Facebook làm rò rỉ dữ liệu của hơn nửa tỷ người dùng, án phạt cực nặng đưa ra

Trong khi quay cuồng với hậu quả của thảm họa metaverse và giá cổ phiếu giảm, công ty mẹ của Facebook là Meta hôm nay lại phải chịu thêm một thất bại nữa sau một báo cáo từ Wall Street Journal cho rằng, gã khổng lồ xã hội này đã bị phạt 277 triệu USD vì làm rò rỉ dữ liệu của hơn nửa tỷ người dùng. Ở đây, thông tin cá nhân của 533 triệu người dùng Facebook trên toàn thế giới đã xuất hiện trở lại trên một trang web của tin tặc vào năm ngoái, bao gồm cả số điện thoại và địa chỉ email của họ.

Chính quyền Ireland là cơ quan giám sát chính đối với một số công ty công nghệ lớn nhất của Thung lũng Silicon đã thiết lập cơ sở của EU tại quốc gia này, bao gồm cả Meta. Họ đã mở cuộc điều tra sau những tiết lộ rằng "một bộ dữ liệu đối chiếu về dữ liệu cá nhân của Facebook" đã được rò rỉ trên internet.

Hình phạt gần đây nhất bắt nguồn từ một vụ vi phạm dữ liệu khi phát hiện ra một bộ dữ liệu cá nhân được đối chiếu đã được lấy từ Facebook trong khoảng thời gian từ tháng 5 năm 2018 đến tháng 9 năm 2019 bị rò rỉ, trong đó một tin tặc được cho là đã công bố một kho dữ liệu cá nhân thu thập được của người dùng trên một diễn đàn trực tuyến bao gồm số điện thoại, ID Facebook và ngày sinh. Kho dữ liệu bị rò rỉ đó, theo Politico, được cho là bao gồm dữ liệu cá nhân của Ủy viên Tư pháp EU Didier Reynders, Thủ tướng Luxembourg và các quan chức EU khác.

Ủy ban bảo vệ dữ liệu cho biết cuộc điều tra đã xem xét các công cụ "Tìm kiếm Facebook, Trình nhập liên hệ Facebook Messenger và Trình nhập liên hệ Instagram liên quan đến quá trình xử lý do Meta thực hiện" trong khoảng thời gian từ tháng 5 năm 2018 đến tháng 9 năm 2019.

Vào thời điểm đó, người phát ngôn của Meta (khi đó chỉ được gọi là Facebook) đã cố gắng loại bỏ vi phạm, tuyên bố rằng họ đã biết về vấn đề này vào năm 2019 và thông tin được đề cập chủ yếu bao gồm "dữ liệu cũ".

Những sự che giấu đó không phù hợp với các cơ quan quản lý tại Ủy ban bảo vệ dữ liệu của Ireland. Trong một bài đăng trên blog, cơ quan quản lý này cho biết Meta đã không tuân thủ nghĩa vụ của Quy định bảo vệ dữ liệu chung về cung cấp quyền riêng tư theo mặc định và thiết kế. Bên cạnh tiền phạt, các cơ quan quản lý cũng đã ban hành một biện pháp khắc phục nhằm đưa quá trình xử lý của Meta phải tuân thủ, "bằng cách thực hiện một loạt các hành động khắc phục hậu quả cụ thể", nhưng hông rõ chính xác những hành động đó đòi hỏi gì.

Thông báo này được đưa ra chỉ vài ngày sau một báo cáo khác cho biết tin tặc đã rao bán một bộ 487 triệu số điện thoại WhatsApp mới để bán trên Dark Web.

Meta cho biết họ đã hợp tác đầy đủ với cuộc điều tra của Ủy viên bảo mật dữ liệu (DPC) của Ireland và thực hiện các thay đổi đối với hệ thống của mình trong thời gian được đề cập, bao gồm cả việc loại bỏ khả năng tạo các tính năng theo cách này bằng cách sử dụng số điện thoại.

Khoản tiền phạt hôm 28/11 là khoản tiền thứ tư mà DPC áp dụng đối với một trong các công ty của Meta. Đây là cơ quan quản lý quyền riêng tư hàng đầu của Meta trong Liên minh Châu Âu và họ đang còn có thêm 13 câu hỏi về nhóm truyền thông xã hội nổi bật của nền tảng này.

Tờ Wall Street Journal đưa tin, đây là một dấu hiệu nữa cho thấy các nhà chức trách trong khu vực đang trở nên quyết liệt hơn trong việc áp dụng luật riêng tư của mình đối với các công ty công nghệ lớn.

Vào tháng 9, cơ quan giám sát đã tấn công công ty con Instagram của mình với mức phạt kỷ lục 405 triệu euro, mà Meta có kế hoạch kháng cáo. Meta đã thêm vào trong tuyên bố của mình rằng họ đang xem xét quyết định liên quan đến khoản tiền phạt mới nhất.

Cơ quan quản lý có quyền áp đặt mức phạt lên tới 4% doanh thu toàn cầu của một công ty theo chế độ "One Stop Shop" của Quy định bảo vệ dữ liệu chung (GDPR) của EU được giới thiệu vào năm 2018.

Đầu năm nay, Google và Facebook đã bị phạt 237 triệu USD vì vi phạm cookie và gây khó khăn cho người dùng internet ở EU trong việc dễ dàng từ chối các trình theo dõi trực tuyến. Cụ thể, Cơ quan giám sát quyền riêng tư dữ liệu của Pháp (CNIL) đã phạt Google của Alphabet 169 triệu USD và Facebook 68.000 USD vì vi phạm các quy tắc bảo mật của EU, bằng cách gây khó khăn cho người dùng internet Pháp từ chối các trình theo dõi trực tuyến được gọi là cookie.

Các cơ quan giám sát dữ liệu ở châu Âu đã thấy quyền hạn của họ tăng lên chỉ sau một đêm vào tháng 5 năm 2018, khi GDPR có hiệu lực và trao cho họ quyền áp dụng các khoản tiền phạt lên tới 4% doanh thu hàng năm của một công ty.

Các hình phạt lớn nhất theo tiêu chuẩn GDPR cho đến nay là khoản tiền phạt kỷ lục 746 triệu euro đối với Amazon.com bởi cơ quan giám sát quyền riêng tư hàng đầu ở Luxembourg, tiếp theo là khoản tiền phạt 405 triệu euro đối với Instagram của Meta và khoản tiền phạt 225 triệu euro đối với đơn vị WhatsApp của Meta.