Có nguy hại không, cho dù thông tin thanh toán của khách hàng được cho là chưa bị xâm phạm?
Liệu có thể khẳng định rằng, thông tin cá nhân bị 'lộ' của 33,7 triệu người dùng Coupang không bao gồm thông tin thanh toán? Mặc dù thông tin cá nhân riêng lẻ có thể chấp nhận được, vấn đề nằm ở sự kết hợp của nhiều thông tin. Điều này đặt ra nhu cầu cần thận trọng hơn và cần mở rộng phạm vi mã hóa. Các chuyên gia an ninh thông tin cảnh báo rằng, thông tin bị 'lộ' trong vụ việc Coupang có thể bị khai thác cho nhiều mục đích khác nhau, bao gồm cả các cuộc tấn công lừa đảo tinh vi, suy luận thông tin nhạy cảm như lịch sử sức khỏe và các cuộc tấn công nhận dạng lại bằng cách kết hợp dữ liệu với thông tin thanh toán bị rò rỉ từ các công ty khác để xác định chủ sở hữu dữ liệu.
![f5otvt3uffa4vhzjpwgrm5666q.png](https://cdn.tienphong.vn/images/0699494f4c3820c9fa5f7af0cd145228d8593021aa2e1f6cee07ac86ef880c28cdd8c479d73d330369b05e1fc115d0671234a4cfee0ca8c4757fda117be5d888/f5otvt3uffa4vhzjpwgrm5666q.png "Việc lộ thông tin cá nhân không chỉ được coi là sự bất tiện mà còn là một rủi ro thực sự có thể dẫn đến thiệt hại tài chính trực tiếp. SomeTrend, một công cụ phân tích dữ liệu lớn chuyên sâu đã trích xuất các thuật ngữ liên quan đến cảm xúc từ vụ rò rỉ dữ liệu Coupang và Kim Beom Seok - Tổng Giám đốc điều hành Coupang, từ ngày 1 đến ngày 4/12, gồm: "lừa đảo trực tuyến", "lừa đảo qua điện thoại", "sốc", "bồi thường", "tội phạm", "lo lắng", "quản lý kém" và "mối đe dọa an ninh".")
Coupang là nền tảng thương mại điện tử lớn nhất và có vị thế hàng đầu tại Hàn Quốc, thường được ví như "Amazon của Hàn Quốc", nổi tiếng với giao diện thân thiện, hệ thống Rocket Delivery siêu tốc (giao hàng trong ngày hoặc ngày hôm sau) và dịch vụ đa dạng gồm Coupang Eats (giao đồ ăn) và Coupang Play (phát trực tuyến), mang đến trải nghiệm mua sắm trực tuyến tiện lợi và nhanh chóng cho người tiêu dùng. Ngày 29/11, Coupang xác nhận rằng, thông tin cá nhân của 33,7 triệu người dùng đã bị rò rỉ vượt xa con số 4.500 tài khoản được báo cáo ban đầu cho cơ quan chức năng vào ngày 20/11. Với vị thế thống lĩnh thị trường thương mại điện tử Hàn Quốc, vụ lộ dữ liệu cá nhân này không chỉ gây thiệt hại tài chính, gây lo ngại và ảnh hưởng sinh hoạt số của hàng triệu người dân Hàn Quốc và toàn bộ sự việc tác động tương đương với gần 2/3 dân số Hàn Quốc mà còn lung lay nghiêm trọng hình ảnh của Coupang. Công ty đối mặt với áp lực từ nhiều phía, từ điều tra pháp lý đến làn sóng tẩy chay của người tiêu dùng.
Kẻ xấu có thể xác định lối sống, thành viên gia đình và hơn thế nữa...
![f1c7da83-946c-46f7-9d7b-b2e11cb67ace.jpg](https://cdn.tienphong.vn/images/0699494f4c3820c9fa5f7af0cd14522844ecd3387da859b75cd4b896e64d427b1f493802cb153a4dfa5d5cf7149c139fda1ca3714e919ba917c03096c9251eb605529fffbaa1d8f83383208cf8d23248/f1c7da83-946c-46f7-9d7b-b2e11cb67ace.jpg "Ngày 25/12, Coupang thông báo đã xác định được cựu nhân viên chịu trách nhiệm làm lộ một lượng lớn thông tin cá nhân của khách hàng, đã thu hồi tất cả các thiết bị được sử dụng trong vụ việc và xác định không có bằng chứng về việc rò rỉ từ bên ngoài. Theo Coupang, cùng ngày, cựu nhân viên này đã sử dụng khóa bảo mật nội bộ bị đánh cắp để truy cập vào khoảng 33 triệu tài khoản khách hàng, chỉ lưu trữ một số thông tin hạn chế, bao gồm tên, địa chỉ email, số điện thoại, địa chỉ nhà và một số thông tin đơn hàng của khoảng 3.000 tài khoản. Ảnh chụp Trung tâm Logistics của Coupang tại quận Jung-gu, Seoul vào ngày hôm đó. (Nguồn: News 1). Theo tin tức của Yonhap, ngày 26/12, Phòng Điều tra Tội phạm mạng thuộc Sở Cảnh sát Thủ đô Seoul đang tiến hành phân tích pháp y chiếc máy tính xách tay mà Coupang tự nguyện giao nộp vào ngày 21/12 và đang kiểm tra kỹ lưỡng dữ liệu được lưu trữ. Cảnh sát đang điều tra xem liệu chiếc máy tính xách tay có thực sự được nghi phạm sử dụng hay không và liệu nó có được sử dụng trong vụ án hay không, cũng như liệu dữ liệu có bị thay đổi trong quá trình tự nguyện giao nộp hay không. Hơn nữa, các hệ lụy pháp lý từ việc Coupang tự ý liên lạc với nghi phạm mà không tham khảo ý kiến cảnh sát và việc công bố đã sử dụng 'thợ lặn' để thu hồi chiếc máy tính xách tay, một bằng chứng quan trọng, đang được xem xét. Các chuyên gia chỉ ra rằng, nếu Coupang bị xác nhận đã can thiệp vào dữ liệu, thì không chỉ tính hợp pháp của bằng chứng có thể bị đặt dấu hỏi, mà khả năng tiêu hủy bằng chứng cũng không thể bị loại trừ. Lee Woong Hyeok, Giáo sư Khoa học cảnh sát tại ĐH Konkuk trả lời hãng tin Yonhap: "Nếu so sánh với một vụ án giết người, thì việc này giống như Coupang di chuyển thi thể đến một địa điểm khác khi cảnh sát không tìm thấy. Phương pháp tìm kiếm, thậm chí cả việc huy động 'thợ lặn', thật vô lý. Có vẻ như đó là một nỗ lực tuyệt vọng nhằm nhấn mạnh rằng, tội ác do một người gây ra, và điều này có thể dẫn đến nghi ngờ về việc có đồng phạm nội bộ hoặc những điều khác cần che giấu". Giữa những đồn đoán rằng, một cuộc điều tra toàn diện về quy trình điều tra nội bộ của Coupang là điều không thể tránh khỏi, khả năng khám xét và thu giữ thêm tang vật cũng đang được thảo luận. Cảnh sát cũng có kế hoạch xem xét lại kết quả điều tra nội bộ của Coupang, vốn không tìm thấy bằng chứng rò rỉ thông tin khách hàng ra bên thứ ba.")
