اتحادیه‌ی اروپا به‌دلیل نقص امنیتی در فیسبوک که میلیون‌ها کاربر را تحت‌تأثیر قرار داد و در سپتامبر ۲۰۱۸ (شهریور و مهر ۱۴۰۳) افشا شد، این شرکت را ۲۵۱ میلیون یورو (حدود ۲۶۳ میلیون دلار) جریمه کرد.

به نوشته‌ی تک‌کرانچ، جریمه‌ی درنظر‌گرفته‌شده برای متا را کمیسیون حفاظت از داده‌های ایرلند (DPC) صادر کرد که در اتحادیه‌ی اروپا مسئول اجرای قوانین عمومی حفاظت از داده‌ها (GDPR) است. هرچند این جریمه بزرگ‌ترین مجازات متا تحت قوانین GDPR محسوب نمی‌شود، به‌دلیل مرتبط‌بودن با حادثه‌ی امنیتی خاص، اهمیت زیادی دارد.

نقص امنیتی فیسبوک به جولای ۲۰۱۷ (تیر و مرداد ۱۴۰۳) بازمی‌گردد؛ زمانی‌ که این شبکه‌ی اجتماعی ویژگی آپلود ویدئو را همراه با قابلیت View as معرفی کرد. ویژگی مذکور به کاربران اجازه می‌داد صفحه‌ی خود را از نگاه سایر کاربران مشاهده کنند. باگ طراحی موجود در ویژگی مذکور به مهاجمان اجازه می‌داد تا با ترکیب آن با قابلیت Happy Birthday Composer توکنی با دسترسی کامل تولید کنند. این توکن امکان ورود غیرمجاز به پروفایل کاربران و دسترسی به اطلاعات آن‌ها را فراهم می‌کرد.

مهاجمان از ۱۴ تا ۲۸ سپتامبر ۲۰۱۸ (۲۳ شهریور تا ۶ مهر ۱۳۹۷)، با استفاده از اسکریپت‌های خود به‌طور گسترده از نقص امنیتی فیسبوک سوءاستفاده کردند و توانستند به ۲۹ میلیون حساب کاربری در سرتاسر جهان دسترسی پیدا کنند که حدود ۳ میلیون از آن‌ها در منطقه‌ی اقتصادی اتحادیه‌ی اروپا قرار داشت.

اطلاعات شخصی فاش‌شده از فیسبوک شامل نام کامل، آدرس ایمیل، شماره تلفن، موقعیت مکانی، تاریخ تولد، مذهب، جنسیت، پست‌ها، گروه‌های عضویت و حتی اطلاعات کودکان بود. گستردگی داده‌های فاش‌شده احتمالاً در تعیین میزان جریمه‌ی متا تأثیر گذاشته است. اکنون نهاد نظارتی ایرلند تصمیم نهایی خود را درباره دو بررسی مرتبط با این حادثه صادر کرد که مفاد آن را مرور می‌کنیم:

۱. گزارش‌دهی نقص امنیتی: متا به‌دلیل نقص در ارائه‌ی اطلاعات کافی درباره‌ی این حادثه ۱۱ میلیون یورو جریمه شد.

۲ محفاظت‌نکردن از داده‌ها: این شرکت ۲۴۰ میلیون یورو دیگر جریمه شد؛ زیرا تدابیر کافی برای محافظت از داده‌های کاربران نداشت.

گراهام دویل، معاون کمیسیون حفاظت از داده‌های ایرلند، در بیانیه‌ای اعلام کرد: «این اقدام نظارتی نشان می‌دهد که گنجانده‌نشدن الزامات حفاظت از داده در چرخه‌ی طراحی و توسعه می‌تواند برای حقوق و آزادی‌های افراد خطرات جدی ایجاد کند.»

در گذشته، منتقدان کمیسیون حفاظت از داده‌های ایرلند را به کم‌کاری در اجرای GDPR علیه غول‌های فناوری متهم کرده بودند؛ اما تصمیم به جریمه‌ی متا که در جولای ۲۰۲۴ (تیر و مرداد ۱۴۰۳) به مکانیزم همکاری GDPR ارائه شد، بدون اعتراض سایر مقام‌های نظارتی اروپا تصویب شد.

متا در واکنش به جریمه‌ی اعمال‌شده کمیسیون حفاظت از داده‌های ایرلند، ضمن اشاره به اقدامات سریع خود در سال ۲۰۱۸ برای رفع مشکل امنیتی فیسبوک، اعلام کرد که تدابیر پیشرفته‌ای برای حفاظت از کاربران در پلتفرم‌های خود اتخاذ کرده است.

جریمه جدید متا درحالی صادر می‌شود که DPC در سپتامبر (شهریور و مهر ۱۴۰۳) نیز متا را به‌دلیل حادثه‌ی امنیتی دیگری در سال ۲۰۱۹ به مبلغ ۹۱ میلیون یورو جریمه کرده بود؛ حادثه‌ای که در آن، رمزعبور صدها میلیون حساب‌های کاربری به‌صورت متن ساده در سرورهای این شرکت ذخیره شده بود.