Yahoo bị phạt 334.000 USD vì không trình báo vụ hack năm 2014

0

Yahoo tiếp tục bị vướng vào “vòng lao lý” bởi những thất bại trong an ninh mạng, lần này vì một lỗi lầm trong quá khứ.

Theo Cnet, Văn phòng Ủy viên Thông tin (Information Commissioner’s Office – ICO), một tổ chức độc lập của chính phủ ở Vương Quốc Anh có trụ sở tại Wilmslow chuyên thực thi các quyền về thông tin, đã đưa ra thông báo hôm 12/6 vừa qua rằng Yahoo sẽ phải chịu khoản phạt lên đến 250.000 bảng Anh (tương đương 334.000 USD) vì những vi phạm về dữ liệu vào tháng 11/2014. Các tin tặc đã truy cập vào những dữ liệu nhạy cảm của khoảng 500 triệu tài khoản Yahoo trên toàn thế giới, riêng ở Anh là 515.121 tài khoản.

(Ảnh: Ethan Miller/Getty Images)

ICO không đưa ra khoản phạt đối với Yahoo vì việc công ty công nghệ này đã để tin tặc đột nhập vào hệ thống và lấy trộm dữ liệu mà bởi vì công ty này đã quá chậm trễ trong việc khai báo với chính phủ sau khi vụ việc xảy ra. ICO cho biết Yahoo đã không thực hiện các biện pháp thích hợp để bảo vệ dữ liệu dữ liệu của hơn nửa triệu người dùng và không đáp ứng được các tiêu chuẩn bảo vệ dữ liệu của Vương quốc Anh.

Phó giám đốc điều hành của ICO, ông James Dipple-Johnstone cho biết: “Mọi người ai cũng hy vọng rằng các tổ chức sẽ giữ cho dữ liệu cá nhân của họ an toàn khỏi những kẻ xâm nhập đang tìm cách khai thác chúng. Những sai sót của Yahoo mà chúng tôi phát hiện được không phải là những gì chúng tôi mong đợi từ một công ty (đã) có nhiều cơ hội để thực hiện đầy đủ các biện pháp thích hợp và ngăn chặn sự xâm phạm dữ liệu của công dân Vương Quốc Anh”.

Khoản tiền phạt được công bố hôm thứ Ba không “thấm tháp” gì so với mức phạt 35 triệu USD mà Ủy ban Chứng khoán và Giao dịch Hoa Kỳ đã giáng xuống Altaba, một phần còn lại của Yahoo sau khi đã bán đi những thành phần chủ chốt của công ty cho Verizon.

Theo ICO, những bất cập về an ninh của Yahoo đã diễn ra trong một thời gian dài mà không bị phát hiện hay giải quyết.

Tiết lộ các vi phạm một cách kịp thời là rất quan trọng cho cả nhà đầu tư và nạn nhân tiềm năng của các vụ tấn công lớn. Điều này quan trọng đến nỗi trong Quy chế bảo vệ dữ liệu chung của Liên minh châu Âu (GDPR) hiện tại đưa ra yêu cầu các công ty phải thông báo cho chính quyền trong vòng 72 giờ sau khi phát hiện ra các vi phạm. Điều này có thể khác so với ở Mỹ, tùy thuộc vào tình hình hiện tại của công ty – nhưng hầu hết mọi người đều đồng ý rằng chờ đợi trong khoảng thời gian đến hai năm là quá dài.

Thanh Long

Leave a comment