Phó Thủ tướng kiêm Bộ trưởng Khoa học và Công nghệ thông tin Hàn Quốc, Bae Kyung Hoon, người đứng đầu lực lượng đặc nhiệm toàn Chính phủ về vụ Coupang, đã thông báo vào ngày 30/12 rằng: "Hơn 33 triệu tên và địa chỉ email đã bị rò rỉ, và Ủy ban Bảo vệ Thông tin cá nhân, Cơ quan Cảnh sát Quốc gia và Nhóm Điều tra liên ngành đã xác nhận điều này. Chúng tôi tin rằng, địa chỉ giao hàng và chi tiết đơn đặt hàng cũng đã bị rò rỉ. Tôi bày tỏ sự quan ngại sâu sắc rằng, Coupang đã thông báo trước về kết quả không được sự đồng thuận. Tôi tin rằng, có ý đồ cực kỳ độc hại".
Ngày 25/12, Coupang đột ngột công bố kết quả điều tra riêng của mình rằng, 33 triệu tài khoản khách hàng đã bị truy cập, nhưng thủ phạm chỉ lưu trữ một lượng dữ liệu hạn chế cho khoảng 3.000 trường hợp, đồng thời cho biết thêm, dữ liệu đã bị xóa mà không được chia sẻ với bên thứ ba. Tuy nhiên, Bộ Khoa học và Công nghệ thông tin ngay lập tức bác bỏ tuyên bố này, nói rằng: "Điều này chưa được nhóm điều tra chung giữa khu vực công và tư nhân xác nhận". Cơ quan Cảnh sát Thủ đô Seoul đã xác định một người đàn ông Trung Quốc 43 tuổi, cựu nhân viên của Coupang, là nghi phạm chính. Nghi phạm này làm việc tại Coupang từ tháng 11/2022 đến năm 2024 và có quyền truy cập vào các hệ thống nội bộ.
Phó Thủ tướng Bae tuyên bố: "Nghi phạm đã truy cập vào máy chủ của Coupang, tự do truy cập thông tin khách hàng và tải xuống các thông tin cần thiết. Coupang đã tịch thu chiếc máy tính xách tay, trong số bốn máy tính xách tay và thiết bị lưu trữ máy tính của nghi phạm, và đang tuyên bố rằng 3.000 mục dữ liệu đã được xác nhận đã bị rò rỉ. Nghi phạm có thể đã tải thông tin lên đám mây ngoài máy tính xách tay và máy tính để bàn, và tất cả những thứ này phải được phân tích".
Theo thông báo mới nhất của Ủy ban Bảo vệ Thông tin cá nhân thì 92,7% người trưởng thành và 95,0% thanh thiếu niên Hàn Quốc cho rằng, bảo vệ thông tin cá nhân là quan trọng. Về mức độ nghiêm trọng của rủi ro thông tin cá nhân do AI gây ra, 76,1% người trưởng thành và 76,2% thanh thiếu niên trả lời rằng đó là "nghiêm trọng". 72,1% người trưởng thành và 71,0% thanh thiếu niên cũng nhận thấy tầm quan trọng của việc công khai tình trạng xử lý thông tin cá nhân trong các dịch vụ AI. Chỉ có 55,4% người lớn và 37,4% thanh thiếu niên đồng ý với các điều khoản chấp thuận liên quan khi cung cấp thông tin cá nhân để sử dụng dịch vụ, cho thấy tỷ lệ chấp thuận tương đối thấp ở thanh thiếu niên. Lý do chính khiến họ không xem xét mẫu đơn chấp thuận là do "quá nhiều nội dung và khó hiểu", được 32,5% người lớn và 34,8% thanh thiếu niên nêu ra. Về vấn đề này, Ủy ban Bảo vệ Thông tin cá nhân đã phân tích rằng, cần cải thiện phương pháp truyền đạt thông tin để đảm bảo người dùng dữ liệu có thể dễ dàng hiểu được mẫu đơn chấp thuận. Một cuộc khảo sát các đơn vị xử lý thông tin cá nhân cho thấy, các tổ chức công có tỷ lệ tuân thủ các biện pháp bảo vệ thông tin cá nhân là 99,5%, trong