Vụ hack ảnh hưởng tới 50 triệu người dùng gần đây có thể khiến Facebook bị phạt 1,63 tỷ USD
Theo đạo luật bảo vệ dữ liệu người dùng (GDPR) vừa mới có hiệu lực của Liên minh Châu Âu, Facebook có thể bị phạt tối đa 23 triệu USD hoặc 4% doanh thu của năm trước đó (tùy theo mức nào có số tiền lớn hơn) nếu không có đủ biện pháp để bảo vệ dữ liệu của người dùng.
- 29-09-2018Hacker muốn xóa tài khoản Mark Zuckerberg và livestream trên Facebook đã hủy kèo, báo cáo lỗi bảo mật để đổi lấy tiền thưởng
- 29-09-2018Chân dung hacker vừa tuyên bố xóa tài khoản Facebook của Mark Zuckerberg
- 29-09-2018Lỗi bảo mật của Facebook cho phép hacker kiểm soát hơn 50 triệu tài khoản
Cuối tuần trước, Facebook tuyên bố rằng họ hệ thống của họ vừa bị xâm nhập ở quy mô lớn. Các hacker đã vượt qua các phương thức bảo mật, đánh cắp token truy cập và có khả năng kiểm soát hoàn toàn tài khoản của ít nhất 50 triệu người dùng và các ứng dụng liên kết khác. Không chỉ đánh mất niềm tin của người dùng, vụ hack này còn có thể khiến Facebook bị Liên minh Châu Âu phạt 1,63 tỷ USD.
Các hacker đã khai thác lỗ hổng trong tính năng "View As" và tính năng upload video trên trang Facebook để giành quyền truy cập vào các tài khoản, buộc Facebook phải đặt lại token truy cập cho 50 triệu người dùng để khắc phục. 40 triệu người dùng khác cũng bị đặt lại token nhưng chỉ để đề phòng. Điều này đồng nghĩa với việc nếu bị thoát ra khỏi Facebook trên các thiết bị của mình, bạn đã bị ảnh hưởng bởi vụ tấn công này.
Facebook không hề tuyên bố rằng hacker đã trích xuất được dữ liệu từ các tài khoản bị ảnh hưởng hay chưa. Tuy nhiên, Guy Rosen, phó chủ tịch quản lý sản phẩm của Facebook, chia sẻ rằng những kẻ tấn công đã cố gắng thu thập thông tin cá nhân của người dùng từ hệ thống của Facebook. Rosen cũng nó thêm rằng Facebook hiện chưa thể xác định mức độ ảnh hưởng của vụ tấn công này tới các ứng dụng của bên thứ ba.
Hiện vẫn chưa rõ hacker có thể truy cập vào các dữ liệu nhạy cảm như tin nhắn hay không. Facebook nói rằng cuộc tấn công này rất tinh vi, họ đang có những phản ứng đầu tiên và có thể không xác định được kẻ nào đứng đằng sau.
Theo Wall Street Journal, Ủy ban Bảo vệ Dữ liệu Ireland, cơ quan đảm nhiệm việc giám sát Facebook của Liên minh Châu Âu, cũng đang điều tra chi tiết vụ việc này.
Ủy ban Bảo vệ Dữ liệu Ireland tuyên bố rằng họ đang yêu cầu Facebook cung cấp các thông tin về bản chất và quy mô của vụ việc, bao gồm cả số lượng cư dân EU bị ảnh hưởng. Trong một tuyên bố gửi qua email, cơ quan này chia sẻ họ "sợ rằng dù đã phát hiện ra vụ tấn công vào hôm thứ Ba và biết ảnh hưởng tới hàng triệu tài khoản của người dùng nhưng tới hiện tại Facebook vẫn không thể làm rõ bản chất và rủi ro của nó cho người dùng".
