Meta bị phạt 265 triệu Euro vì cho phép nhân viên ăn cắp dữ liệu người dùng Facebook

Meta phạm sai lầm tai hại trong khi các công ty Blockchain và Web3 đang cố gắng ngăn chặn những rò rỉ dữ liệu bằng cách tạo các quy trình đăng nhập thay thế và phân phối việc thu thập dữ liệu cần thiết theo cách phi tập trung cao.

Vào ngày 28 tháng 11, Ủy ban Bảo vệ Dữ liệu Ireland (DPC) đã thông báo rằng họ đã phạt nhà phát triển Facebook Meta 265 triệu euro (274.8 triệu USD) vì vi phạm Quy định Bảo vệ Dữ liệu Chung (GDPR) của Liên minh Châu  u. Cụ thể, ủy ban tuyên bố rằng họ đã phạt Meta vì không thiết kế Facebook theo cách có thể bảo vệ người dùng khỏi vi phạm dữ liệu.

Thông báo này được đưa ra sau một cuộc điều tra kéo dài hơn một năm bắt đầu vào tháng 4 năm 2021. Bản thân vi phạm thậm chí còn xảy ra sớm hơn, vào cuối năm 2019.

Vi phạm dữ liệu lần đầu tiên được phát hiện khi một báo cáo từ Tech Crunch tiết lộ rằng hàng trăm triệu số điện thoại của người dùng Facebook đã được liệt kê trong cơ sở dữ liệu trực tuyến có thể truy cập công khai. Mặc dù cơ sở dữ liệu sau đó đã bị máy chủ web gỡ xuống, nhưng sự tồn tại của nó cho thấy dữ liệu của Facebook đã bị vi phạm.

Vào tháng 4 năm 2021, DPC bắt đầu điều tra vi phạm. Vào thời điểm đó, Meta đã đăng một tuyên bố về vụ vi phạm có tên “Sự thật trên các báo cáo tin tức về dữ liệu Facebook”. Meta tuyên bố rằng kẻ tấn công đã sử dụng công cụ nhập liên hệ của mình để spam máy chủ bằng các số điện thoại để xem những người nào có tài khoản Facebook được liên kết với chúng.

Mỗi khi kẻ tấn công nhận được phản hồi, chúng có thể lấy được thông tin chi tiết cá nhân của người dùng và khớp các thông tin chi tiết này với số điện thoại của người dùng. Do đó, dữ liệu cá nhân của người dùng đã bị rò rỉ cho các tác nhân độc hại.

Trong tuyên bố, Meta tuyên bố rằng họ đã vá lỗ hổng của trình nhập liên hệ này sau khi vi phạm được phát hiện và công cụ này hiện đã an toàn. DPC cho biết nhóm điều tra Meta đã phát hiện “vi phạm Điều 25(1) và 25(2) GDPR” do sự cố này và “đã áp dụng các khoản phạt hành chính với tổng trị giá 265 triệu euro.”

Việc sử dụng dữ liệu cá nhân trong các ứng dụng truyền thông xã hội đã gây tranh cãi trong những năm gần đây khi vi phạm dữ liệu trở nên phổ biến.

Một số công ty blockchain đã cố gắng giải quyết vấn đề bằng cách tạo các ứng dụng truyền thông xã hội trong ngành không yêu cầu người dùng cung cấp địa chỉ email hoặc số điện thoại. Ví dụ như cả Bitclout và Blockster đều là ứng dụng truyền thông xã hội cho phép người dùng đăng nhập chỉ bằng ví Ethereum.

Mặt khác, các nhà phát triển Ethereum cũng đưa ra một đề xuất có tên EIP-4361 để chuẩn hóa quy trình đăng nhập ví trên tất cả các ứng dụng. Những người ủng hộ tin rằng đề xuất này có thể loại bỏ nhu cầu yêu cầu người dùng cung cấp thông tin cá nhân nhạy cảm trong các ứng dụng truyền thông xã hội, và theo đó có thể giúp ngăn chặn những vi phạm như thế này trong tương lai.