Thông tin bị lộ trong vụ này bao gồm tên, số điện thoại, địa chỉ, địa chỉ email và một số lịch sử đặt hàng. Coupang tuyên bố rằng, thông tin thanh toán, chẳng hạn như thẻ tín dụng, hoặc thông tin đăng nhập không bị lộ. Tuy nhiên, việc kết hợp các thông tin này cho phép thực hiện các nỗ lực lừa đảo có chủ đích. Cũng có khả năng thông tin này được đối chiếu với thông tin bị đánh cắp từ các công ty khác, có khả năng liên kết thông tin thanh toán với hành vi trộm cắp...
Chỉ riêng việc để lộ tên, thông tin liên hệ và địa chỉ đã tiềm ẩn rủi ro về mặt vật lý. Thực tế là những thông tin này đã bị lộ rộng rãi trên nhiều dịch vụ liên quan đến lối sống, không chỉ riêng Coupang. Tuy nhiên, việc "một phần lịch sử đặt hàng" cũng bị rò rỉ trong vụ việc này càng làm trầm trọng thêm rủi ro. Lịch sử đặt hàng của người dùng có thể bị lợi dụng để thực hiện các chiến dịch lừa đảo qua tin nhắn hoặc giọng nói được ngụy trang dưới dạng giao hàng của dịch vụ chuyển phát nhanh các mặt hàng thường xuyên đặt mua. Nếu người dùng nhận được thông báo cho biết mặt hàng đã đặt trước đó đã đến, họ có thể dễ dàng mở cửa hoặc nhấp vào liên kết độc hại trong tin nhắn văn bản.
Hơn nữa, các chiến dịch lừa đảo có chủ đích chính xác có thể được thiết kế. Phân tích các mặt hàng được đặt mua thường xuyên có thể tiết lộ thông tin về lối sống, cấu trúc gia đình và thậm chí cả mức thu nhập của một người. Ví dụ, một người dùng thường xuyên đặt mua các mặt hàng như tã bỉm có thể được xác định là đang nuôi con.
Thông tin cá nhân nhạy cảm hơn cũng có thể được suy ra từ lịch sử mua hàng. Ví dụ, việc mua đi mua lại các thực phẩm bổ sung dinh dưỡng liên quan đến các triệu chứng cụ thể có thể được sử dụng để suy ra nhu cầu liên quan đến sức khỏe của người dùng. Một chuyên gia bảo mật khuyên rằng: "Người tiêu dùng nên cảnh giác khi nhấp vào các URL trong tin nhắn văn bản liên quan đến việc giao hàng từ các số không xác định. Họ nên đặc biệt nghi ngờ các cuộc gọi hoặc tin nhắn yêu cầu mở cửa, tự xưng là về việc nhận hàng, gửi lại, thu hồi hoặc đổi trả mặt hàng đã mua trước đó".
Từ vụ việc này, người dùng Việt Nam có lẽ cũng nên nhìn lại và quan tâm hơn đến vấn đề bảo mật thông tin cá nhân khi tham gia các nền tảng thương mại điện tử, đặc biệt là các nền tảng chiếm thị phần lớn ở Việt Nam như Shopee, Lazada, hay thậm chí là Zalo với các động thái mới đây. Theo nội dung điều khoản được cập nhật, Zalo yêu cầu người dùng chấp nhận việc thu thập nhiều loại thông tin cá nhân, bao gồm số điện thoại, họ tên, giới tính, mối quan hệ gia đình và thông tin căn cước công dân. Việc chấp nhận điều khoản được đặt trong mốc thời gian cụ thể, nếu không tài khoản có thể bị hạn chế hoặc ngừng sử dụng.
(Còn tiếp)
Kỳ II: Liên hệ Việt Nam: Chế tài pháp luật nào cho việc bồi thường khi người dùng bị ảnh hưởng từ các vụ lọt lộ thông tin cá nhân? Các công ty hay nền tảng trực tuyến lớn quan tâm bảo vệ an toàn thông tin khách hàng như thế nào?
