Chính phủ Hàn Quốc xác nhận chính thức 33,67 triệu hồ sơ người dùng bị rò rỉ trong vụ tấn công dữ liệu tại Coupang

Một nhóm điều tra liên ngành giữa khu vực công và tư của Hàn Quốc đã chính thức xác nhận rằng hơn 33 triệu hồ sơ người dùng của khách hàng tại Hàn Quốc, bao gồm tên và địa chỉ email, đã bị rò rỉ trong vụ xâm phạm dữ liệu quy mô lớn xảy ra năm ngoái tại Coupang, tập đoàn thương mại điện tử có trụ sở chính tại Mỹ.

Kết luận này cho thấy Coupang đã tìm cách giảm nhẹ mức độ nghiêm trọng của sự cố, khi ban đầu chỉ tuyên bố khoảng 3.000 hồ sơ bị ảnh hưởng, trước khi nâng con số này thêm 165.000 hồ sơ sau đó.

Theo Bộ Khoa học và Công nghệ Thông tin – Truyền thông Hàn Quốc, đơn vị chủ trì cuộc điều tra, kết quả cho thấy tổng cộng 33,67 triệu hồ sơ người dùng đã bị xâm phạm. Ngoài ra, trang danh sách giao hàng của công ty chứa tên, số điện thoại, địa chỉ giao hàng và mật khẩu vào sảnh chung của các tòa nhà chung cư (đã được ẩn danh) đã bị truy cập trái phép tới 148 triệu lượt.

Ông Choi Woo Hyuk - Cục trưởng Văn phòng Chính sách An ninh mạng và Mạng lưới thuộc Bộ Khoa học và Công nghệ Thông tin – Truyền thông Hàn Quốc phát biểu tại buổi họp báo ở Seoul: “Tổ chức bị điều tra (Coupang) đã tự đưa ra tuyên bố và tự nộp kết quả điều tra của chính mình. Con số 3.000 hồ sơ do Coupang đưa ra chỉ là tuyên bố của doanh nghiệp và chỉ mang tính tham khảo. Chúng tôi đã độc lập xác minh toàn bộ tài liệu. Nhóm điều tra đã kiểm tra trực tiếp các máy chủ của Coupang để xác định lượng dữ liệu bị các đối tượng bên ngoài truy cập cũng như mức độ thông tin bị rò rỉ”.

Theo ông Choi, bộ này xác nhận rằng “kẻ tấn công” là một cựu nhân viên của Coupang, người từng tham gia phát triển phần mềm xác thực người dùng. Kẻ này đã đánh cắp khóa ký từ hệ thống xác thực, tiến hành các thử nghiệm phục vụ cho cuộc tấn công, sau đó sử dụng công cụ thu thập dữ liệu web để sao chép khối lượng lớn dữ liệu.

Bằng phương thức trên, kẻ tấn công vẫn có thể truy cập các dịch vụ của Coupang sau khi đã rời công ty và gửi các email mang tính đe dọa tới trụ sở chính của doanh nghiệp. Nhóm điều tra cũng xác nhận rằng, đối tượng này sở hữu một hệ thống có khả năng truyền dữ liệu bị rò rỉ lên các máy chủ đám mây ở nước ngoài, song cho biết chưa thể xác định liệu dữ liệu có thực sự được truyền đi hay không.

Nhóm điều tra cho biết, quy định nội bộ của Coupang yêu cầu các khóa ký phải được lưu trữ duy nhất trong hệ thống quản lý, không được lưu trên máy tính cá nhân của nhân viên. Tuy nhiên, quá trình điều tra đã phát hiện một số trường hợp các nhà phát triển đang làm việc tại Coupang lưu trữ khóa ký trên máy tính xách tay cá nhân.

Ông Choi cho biết: “Nhóm điều tra đã xác định những thiếu sót trong công tác quản lý hệ thống xác thực và các khóa ký. Đây là một thất bại rõ ràng trong quản lý của Coupang, chứ không phải một cuộc tấn công tinh vi”.

Bộ này cho biết, Coupang cũng đã không báo cáo kịp thời sự cố cho các cơ quan chức năng liên quan, dù các quy định hiện hành yêu cầu như vậy. Bộ nhấn mạnh sẽ xử phạt tiền đối với doanh nghiệp vì chậm báo cáo và tiến hành một cuộc điều tra chính thức, đồng thời lưu ý rằng, Coupang đã không bảo toàn các bằng chứng then chốt, bất chấp yêu cầu trước đó từ phía cơ quan chức năng.

Kết quả điều tra được công bố khoảng ba tháng sau khi Coupang phát hiện vụ xâm phạm dữ liệu vào ngày 17/11. Trước đó, đã xuất hiện những đồn đoán cho rằng, việc công bố bị trì hoãn do lo ngại áp lực thương mại từ Mỹ cũng như các cáo buộc của một số chính trị gia Mỹ rằng, Chính phủ Hàn Quốc phân biệt đối xử với một doanh nghiệp Mỹ. Tuy nhiên, nhóm điều tra đã thẳng thừng bác bỏ các cáo buộc này.

Ông Choi khẳng định: “Nhóm điều tra chưa từng đi chệch khỏi pháp luật và các nguyên tắc. Chúng tôi không đối xử khác biệt với bất kỳ doanh nghiệp nào và luôn tuân thủ nguyên tắc công bố kết quả một cách kịp thời, minh bạch ngay khi có thể”.