khi các công ty tư nhân có tỷ lệ tuân thủ là 59,9%. Trong số các công ty tư nhân có từ 300 nhân viên trở lên, 90,8% đã thực hiện các biện pháp quản lý thông tin cá nhân, cho thấy các doanh nghiệp vừa và nhỏ có hiệu quả thấp hơn. Sự khác biệt về mức độ bảo vệ thông tin cá nhân giữa các công ty cũng được phản ánh trong tỷ lệ thực hiện đào tạo cho các nhà quản lý. Khoảng 60% các công ty có từ 300 nhân viên trở lên đã thực hiện đào tạo cho các cán bộ bảo vệ thông tin cá nhân và quản lý an ninh của họ. Ngược lại, chỉ khoảng 5% các công ty tư nhân nói chung cung cấp đào tạo. Hơn nữa, cả các tổ chức công (65,7%) và các công ty tư nhân (25,2%) đều ưu tiên "thúc đẩy phát triển và phổ biến các công nghệ liên quan đến bảo vệ thông tin cá nhân" như một chính sách trọng điểm của Chính phủ về bảo vệ thông tin cá nhân. Bà Koh Eun Young - Giám đốc Kế hoạch và Điều phối của Ủy ban Bảo vệ Thông tin cá nhân cho biết: "Kết quả khảo sát này cho thấy tầm quan trọng của việc bảo vệ thông tin cá nhân trong kỷ nguyên trí tuệ nhân tạo tại Hàn Quốc. Chúng tôi sẽ tiếp tục theo đuổi các chính sách nhằm xây dựng một xã hội tin tưởng vào an toàn thông tin cá nhân bằng cách cải thiện luật pháp và quy định một cách có hệ thống, cung cấp hỗ trợ kỹ thuật và tăng cường kiểm tra".
Phó Thủ tướng Bae đã phản hồi lại tuyên bố của Coupang rằng, họ đã tuân theo chỉ thị của Chính phủ và đổ lỗi cho Cơ quan Tình báo Quốc gia về vụ rò rỉ: "Tôi hiểu họ đã hợp tác với quá trình chuyển giao do lo ngại máy tính xách tay bị mất trong quá trình vận chuyển và bị sử dụng làm vỏ bọc cho các cuộc tấn công mạng quốc tế. Bộ Khoa học và Công nghệ thông tin, cơ quan phụ trách nền tảng, có thẩm quyền ra lệnh cho Coupang, chứ không phải Cơ quan Tình báo Quốc gia".
![pyh2025122606320001300-p4.jpg](https://cdn.tienphong.vn/images/0699494f4c3820c9fa5f7af0cd145228664ad24f4030a5192d0bdfe614bbc395854c9d4d664cb8bd1640186cc16fc011fa4963e09c7300d10e9ebc32597df813/pyh2025122606320001300-p4.jpg "Cuộc biểu tình Coupang. Bất chấp những lời chỉ trích về "cuộc tự điều tra" của mình, Coupang tiết lộ với Ủy ban Chứng khoán và Giao dịch Hoa Kỳ rằng, chỉ có 3.000 trường hợp bị rò rỉ. Quyết định giảm thiểu thiệt hại của Coupang bất chấp sự phản đối của Chính phủ Hàn Quốc được hiểu là một nỗ lực nhằm ngăn chặn sự sụt giảm giá cổ phiếu của công ty trên Sở Giao dịch chứng khoán New York. Nó cũng được hiểu là một nỗ lực để tự bảo vệ mình trước các vụ kiện tập thể phát sinh từ sự chậm trễ trong việc công bố thông tin.")
Ông Ryu Je-myung - Thứ trưởng Bộ Khoa học và Công nghệ thông tin cũng nhấn mạnh: "Tôi muốn làm rõ rằng, không có cơ quan Chính phủ nào từng ra lệnh hoặc can thiệp vào cuộc điều tra nội bộ của Coupang". Ông Ryu Je Myung cũng cho biết thêm, kẻ tấn công đã sử dụng mã coupon TRON cần thiết để truy cập vào máy chủ của Coupang. Trong khi đó, cuộc điều tra cho thấy, vụ rò rỉ dữ liệu tiếp diễn từ cuối tháng Sáu đến đầu tháng Mười Một.