Journal cho rằng vụ việc này có thể khiến Facebook phải chịu mức phạt tối đa, theo đạo luật GDPR vừa có hiệu lực của EU. Mức phạt này là 4% doanh thu năm ngoái của Facebook, tương đương 1,63 tỷ USD.
Theo GDPR, các công ty không có đủ biện pháp để bảo vệ dữ liệu của người dùng sẽ bị phạt tối đa 20 triệu EUR (23 triệu USD) hoặc 4% doanh thu hàng năm tính theo năm trước, tùy theo mức nào cao hơn. Vì vậy, mức phạt dành cho Facebook sẽ là 1,63 tỷ USD.
Đạo luật này cũng yêu cầu các công ty phải thông báo những vụ hack, rò rỉ dữ liệu... cho các nhà quản lý trong vòng 72 tiếng. Nếu không thông báo hoặc thông báo chậm, các công ty sẽ bị phạt tối đa 2% doanh thu toàn cầu.
Hiện tại, theo Journal, cơ quan chức năng EU vẫn chưa từng dùng GDPR để phạt các doanh nghiệp và cũng không rõ họ có áp dụng mức phạt tối đa hay không bởi họ đã nhận định rằng Facebook có những bước thích hợp để bảo vệ dữ liệu của người dùng trước khi vụ tấn công vừa rồi xảy ra. Hơn nữa, EU còn cho rằng Facebook đã hợp tác hoặc tuân thủ ít nhất một vài phần của đạo luật.
Dẫu vậy, GDPR cũng khuyến cáo các công ty nên lưu trữ càng ít dữ liệu của người dùng các tốt và điều này có thể khiến Facebook phải chịu trách nhiệm cao hơn. Gần đây EU cũng yêu cầu Facebook tuyên bố rõ với người dùng về việc dữ liệu của họ đang được dùng để làm gì nếu không sẽ phải chịu một số biện pháp trừng phạt của các cơ quan bảo vệ người tiêu dùng ở một số nước.
Tại Mỹ và các khu vực khác không có các đạo luật như GDPR, Facebook sẽ không bị phạt. Tuy nhiên, mạng xã hội lớn nhất thế giới vẫn đang bị Ủy ban Thương mại Liên bang Mỹ (FTC) điều tra về một số vụ rò rỉ dữ liệu, bao gồm cả bê bối Cambridge Analytica. Một vụ việc khác ảnh hưởng tới hầu hết 2,2 tỷ người dùng đã vi phạm quy định về quyền riêng tư mà Facebook đã ký vào năm 2011 và có thể khiến hãng này bị phạt hơn 1 tỷ USD.
Facebook đang phải đối mặt với áp lực chưa từng có từ mọi phía. Bên cạnh sự phản đối từ những người ủng hộ quyền riêng tư, nội bộ của Facebook cũng bất ổn với sự ra đi của các sáng lập những công ty con như Instagram, WhatsApp vì mâu thuẫn về chiến lược phát triển với Zuckerberg. Cổ phiếu của Facebook đã giảm mạnh vào tháng 7 và tới hiện tại vẫn chưa thể phục hồi. Có thể nói Facebook đang trong giai đoạn cực kỳ nguy hiểm và mọi thứ còn có thể tệ hơn một cách nhanh chóng nếu các hacker truy cập và lạm dụng các thông tin nhạy cảm của người dùng trong thời gian tới.
Facebook bắt đầu thông báo cho người dùng về vụ tấn công vào cuối tuần qua. Tuy nhiên, nó được đưa ra dưới dạng cảnh báo ở phía trên cùng của news feed với tiêu đề "Cập nhật Quan trọng về Bảo mật", chứa những thông tin tương tự như những gì Facebook gửi tới các cơ quan truyền thông. Trong thời gian này Facebook vẫn đang thu thập dữ liệu liên quan tới vụ tấn công hoặc đang bàn với nhau xem sẽ công bố chi tiết về vụ tấn công như thế nào.
Trí thức trẻ