Meta bị phạt 251 triệu euro vì vi phạm dữ liệu năm 2018 ảnh hưởng đến 29 triệu tài khoản

Meta bị phạt 251 triệu euro vì vi phạm dữ liệu năm 2018 ảnh hưởng đến 29 triệu tài khoản

Meta Platforms, công ty mẹ của Facebook, Instagram, WhatsApp và Threads, đã bị phạt 251 triệu euro (khoảng 263 triệu đô la) vì vi phạm dữ liệu năm 2018 ảnh hưởng đến hàng triệu người dùng trong khối, đây là đòn giáng tài chính mới nhất mà công ty phải chịu vì vi phạm luật bảo mật nghiêm ngặt.

Meta bị phạt 251 triệu euro vì vi phạm dữ liệu năm 2018 ảnh hưởng đến 29 triệu tài khoản

Ủy ban Bảo vệ Dữ liệu Ireland (DPC) cho biết vi phạm dữ liệu đã ảnh hưởng đến khoảng 29 triệu tài khoản Facebook trên toàn cầu, trong đó có khoảng 3 triệu tài khoản có trụ sở tại Liên minh Châu Âu và Khu vực Kinh tế Châu Âu (EEA). Điều đáng chú ý là ước tính ban đầu từ gã khổng lồ công nghệ đã ước tính tổng số tài khoản bị ảnh hưởng là 50 triệu.

Sự cố mà công ty truyền thông xã hội tiết lộ vào tháng 9 năm 2018, phát sinh từ một lỗi được đưa vào hệ thống của Facebook vào tháng 7 năm 2017, cho phép các tác nhân đe dọa không xác định khai thác tính năng "Xem dưới dạng" cho phép người dùng xem hồ sơ của chính họ dưới dạng người khác.

Cuối cùng, điều này đã giúp có thể lấy được mã thông báo truy cập tài khoản, cho phép kẻ tấn công đột nhập vào tài khoản của nạn nhân. Các loại dữ liệu cá nhân bị ảnh hưởng do vi phạm bảo mật bao gồm tên đầy đủ, địa chỉ email, số điện thoại, vị trí, nơi làm việc, ngày sinh, tôn giáo, giới tính, bài đăng trên dòng thời gian, nhóm mà họ là thành viên và dữ liệu cá nhân của trẻ em.

"Người dùng sử dụng tính năng [Xem dưới dạng] có thể gọi trình tải video kết hợp với tiện ích 'Happy Birthday Composer' của Facebook", DPC cho biết.

"Sau đó, trình tải video sẽ tạo mã thông báo người dùng được cấp phép đầy đủ, cho phép họ truy cập đầy đủ vào hồ sơ Facebook của người dùng khác đó. Sau đó, người dùng có thể sử dụng mã thông báo đó để khai thác cùng một tổ hợp các tính năng trên các tài khoản khác, cho phép họ truy cập vào hồ sơ của nhiều người dùng và dữ liệu có thể truy cập thông qua các hồ sơ đó".

Cơ quan giám sát bảo vệ dữ liệu cũng cho biết rằng những kẻ tấn công độc hại đã sử dụng các tập lệnh để khai thác lỗ hổng trong khoảng thời gian từ ngày 14 đến ngày 28 tháng 9 năm 2018 và truy cập trái phép vào 29 triệu tài khoản Facebook trên toàn cầu. Meta đã xóa chức năng gây ra sự cố kể từ đó.

Các khoản tiền phạt được áp dụng theo hành vi vi phạm bốn điều khoản khác nhau theo luật bảo mật dữ liệu GDPR, cụ thể là Điều 33(3), Điều 33(5), Điều 25(1) và Điều 25(2) -

  • Không đưa vào thông báo vi phạm tất cả thông tin mà họ có thể và nên đưa vào
  • Không ghi lại các sự kiện liên quan đến từng vi phạm, các bước đã thực hiện để khắc phục chúng và thực hiện theo cách cho phép Cơ quan giám sát xác minh việc tuân thủ
  • Không đảm bảo rằng các nguyên tắc bảo vệ dữ liệu được bảo vệ trong quá trình thiết kế hệ thống xử lý
  • Không thực hiện nghĩa vụ của mình với tư cách là bên kiểm soát để đảm bảo rằng chỉ dữ liệu cá nhân cần thiết cho các mục đích cụ thể mới được xử lý

"Hành động thực thi này nêu bật cách thức mà việc không xây dựng các yêu cầu bảo vệ dữ liệu trong suốt chu kỳ thiết kế và phát triển có thể khiến cá nhân phải chịu những rủi ro và tác hại rất nghiêm trọng, bao gồm rủi ro đối với các quyền và quyền tự do cơ bản của cá nhân", Phó Ủy viên DPC Graham Doyle cho biết.