Mã coupon TRON (TRX) thực chất không phải là mã giảm giá thông thường, mà là các mã khuyến mãi liên quan đến đồng tiền mã hóa TRX của mạng lưới blockchain TRON dùng để nhận ưu đãi, thưởng, hoặc sử dụng trong hệ sinh thái TRON, thường thấy trong các sự kiện airdrop, staking hoặc thưởng cho người dùng mới, để kích thích sử dụng và giao dịch TRX.
Các cuộc tấn công lừa đảo (phishing) đã gia tăng sau sự cố này, với một số trường hợp giả mạo Coupang được báo cáo. Theo báo cáo, Sở Cảnh sát Thủ đô Seoul đang thu thập các tài liệu nội bộ, nhật ký, hồ sơ hệ thống, thông tin đăng nhập người dùng, lịch sử truy cập và địa chỉ IP để xác định cách nghi phạm truy cập vào hệ thống của công ty. Trong khi đó, công ty đang đối mặt với tình trạng khách hàng ồ ạt rời bỏ ứng dụng do bị Chính phủ và Bộ Tư pháp điều tra gắt gao. Vụ rò rỉ dữ liệu gần đây được cho là đã ảnh hưởng đến gần 2/3 dân số Hàn Quốc.
Từ khủng hoảng bồi thường đến khủng hoảng truyền thông
Cơ quan An ninh và Internet Hàn Quốc (KISA) phân tích rằng, tin tặc có thể sẽ lợi dụng sự lo lắng của người tiêu dùng bằng cách phát tán hàng loạt tin nhắn mồi nhử chứa các từ khóa như "bồi thường thiệt hại", "yêu cầu bồi thường thiệt hại" và "hoàn tiền". Người dùng cũng nên cảnh giác với việc lợi dụng các công cụ tìm kiếm. Tin tặc tạo ra các trang web lừa đảo trên các trang cổng thông tin bằng cách sử dụng các từ khóa như "yêu cầu bồi thường thiệt hại" và hiển thị chúng ở đầu kết quả tìm kiếm. KISA cũng cảnh báo về các vụ lừa đảo qua điện thoại, trong đó người dùng gọi điện thoại giả vờ là nạn nhân của vụ rò rỉ dữ liệu và yêu cầu họ cài đặt ứng dụng điều khiển từ xa. Các cơ quan Chính phủ và công ty tài chính không yêu cầu bạn cài đặt ứng dụng điều khiển từ xa qua điện thoại hoặc tin nhắn. Từ khóa càng liên quan mật thiết đến cuộc sống hằng ngày thì càng nguy hiểm… Đừng nhấp vào các URL đáng ngờ. Thông tin “đặt hàng và giao hàng” bị rò rỉ trong vụ việc Coupang gần đây, khi kết hợp với thông tin liên lạc và tài chính, có thể bị tội phạm lợi dụng để chiếm được lòng tin của nạn nhân. Trong vụ rò rỉ dữ liệu lớn tại ba công ty thẻ tín dụng lớn năm 2014, tội phạm đã giả mạo các cơ quan điều tra, sử dụng số đăng ký cư trú và thông tin chủ thẻ cụ thể của nạn nhân để đánh cắp tiền. Lần này, thủ đoạn có thể còn tinh vi hơn. Tỷ lệ thành công của vụ lừa đảo tăng lên khi kẻ tấn công có được tên thật, địa chỉ gần nhất và lịch sử mua hàng thực tế của nạn nhân. Trung tâm Ứng phó an ninh khu vực phía Đông (ESRC) đã phân tích rằng: "Nếu tin nhắn lừa đảo sử dụng các từ khóa liên quan mật thiết đến cuộc sống hàng ngày, chẳng hạn như giao hàng nhanh hoặc khám sức khỏe, người dùng có nhiều khả năng nhầm lẫn chúng với tin nhắn hợp pháp. KISA khuyến cáo: "Hãy tránh nhấp vào các địa chỉ trang web không rõ nguồn gốc và xóa chúng ngay lập tức" và: "Để ngăn ngừa thiệt hại thứ cấp, hãy thông báo cho người quen của nạn nhân tin nhắn lừa đảo".
