מטא לא סיפקה את כל המידע הנדרש בהודעה על אירוע אבטחת המידע, לא תיעדה כראוי את הפעולות בהם נקטה כדי לתקן את הפרצה, כשלה בהטמעת עקרונות אבטחת מידע בעיצוב שירותיה ועיבדה יותר מידע אישי ממה שהיה נחוץ עבור הפעלת שירותיה - כך קבע רגולטור הפרטיות האירי (ה-DPC), שנזף במטא וקנס אותה ב-251 מיליון אירו, בשל טיפולה הלקוי באירוע אבטחת המידע, שהתרחש בספטמבר 2018.

אירוע אבטחת המידע השפיע על כ-29 מיליון חשבונות פייסבוק ברחבי העולם, מתוכם כ-3 מיליון מהאיחוד האירופי. המידע האישי שדלף כלל את שמו המלא של משתמש הפייסבוק, כתובת הדואר האלקטרונית שלו, מספר טלפון, מיקום, מקום עבודה, תאריך לידה, דת, מין, פוסטים שהעלה, מידע על חברות בקבוצות ומידע אישי של קטינים. הנתח המשמעותי ביותר מהקנס (240 מיליון אירו) נבע מהכישלון של מטא בהבטחת עקרונות הגנת המידע בעיצוב שירותיה, ועיבוד מידע אישי רב, מעבר למידע האישי שהיה נחוץ למטרה הספציפית של השירות בו התגלתה הפרצה.

הפרצה נבעה משירות העלאת וידאו שהושק בפייסבוק ביולי 2017. השירות אפשר למשתמש לצפות בדף הפייסבוק שלו כפי שהוא ייראה על ידי משתמש אחר ואפשר להשתמש בו יחד עם שירות ה-'Happy Birthday Composer'. בשילוב שני השירותים, יכול היה המשתמש להפיק טוקן שסיפק גישה מלאה לפרופילים של משתמשי פייסבוק אחרים. במשך שבועיים, 2018 תוקפים השתמשו בסקריפטים כדי לנצל את הפרצה, שאפשרה להם לגשת לפרופילים של משתמשים אחרים ולנתוניהם כבעלי החשבון. אנשי האבטחה של פייסבוק קיבלו התראה על כך והסירו את השירות שגרם לפרצה זמן קצר לאחר מכן.