De Ierse privacytoezichthouder DPC heeft Meta wegens een groot datalek met Facebook in 2018 een boete van 251 miljoen euro opgelegd. Door misbruik te maken van user tokens wisten ongeautoriseerde derde partijen gegevens van 29 miljoen gebruikers in handen te krijgen, waaronder drie miljoen Europese gebruikers. Het ging om volledige naam, e-mailadres, telefoonnummer, locatie, werklocatie, geboortedatum, religie, geslacht, berichten op tijdslijnen, groepen waar de gebruiker lid van was en persoonlijke data van kinderen.

Het datalek deed zich voor in de "weergeven als" feature van Facebook, waarmee gebruikers kunnen zien hoe hun profiel er voor een andere gebruiker uitziet. Bijvoorbeeld Facebookgebruiker "Alice" kan zo zien wat haar Facebookvriend "Bob" ziet bij het bekijken van haar profiel. De "weergeven als" feature zou een "view-only interface" moeten bieden. Door een fout werd echter de mogelijkheid geboden om een video te uploaden.

In juli 2017 verscheen er een nieuwe versie van de video-uploader die incorrect een toegangstoken genereerde dat de permissies van de mobiele Facebook-app had. Wanneer de video-uploader onderdeel van de "weergeven als" feature was, genereerde het geen toegangstoken voor de gebruiker in kwestie (Alice), maar voor de Facebookgebruiker waarvan zij wilde weten hoe die haar profiel zou zien (Bob). Alice zou op deze manier op het Facebookprofiel van Bob kunnen inloggen.

Zodra de aanvallers het toegangstoken van Alice hadden gestolen konden ze via "weergeven als" het toegangstoken van Bob bemachtigen en op die manier weer tokens van Bobs vrienden stelen. Uiteindelijk werden via deze methode de toegangstokens van tientallen miljoen gebruikers buitgemaakt, zo liet Facebook, zoals het bedrijf destijds bekendstond, in een analyse weten.

Volgens de DPC heeft Meta de AVG op meerdere punten overtreden. Zo had Meta in de datalekmelding niet alle informatie toegevoegd die het had kunnen en moeten toevoegen. Tevens had het bedrijf niet de feiten met betrekking tot het datalek gedocumenteerd, alsmede genomen stappen om het te verhelpen en op een manier zodat de toezichthouder kon kijken of het bedrijf compliant was.

Verder stelt de DPC dat Meta databeschermingsprincipes niet in het ontwerp van de verwerkingssystemen had beschermd en dat het niet controleerde dat standaard alleen de persoonlijke data werd verwerkt die voor specifieke doeleinden noodzakelijk waren. De totale boete voor de vierde overtredingen komt uit op 251 miljoen euro. De DPC zal het volledig boetebesluit op een later moment openbaar maken. Meta had vorig jaar een omzet van omgerekend 129 miljard euro.