Coupang đã công bố kế hoạch bồi thường tổng cộng 1.685 tỷ won (khoảng 1,5 tỷ đôla) cho vụ rò rỉ thông tin cá nhân của 33,7 triệu khách hàng. Nhìn bề ngoài, đây là gói bồi thường lớn nhất trong lịch sử một công ty bán lẻ Hàn Quốc. Tuy nhiên, điểm yếu của kế hoạch nằm ở chỗ nó chỉ cung cấp "phiếu giảm giá bốn gói" thay vì tiền mặt. Các nhà phê bình trong và ngoài ngành cho rằng, biện pháp này ít mang tính bồi thường thực sự mà thiên về chiến lược "giữ chân" khách hàng trên nền tảng của công ty và một chương trình khuyến mãi nhằm thúc đẩy doanh số bán hàng cho các mảng kinh doanh mới. Lý do là vì đây là một phiếu giảm giá có điều kiện, chỉ có thể sử dụng trong ứng dụng Coupang, chứ không phải là khoản thanh toán bằng tiền mặt như thông lệ bồi thường thông thường.
Việc sử dụng phiếu giảm giá Coupang Eats yêu cầu cài đặt một ứng dụng riêng. Sau khi trừ phí giao hàng 3.000 - 4.000 won, mức giảm giá thực tế mà người tiêu dùng nhận được chỉ là 1.000 - 2.000 won. Các phiếu giảm giá của Coupang Travel và All Beauty cũng có rào cản gia nhập cao. Các sản phẩm du lịch thường có giá hàng trăm nghìn won, còn All Beauty chỉ dành riêng cho các sản phẩm mỹ phẩm cao cấp như SK-II và Estee Lauder. Để nhận được khoản giảm giá 20.000 won, người tiêu dùng cần phải chi từ 50.000 won đến hơn 100.000 won từ tiền túi của mình. Nghịch lý là các nạn nhân của việc rò rỉ thông tin cá nhân lại phải làm tăng doanh số bán hàng của công ty vi phạm để được bồi thường. Tình trạng này đã gây ra nhiều lời phàn nàn từ người tiêu dùng, họ cho rằng, đó là "ép buộc tiêu dùng chứ không phải bồi thường". Đặc biệt, những khách hàng tham gia phong trào "Talpang" (rút khỏi Coupang) hiện nay phải đăng ký lại để sử dụng phiếu giảm giá. Cấu trúc mâu thuẫn này, khuyến khích những khách hàng đã mất niềm tin đăng ký lại, đã vấp phải phản ứng hoài nghi từ cộng đồng mạng, bị gọi là "chiêu trò tiếp thị thiếu chân thành".
Phản ứng của Coupang đối với các vụ kiện ở Hàn Quốc và Mỹ hoàn toàn khác nhau. Tại Mỹ, công ty này phải đối mặt với vụ kiện tập thể đòi bồi thường trừng phạt, trong khi ở Hàn Quốc, họ lại tìm cách dàn xếp vụ việc bằng phiếu giảm giá. Công ty luật Daeryun đang chuẩn bị khởi kiện trụ sở chính của Coupang tại tòa án liên bang New York để đòi bồi thường trừng phạt. Tại Mỹ, nếu phát hiện sự sơ suất nghiêm trọng, mức bồi thường có thể lên tới rất cao. Thực tế, vào năm 2021, T-Mobile đã trả 350 triệu đô la (khoảng 510 tỷ won) tiền mặt cho vụ rò rỉ dữ liệu liên quan đến 76,6 triệu người. Các nạn nhân nhận được tối đa 25.000 đô la (khoảng 33 triệu won) tùy thuộc vào mức độ thiệt hại. Ngược lại, hệ thống tư pháp Hàn Quốc lại khoan dung hơn đối với các tập đoàn. Trong các vụ việc như vụ hack Nate và Cyworld năm 2012 và vụ Interpark năm 2016, Tòa án Tối cao chỉ công nhận trách nhiệm pháp lý hạn chế của doanh nghiệp. Trong vụ Interpark, tòa án đã phán quyết bồi thường 100.000 won cho mỗi người. Phiếu giảm giá 50.000 won của Coupang thậm chí còn ít hơn. Coupang bị cho là đang lợi dụng những điểm yếu trong luật pháp Hàn Quốc để đạt được thỏa thuận dàn xếp với giá thấp và sử dụng điều này như một biện pháp phòng vệ trước rủi ro kiện tụng tại Mỹ. Kim Kook Il - Giám đốc điều hành của Daeryun tuyên bố: "Chúng tôi sẽ sử dụng quyền lực mạnh mẽ của hệ thống tư pháp Mỹ để làm sáng tỏ sự thật và đảm bảo mức bồi thường thỏa đáng". Điều này làm nổi bật thực tế của cái gọi là "chiết khấu Hàn Quốc" trong lĩnh vực dữ liệu, nơi giá trị dữ liệu người tiêu dùng Hàn Quốc bị đánh giá thấp một cách tương đối.
