Meta, trước đây là Facebook, đã lưu trữ hơn nửa tỷ mật khẩu người dùng dưới dạng văn bản thuần túy trong hơn một thập kỷ mà không mã hóa chúng. Sự việc này được phát hiện lần đầu vào năm 2019 khi công ty thừa nhận rằng "hàng trăm triệu" mật khẩu đã không được bảo vệ đúng cách. Công ty khẳng định rằng các mật khẩu này "không thể truy cập từ bên ngoài công ty", tuy nhiên, gần 2.000 kỹ sư tại Meta đã thực hiện hơn 9 triệu truy vấn đối với cơ sở dữ liệu này.
Mới đây, thông tin về hơn 600 triệu mật khẩu không được mã hóa đã được tiết lộ tại Ireland sau một cuộc điều tra kéo dài 5 năm của Ủy ban Bảo vệ Dữ liệu Ireland (DPC). Meta đã bị phạt 101,5 triệu USD theo Quy định chung về bảo vệ dữ liệu (GDPR) của châu Âu vì đã vi phạm bốn điều khoản, trong đó có việc không thông báo kịp thời cho DPC về sự cố lưu trữ mật khẩu dưới dạng văn bản thuần túy.
Phó ủy viên DPC, ông Graham Doyle, nhấn mạnh rằng việc lưu trữ mật khẩu dưới dạng văn bản thuần túy là không an toàn và tiềm ẩn nhiều rủi ro lạm dụng. Ông cũng chỉ ra rằng sự cố này đặc biệt nhạy cảm vì có khả năng cho phép truy cập trái phép vào tài khoản mạng xã hội của người dùng.
Được biết, Meta cũng đang kháng cáo một phán quyết khác của DPC từ năm 2023 liên quan đến vi phạm GDPR, có thể bao gồm cả dữ liệu người dùng Mỹ, với mức phạt lên đến 1,3 tỷ USD do vi phạm quy định về chuyển dữ liệu người dùng giữa EU và Mỹ.
Sự kiện này chỉ là một trong nhiều vụ bê bối liên quan đến quyền riêng tư và bảo mật mà Meta đã vấp phải trong những năm qua, bao gồm cả vụ Cambridge Analytica và các cuộc điều tra khác liên quan đến chia sẻ dữ liệu người dùng với các công ty khác.