, Graham Doyle, nhấn mạnh tầm quan trọng của việc xây dựng các yêu cầu bảo vệ dữ liệu ngay từ giai đoạn thiết kế và phát triển. Ông cảnh báo rằng việc thiếu sót trong khâu này có thể gây ra những rủi ro và tác hại nghiêm trọng cho người dùng, đặc biệt là đối với các quyền cơ bản và tự do cá nhân.
Ông cũng lưu ý rằng hồ sơ Facebook thường chứa đựng thông tin nhạy cảm như tín ngưỡng tôn giáo, chính trị, đời sống tình dục, và việc để lộ những thông tin này có thể gây ra những hậu quả khôn lường.
Một điểm đáng chú ý khác là quyết định này đã được thông qua mà không gặp bất kỳ phản đối nào từ các cơ quan giám sát ngang cấp trong EU/EEA. Điều này cho thấy sự đồng thuận cao về mức độ nghiêm trọng của vi phạm và sự cần thiết của án phạt.
Về phía Meta, người phát ngôn Emily Westcott cho biết công ty đã hành động ngay lập tức để khắc phục sự cố vào năm 2018 và đã chủ động thông báo cho người dùng bị ảnh hưởng cũng như DPC. Bà cũng khẳng định Meta đang áp dụng nhiều biện pháp hàng đầu trong ngành để bảo vệ người dùng trên các nền tảng của mình.
Tuy nhiên, án phạt này là một lời nhắc nhở cho Meta và tất cả các công ty công nghệ về tầm quan trọng của việc bảo vệ dữ liệu người dùng. Nó cũng cho thấy các cơ quan quản lý đang ngày càng quyết liệt hơn trong việc thực thi GDPR và bảo vệ quyền riêng tư của người dân.