Những nghi ngờ ngày càng gia tăng về thời điểm công bố kế hoạch bồi thường. Việc Coupang công bố kế hoạch bồi thường vào ngày 29/12 chỉ diễn ra một ngày trước phiên điều trần chung của sáu ủy ban Quốc hội. Các chính trị gia và nhà quan sát ngành tin rằng, việc công bố kế hoạch bồi thường khổng lồ trị giá 1.685 tỷ won, một ngày trước phiên điều trần nhằm mục đích khuấy động dư luận và làm giảm bớt sự căng thẳng của phiên điều trần.
Ngày 28/12, Chủ tịch Coupang Inc. Kim Beom-seok đã đưa ra tuyên bố đầu tiên kể từ sự việc xảy ra cách đây một tháng, xin lỗi về "phản ứng ban đầu không thỏa đáng". Tuy nhiên, ông đã đệ trình một văn bản giải thích về việc vắng mặt tại phiên điều trần, viện dẫn lý do "cư trú ở nước ngoài và lịch trình đã định". Đây là lần vắng mặt thứ hai liên tiếp của ông, sau phiên điều trần và kiểm toán Quốc hội vào ngày 17/12. Bà Choi Min Hee - Chủ tịch Ủy ban Quốc phòng Quốc hội, đã kịch liệt chỉ trích điều này, gọi đó là "sự chế nhạo Quốc hội và người dân Hàn Quốc". Mặc dù chiếm hơn 90% doanh thu tại Hàn Quốc, việc Coupang không nhận trách nhiệm đang làm dấy lên tranh cãi về sự chân thành của công ty.
Một người trong ngành cho biết: "Nếu Chủ tịch Kim đích thân xin lỗi sớm hơn, dư luận đã không xấu đi đến mức này. Điều này, cùng với cáo buộc rằng, Coupang đã cố gắng giảm nhẹ mức độ thiệt hại dựa trên cuộc điều tra riêng của mình trước khi kết quả điều tra chung giữa khu vực công và tư nhân của Chính phủ được công bố, đã khiến niềm tin vào khả năng quản lý khủng hoảng của Coupang xuống mức thấp nhất".
Có những cáo buộc cho rằng, Coupang đã cố gắng giảm nhẹ mức độ thiệt hại bằng cách đưa ra thông báo đơn phương trước khi cuộc điều tra của Chính phủ hoàn tất. Toàn bộ phản hồi của Coupang tập trung vào việc xoa dịu dư luận và giảm thiểu trách nhiệm pháp lý. Các nhóm bảo vệ người tiêu dùng đang yêu cầu bồi thường tiền mặt vô điều kiện và việc áp dụng thực tế một hệ thống bồi thường thiệt hại mang tính trừng phạt. Vụ bê bối Coupang đồng thời phơi bày rủi ro đạo đức của các nền tảng độc quyền và những hạn chế của luật pháp Hàn Quốc.
Con số 1.685 tỷ won thật ấn tượng, nhưng chi tiết lại rỗng tuếch. Phiếu giảm giá thay vì tiền mặt, tiếp thị trá hình dưới dạng phần thưởng, và trốn tránh thay vì chịu trách nhiệm. Các biện pháp mới nhất của Coupang dường như khó tránh khỏi chỉ trích, khi chúng được coi là một "chiến lược quản lý rủi ro" được tính toán kỹ lưỡng hơn là một lời xin lỗi chân thành.
(Còn tiếp)
Kỳ III: Khủng hoảng niềm tin về mức độ an toàn thông tin cá nhân và các công ty hay nền tảng trực tuyến lớn quan tâm bảo vệ an toàn thông tin khách hàng như thế nào?
