Dính lỗ hổng 5 tháng nhưng không ai hay, 'ông lớn' TMĐT Hàn Quốc nhận kết đắng

Lỗ hổng nội bộ kéo dài 5 tháng nhưng không ai hay

Coupang, một trong những ứng dụng được sử dụng rộng rãi nhất Hàn Quốc, đối mặt với một trong những vụ vi phạm dữ liệu lớn nhất lịch sử thương mại điện tử nước này.

CEO Park Dae-jun đã phải công khai xin lỗi chỉ một ngày sau khi công ty thừa nhận sự việc hôm cuối tuần.

Vụ việc bắt đầu từ ngày 24/6 nhưng không bị phát hiện cho đến ngày 19/11. Nghi phạm chính là một cựu nhân viên người Trung Quốc từng làm việc trên hệ thống xác thực của công ty, đã khai thác một mã xác thực (authentication token) hợp lệ để truy cập trái phép vào hơn 30 triệu tài khoản mà không cần quy trình đăng nhập thông thường.

CEO Coupang Park Dae-jun cúi người xin lỗi trong cuộc họp báo ngày 30/11. Ảnh: Yonhap

Thông tin bị lộ bao gồm tên, số điện thoại, địa chỉ email, địa chỉ nhà và một phần lịch sử đơn hàng. Rất may, thông tin thanh toán, thẻ tín dụng và mật khẩu đăng nhập, vốn được lưu trữ riêng biệt, không bị ảnh hưởng.

Tuy nhiên, với quy mô ảnh hưởng lên tới gần như toàn bộ cơ sở người dùng 34 triệu người hàng tháng, mức độ nghiêm trọng của vụ việc là không thể phủ nhận.

Lỗ hổng trong quản lý đặc quyền

Các chuyên gia an ninh mạng chỉ ra đây không phải là một cuộc tấn công từ bên ngoài như các vụ việc gần đây tại SK Telecom hay KT, mà là một vụ việc liên quan đến người nội bộ.

Giáo sư Kim Yong-dae từ Viện Cao học An ninh Thông tin KAIST giải thích: "Nghi phạm đã có đặc quyền truy cập và tạo ra một mã xác thực (token) hợp lệ để trích xuất dữ liệu từ xa".

Việc quản lý yếu kém các khóa ký dùng để tạo ra các mã này cho phép kẻ tấn công duy trì quyền truy cập ngay cả khi đã rời công ty.

"Đây không phải là lỗi hệ thống. Ngay cả trong doanh nghiệp sở hữu biện pháp bảo mật mạnh mẽ, lỗi quản lý đặc quyền vẫn có thể dẫn đến rò rỉ nghiêm trọng", ông Kim nhấn mạnh.

Theo các chuyên gia, hệ thống lẽ ra nên báo cáo token vẫn hoạt động sau khi nhân viên nghỉ việc và xuất hiện lượng lớn dữ liệu bị tải xuống thông qua một token duy nhất.

Song, vì bản thân token hợp lệ, các công cụ giám sát có thể đã không nhận diện được hành vi đáng ngờ.

Gần như toàn bộ khách hàng của Coupang bị lộ thông tin cá nhân. Ảnh: Korea Herald

Dù Coupang dự kiến chi tới 1,91 nghìn tỷ won cho công nghệ thông tin (CNTT) trong năm nay, ngân sách dành cho an ninh thông tin chỉ chiếm 4,6% (89 tỷ won), tương đương 0,2% doanh thu.

Con số này thấp hơn nhiều so với mức khuyến nghị 10% ngân sách CNTT của Gartner hay mức chi tiêu 1-1,4% doanh thu của Amazon.

Hệ quả và động thái của chính phủ

Chính phủ Hàn Quốc đã ngay lập tức vào cuộc với một cuộc họp khẩn cấp do Bộ trưởng Khoa học và CNTT Bae Kyung-hoon chủ trì.

Một lực lượng đặc nhiệm điều tra chung công-tư đã được thành lập để xác định nguyên nhân và đưa ra các biện pháp phòng ngừa.

Cơ quan bảo vệ quyền riêng tư sẽ xem xét liệu Coupang có vi phạm các nghĩa vụ bảo vệ dữ liệu cá nhân hay không, với cảnh báo về các "biện pháp trừng phạt nghiêm khắc". Cảnh sát Seoul cũng đã mở cuộc điều tra hình sự.

Vụ việc này đặt ra thách thức lớn cho mô hình an ninh mạng của Hàn Quốc, vốn bị chỉ trích là quá tập trung vào tuân thủ chứng nhận thay vì trách nhiệm thực tế.

Giáo sư Kim Seung-joo từ Đại học Hàn Quốc cho rằng các công ty cần coi an ninh mạng là một "rủi ro quản lý" chứ không chỉ là vấn đề kỹ thuật và Hàn Quốc cần chuyển sang mô hình quy định dựa trên hình phạt nặng hơn.

"Chỉ cần một sự cố rò rỉ cũng hủy hoại uy tín thương hiệu sau một đêm. Đó là lý do các nhà lãnh đạo toàn cầu tăng cường chi phí an ninh mạng theo năm", ông Kim giải thích.

Hiện tại, người dùng được khuyến cáo cảnh giác cao độ với các tin nhắn lừa đảo mạo danh Coupang liên quan đến "xác nhận thiệt hại" hay "bồi thường".

Chính phủ cũng đã tuyên bố giai đoạn giám sát cao độ kéo dài 3 tháng trên internet và dark web để ngăn chặn việc phát tán dữ liệu trái phép.

Theo Luật bảo vệ thông tin cá nhân, Coupang đối mặt với khoản phạt tối đa 3% doanh thu thường niên cùng các hình phạt khác, có thể lên tới 1 nghìn tỷ won.

(Theo Korea Herald)

Du Lam