"Bằng cách cho phép tiết lộ thông tin hồ sơ trái phép, các lỗ hổng đằng sau hành vi vi phạm này đã gây ra rủi ro nghiêm trọng về việc sử dụng sai các loại dữ liệu này".

Đây là khoản tiền phạt thứ hai mà DPC đưa ra đối với Meta, công ty đã bị phạt 91 triệu euro (101,5 triệu đô la) vào tháng 9 năm 2024 vì vấn đề bảo mật năm 2019 liên quan đến việc vô tình lưu trữ mật khẩu của người dùng dưới dạng văn bản thuần túy.

Diễn biến này diễn ra khi Meta cũng đồng ý với chương trình thanh toán trị giá 50 triệu đô la Úc (31,5 triệu đô la) để giải quyết với Văn phòng Ủy viên thông tin Úc (OAIC) ​​liên quan đến việc sử dụng sai thông tin cá nhân của người dùng để lập hồ sơ chính trị và nhắm mục tiêu quảng cáo sau vụ bê bối Cambridge Analytica năm 2018.

Chương trình này đủ điều kiện cho những cá nhân có Tài khoản Facebook từ ngày 2 tháng 11 năm 2013 đến ngày 17 tháng 12 năm 2015; có mặt tại Úc hơn 30 ngày trong khoảng thời gian đó; và đã cài đặt ứng dụng This is Your Digital Life hoặc là bạn bè trên Facebook của một cá nhân đã cài đặt ứng dụng này.

Người ta nói rằng 53 người dùng Facebook Úc đã cài đặt Ứng dụng và 311.074 người dùng Facebook có thể đã yêu cầu ứng dụng cung cấp thông tin cá nhân của họ với tư cách là bạn bè của những người đã tải xuống ứng dụng.

Thỏa thuận giải quyết đưa ra hai mức thanh toán, một khoản thanh toán cơ bản cho những người đã trải qua mối lo ngại chung hoặc bối rối vì rò rỉ và một khoản thanh toán cụ thể cho những người có thể chứng minh rằng họ đã bị mất mát hoặc thiệt hại. Chương trình thanh toán dự kiến ​​sẽ chính thức chấp nhận đơn đăng ký vào quý 2 năm 2025.

"Nó đại diện cho một giải pháp thực chất cho những lo ngại về quyền riêng tư do vấn đề Cambridge Analytica nêu ra, mang đến cho những người Úc có khả năng bị ảnh hưởng cơ hội tìm kiếm sự bồi thường thông qua chương trình thanh toán của Meta và chấm dứt quá trình tố tụng kéo dài", Ủy viên thông tin Úc Elizabeth Tydd cho biết.

Hương – Theo TheHackerNews

Tin liên quan:

Standard Post with Image

Thông báo thời gian nghỉ lễ Tết Dương Lịch 2025

NTS xin thông báo đến Quý khách hàng thời gian nghỉ lễ Tết Dương Lịch ngày Thứ Tư 01/01/2025 theo hướng dẫn của Chính Phủ ban hành. Chúng tôi sẽ làm...

Chi tiết
Standard Post with Image

Khi tiện ích mở rộng tốt trở nên tệ hại: Những điểm chính từ chiến dịch nhắm mục tiêu vào tiện ích mở rộng trình duyệt

Tin tức đã trở thành tiêu đề trong suốt cuối tuần về chiến dịch tấn công mở rộng nhắm vào các tiện ích mở rộng của trình duyệt và tiêm mã độc vào...

Chi tiết
Standard Post with Image

Khi tiện ích mở rộng tốt trở nên tệ hại: Làm thế nào để bảo vệ tổ chức của bạn

Mặc dù nhiều người dùng và tổ chức không nhận thức được những rủi ro tiềm ẩn liên quan đến tiện ích mở rộng trình duyệt, nhưng có một số hành động...

Chi tiết