Meta bị phạt 102 triệu USD vì lưu trữ mật khẩu người dùng dưới dạng văn bản thuần túy

Minh Châu

08:51 28/09/2024

Ủy ban Bảo vệ Dữ liệu Ireland vừa ra quyết định phạt Meta 102 triệu USD sau khi phát hiện công ty đã vi phạm một số quy tắc về bảo mật thông tin của châu Âu, liên quan đến việc lưu trữ mật khẩu của người dùng.

Ủy ban Bảo vệ Dữ liệu Ireland (DPC) mới đây đã phạt Meta 101,5 triệu USD (91 triệu euro) sau khi kết thúc cuộc điều tra về vi phạm bảo mật năm 2019, trong đó công ty đã vô tình lưu trữ mật khẩu của người dùng dưới dạng văn bản thuần túy.

Thông báo ban đầu của Meta chỉ nói về cách họ tìm thấy một số mật khẩu người dùng được lưu trữ dưới dạng văn bản thuần túy trên máy chủ của mình vào tháng 1 năm đó. Nhưng một tháng sau, họ đã cập nhật thông báo của mình để tiết lộ rằng hàng triệu mật khẩu Instagram cũng được lưu trữ ở định dạng dễ đọc.

Meta vừa bị phạt 101,5 triệu USD vì vì lưu trữ mật khẩu người dùng dưới dạng văn bản thuần túy.

Trong khi Meta không nói có bao nhiêu tài khoản bị ảnh hưởng thì một nhân viên cấp cao đã nói với Krebs on Security rằng sự cố liên quan đến 600 triệu mật khẩu. Một số mật khẩu đã được lưu trữ ở định dạng dễ đọc trên máy chủ của công ty kể từ năm 2012. Chúng cũng được báo cáo là có thể được tìm kiếm bởi hơn 20.000 nhân viên Facebook, mặc dù DPC đã làm rõ trong quyết định của mình rằng ít nhất chúng không được cung cấp cho các bên bên ngoài.

DPC phát hiện Meta đã vi phạm một số quy tắc GDPR (quy định pháp lý về bảo mật thông tin có hiệu lực trên toàn Liên minh Châu Âu (EU) và Khu vực kinh tế Châu Âu (EEA) từ ngày 25/5/2018). Cơ quan này xác định công ty đã không thông báo cho DPC và không ghi lại các vi phạm dữ liệu cá nhân liên quan đến việc lưu trữ mật khẩu người dùng.

Cơ quan này cũng cho biết Meta đã vi phạm GDPR bằng cách không sử dụng các biện pháp kỹ thuật phù hợp để đảm bảo an toàn cho mật khẩu của người dùng trước các nguy cơ xâm nhập trái phép.

Meta đã không sử dụng các biện pháp kỹ thuật phù hợp để đảm bảo an toàn cho mật khẩu của người dùng trước các nguy cơ xâm nhập trái phép.

"Mật khẩu người dùng không nên được lưu trữ dưới dạng văn bản thuần túy, xét đến rủi ro bị lạm dụng. Cần lưu ý rằng, mật khẩu là chủ đề đặc biệt nhạy cảm, vì chúng có thể cho phép truy cập vào tài khoản mạng xã hội của người dùng", Phó Ủy viên DPC, Graham Doyle, cho biết trong một tuyên bố.

Ngoài mức phạt tiền kể trên, DPC cũng đã tiến hành khiển trách công ty. Điều này được cho là có thể ảnh hưởng tới những phán quyết liên quan đến Meta trong khu vực thời gian tới khi công ty này đang phải đối diện với các cuộc điều tra ở nhiều lĩnh vực khác nhau bao gồm độc quyền, quyền riêng tư...