Yahoo đã công khai sự cố này vào năm 2016, trong quá trình Verizon mua lại Yahoo với vài tỷ USD. Điều này đã khiến hãng này bị mua lại với giá trị ít hơn 350 triệu USD so với ban đầu.
Bốn năm đã qua, Yahoo vẫn đang phải đối mặt với các hình phạt cho việc vi phạm dữ liệu người dùng trên toàn cầu. Nhiều người chắc hẳn vẫn sẽ nhớ đến sự cố nghiêm trọng này, khi thông tin cá nhân của hàng triệu người bao gồm như tên, địa chỉ, email, số điện thoại, mật khẩu và thậm chí là câu hỏi bảo mật bị phơi bày.
Hơn 500.000 người dùng tại vương quốc Anh đã phải đấu tranh và phản đối trong thời gian dài, buộc Văn phòng Ủy viên Thông tin của Vương quốc Anh (UK’s Information Commissioner’s Office – ICO) phải truy tố Yahoo theo Đạo luật Bảo vệ dữ liệu năm 1998 (Data Protection Act – DPA) và đưa ra mức phạt lên đến 500.000 bảng Anh.
ICO đã phát hiện thấy nhiều sai phạm từ phía Yahoo như không tuân thủ các tiêu chuẩn bảo vệ, không đảm bảo dữ liệu an toàn khỏi các mối đe dọa và không có hệ thống giám sát thích hợp để bảo vệ quyền truy cập dữ liệu của nhân viên. Các quản lý của ICO cũng đưa ra lời chỉ trích về các vấn đề bất cập diễn ra trong một thời gian dài liên quan đến vấn đề bảo mật mà Yahoo đã mắc phải và yêu cầu hãng này phải thực hiện công tác bảo mật nghiêm ngặt hơn.
Tuy nhiên mức độ của ICO có vẻ như không đáng kể so với mức phạt 35 triệu USD mà Ủy ban An ninh và Giao dịch Hoa Kỳ đã áp dụng đối với Yahoo trong vụ việc này. Dự luật Bảo vệ thông tin người dùng mới năm 2018 là phiên bản nâng cấp hoàn chỉnh hơn của DPA, phù hợp hơn với Quy định Bảo vệ dữ liệu chung của EU (General Data Protection Regulation – GDPR), với mức phạt cao hơn và các tiêu chuẩn bảo mật nghiêm ngặt hơn nhiều.
Việc vi phạm Đạo luật Bảo vệ thông tin người dùng năm 2014 của Yahoo được công khai, liên quan đến hàng triệu người dùng trên toàn thế giới, khiến nhiều quốc gia bắt đầu thực thi các án phạt cho Yahoo. Ngoài việc phải đóng tiền phạt ở Anh và Mỹ, Tổ chức Bảo vệ dữ liệu Ireland (Data Protection Commission – DPC) cũng đã mở một cuộc điều tra và buộc Yahoo phải chịu trách nhiệm cho vụ việc vi phạm dữ liệu trên. Được biết trụ sở chính của Yahoo được đặt tại Dublin, Ireland. DPC đã ra lệnh cho Yahoo, buộc họ phải cập nhật các hệ thống xử lý dữ liệu và tuân thủ luật bảo vệ dữ liệu. Tuy nhiên, may mắn cho Yahoo rằng họ sẽ không phải đóng phạt tại Ireland vì vụ việc xảy ra trước khi Quy định bảo vệ dữ liệu chung (GDPR) được ban hành.
Giải pháp cho các doanh nghiệp
Các quy định bảo vệ dữ liệu được cập nhật trong thời gian gần đây hướng người dùng và doanh nghiệp đến những tiêu chuẩn mới để có những hành động can thiệp kịp thời để bảo vệ bản thân. Các nhà cung cấp cần phải đưa cho người dùng nhiều quyền kiểm soát hơn về thông tin cá nhân và tích hợp các lớp bảo mật mạnh hơn nữa đối với dữ liệu mà họ thu thập và lưu trữ.
Đối với các bên xử lý dữ liệu, điều quan trọng là phải sử dụng các giải pháp bảo mật mới nhất, tích hợp các tính năng hiện đại nhất và thường xuyên đánh giá rủi ro để phòng ngừa mối đe dọa từ tin tặc. Việc tuân thủ các quy định của nhà quản lý và chính phủ là bước đầu tiên để bảo vệ tốt dữ liệu và cũng là cơ hội để phòng ngừa các mối đe dọa từ việc hợp pháp với nhà lập pháp.