Meta bị phạt 91 triệu euro sau cuộc điều tra lưu trữ mật khẩu

Công ty mẹ của Facebook, Meta, đã bị cơ quan Bảo vệ Dữ liệu Ireland (DPC) phạt 91 triệu Euro (75 triệu bảng Anh) sau một cuộc điều tra về việc lưu trữ mật khẩu.

Một cuộc điều tra đã được tiến hành từ tháng 4 năm 2019 sau khi Meta thông báo cho DPC rằng họ đã bất cẩn lưu trữ một số mật khẩu của người dùng mạng xã hội trên hệ thống nội bộ mà không mã hóa.

DPC đã trình bày một quyết định dự thảo cho các cơ quan giám sát dữ liệu khác tại châu Âu vào tháng 6 năm 2024.

Không có ý kiến phản đối từ các cơ quan khác.

Meta đã bị phát hiện có bốn vi phạm của Luật bảo vệ dữ liệu chung châu Âu (GDPR).

Phó ủy viên DPC Graham Doyle nói: “Đã có sự chấp nhận rộng rãi rằng mật khẩu người dùng không nên được lưu trữ dưới dạng ‘plaintext’ xem xét rủi ro lạm dụng có thể phát sinh khi có người truy cập vào dữ liệu đó.

“Cần nhớ rằng, mật khẩu được xem xét trong trường hợp này đặc biệt nhạy cảm, vì chúng cho phép truy cập vào tài khoản mạng xã hội của người dùng.” ông thêm.

Quyết định, được thực hiện bởi các ủy viên bảo vệ dữ liệu, Tiến sĩ Des Hogan và Dale Sunderland, và thông báo cho Meta vào ngày 26 tháng 9, bao gồm một lời khiển trách và một khoản phạt.

Vào tháng 5 năm 2023, Meta đã bị phạt 1,2 tỷ Euro (1 tỷ bảng) vì xử lí dữ liệu không đúng khi chuyển dữ liệu giữa châu Âu và Hoa Kỳ.

Khoản phạt đó cũng được DPC Ireland ban hành; là khoản phạt lớn nhất được áp đặt dưới Luật bảo vệ dữ liệu GDPR của Liên minh châu Âu.

Năm 2022, Meta bị phạt 265 triệu Euro (220 triệu bảng) sau khi dữ liệu từ 533 triệu người ở 106 quốc gia được công bố trên một diễn đàn hack sau khi đã được “scraped” từ Facebook nhiều năm trước.

Facebook parent company Meta has been fined €91m (£75m) by the Irish Data Protection Commission (DPC) following an investigation into the storage of passwords.

An inquiry was launched in April 2019 after Meta notified the DPC that it had inadvertently stored certain passwords of social media users on its internal systems without encryption.

The DPC submitted a draft decision to other European data watchdogs in June 2024.

No objections were raised by the other authorities.

Meta has been found to have four breaches of General Data Protection Regulation (GDPR).

DPC deputy commissioner Graham Doyle said: “It is widely accepted that user passwords should not be stored in ‘plaintext’ considering the risks of abuse that arise from persons accessing such data.

“It must be borne in mind, that the passwords the subject of consideration in this case are particularly sensitive, as they would enable access to users’ social media accounts.” he added.

The decision, which was made by the commissioners for data protection, Dr Des Hogan and Dale Sunderland, and notified to Meta on 26 September, includes a reprimand and a fine.

In May 2023, Meta was fined €1.2bn (£1bn) for mishandling data when transferring it between Europe and the United States.

That fine was also issued by Ireland’s DPC; the largest fine imposed under the EU’s GDPR privacy law.

In 2022, Meta was fined €265m (£220m) after data from 533m people in 106 countries was published on a hacking forum having been “scraped” from Facebook years earlier.