Meta, tập đoàn mẹ của Facebook và Instagram, vừa bị phạt 101,5 triệu USD sau khi phát hiện hơn 600 triệu mật khẩu người dùng không được mã hóa trong suốt thập kỷ qua. Cuộc điều tra kéo dài 5 năm của Ủy ban Bảo vệ Dữ liệu Ireland (DPC) đã phơi bày vấn đề nghiêm trọng này, làm dấy lên lo ngại về an toàn dữ liệu cá nhân và cách Meta quản lý thông tin của người dùng.
Vấn đề lưu trữ mật khẩu không mã hóa kéo dài suốt thập kỷ
Sự cố lần đầu tiên được Meta thừa nhận vào năm 2019, khi công ty còn mang tên Facebook. Theo đó, hàng trăm triệu mật khẩu của người dùng đã được lưu dưới dạng văn bản thuần túy thay vì sử dụng các biện pháp mã hóa an toàn. Công ty khẳng định rằng mật khẩu này "không thể truy cập từ bên ngoài", nhưng lại thừa nhận khoảng 2.000 kỹ sư của họ đã thực hiện hơn 9 triệu lượt truy vấn vào cơ sở dữ liệu này.
Cuộc điều tra của DPC sau đó tiết lộ số lượng mật khẩu thực sự vượt mốc 600 triệu, gây sốc cho dư luận. Việc lưu trữ mật khẩu theo dạng không mã hóa này không chỉ khiến dữ liệu dễ bị xâm phạm mà còn là vi phạm nghiêm trọng Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh châu Âu.
Phản ứng của cơ quan chức năng và phán quyết của DPC
Ông Graham Doyle, phó ủy viên DPC, phát biểu về án phạt: "Mật khẩu không bao giờ nên được lưu dưới dạng văn bản thuần túy, đặc biệt với số lượng lớn như vậy. Nếu thông tin này bị truy cập trái phép, nó có thể gây ra hậu quả nghiêm trọng cho quyền riêng tư của người dùng".
Meta tại Ireland bị cáo buộc vi phạm bốn điều khoản trong GDPR, bao gồm việc không thông báo kịp thời cho DPC về sự cố rò rỉ dữ liệu. Mặc dù Meta đã báo cáo sự việc, nhưng họ chỉ thực hiện việc này sau khi sự cố đã diễn ra vài tháng, dẫn đến mức phạt lớn.
Ảnh hưởng đến người dùng và phản ứng của Meta
Mặc dù Meta khẳng định phần lớn mật khẩu không mã hóa thuộc về dịch vụ Facebook Lite – một ứng dụng gọn nhẹ dành cho các khu vực có kết nối Internet chậm, nhưng sự việc này vẫn tạo ra làn sóng lo ngại trong cộng đồng người dùng. Đặc biệt, trong bối cảnh Meta đã gặp nhiều bê bối về quyền riêng tư trước đây, nổi bật nhất là vụ Cambridge Analytica, việc này càng làm giảm lòng tin vào cách công ty xử lý dữ liệu.
Ngoài phán quyết của DPC, Meta cũng đang đối mặt với một loạt các vụ kiện liên quan đến quyền riêng tư khác, bao gồm án phạt 1,3 tỷ USD vì chuyển dữ liệu người dùng từ EU sang Mỹ mà không tuân thủ các quy định GDPR.
Hệ quả pháp lý và tác động đến danh tiếng của Meta
Vụ việc này không chỉ là một thất bại về mặt pháp lý mà còn là một đòn giáng mạnh vào danh tiếng của Meta. Trong khi công ty đang nỗ lực kháng cáo phán quyết, nhiều chuyên gia cho rằng Meta cần phải cải tổ sâu rộng về chính sách bảo mật và quản lý dữ liệu nếu không muốn tiếp tục rơi vào những vụ bê bối tương tự.
Việc lưu trữ mật khẩu không mã hóa kéo dài cả một thập kỷ là bằng chứng rõ ràng cho thấy sự lơ là trong vấn đề bảo mật của công ty. Với những án phạt nghiêm khắc đang chờ đón, Meta không chỉ cần đối mặt với những vấn đề pháp lý mà còn phải khôi phục niềm tin từ người dùng trên toàn cầu.