10 vụ vi phạm dữ liệu đáng chú ý đầu thế kỷ 21
10. Yahoo (2013-2014)
Tháng 9/2016, Yahoo đã thông báo rằng, vào năm 2014, họ đã là nạn nhân của vụ vi phạm dữ liệu lớn nhất trong lịch sử tại thời điểm đó, trong khi đàm phán bán hàng với Verizon về dịch vụ trang web cốt lõi của mình. Điều này đã khiến Yahoo phải bán lại mảng kinh doanh Internet của mình cho Verizon với giá 350 triệu USD.
Những kẻ tấn công mà Yahoo cho rằng là các yếu tố được nhà nước tài trợ đã đánh cắp dữ liệu của người dùng bao gồm: tên, địa chỉ email, số điện thoại, ngày sinh, mật khẩu và các câu hỏi bảo mật đã được mã hóa.
Sau đó, vào tháng 12/2016, Yahoo lại tiết lộ thêm một vụ vi phạm của đối tượng tấn công khác, được cho là bên thứ ba không được ủy quyền. Theo Yahoo, những thông tin người dùng bị đánh cắp bao gồm địa chỉ email, tên, ngày sinh và mật khẩu của 1 tỷ tài khoản người dùng. Do thiệt hại nặng nề về danh tiếng, Yahoo sau đó đã phải đổi tên thành “Altaba Inc”.
9. Target (2013)
Nhà bán lẻ Target đã báo cáo một vụ vi phạm dữ liệu vào tháng 12/2013 và tuyên bố rằng, số thẻ tín dụng, thẻ ghi nợ cũng như tên đầy đủ, địa chỉ, email và số điện thoại của khoảng 40 triệu người tiêu dùng đã bị đánh cắp, sau khi tin tặc truy cập vào đầu đọc thẻ thanh toán điểm bán hàng của Target từ nhà cung cấp HVAC bên thứ ba.
CIO và Giám đốc điều hành của Target sau đó đều từ chức. Công ty ước tính vụ vi phạm đã khiến họ thiệt hại ít nhất 162 triệu USD.
8. Uber (2016)
Uber cho biết, tên, địa chỉ email, số điện thoại di động của 57 triệu người dùng ứng dụng Uber và số giấy phép lái xe của 600.000 tài xế Uber đã bị tin tặc đánh cắp vào năm 2016. Cách Uber xử lý cuộc khủng hoảng đã khiến cuộc tấn công mạng này trở nên đặc biệt đáng chú ý. Uber đã phải đợi gần một năm mới chính thức thừa nhận bị tin tặc xâm nhập, sau khi đề nghị chi trả 100.000 USD để dữ liệu được xóa theo cách không thể xác minh được.
Vào thời điểm này, Uber tuyên bố đó là một khoản phí tiền thưởng lỗi, tuy nhiên ngay sau khi tin tức này được công bố, họ đã sa thải CSO. Sai lầm của Uber khi xử lý khủng hoảng bằng hình thức thương lượng với tin tặc số tiền 100.000 USD để làm giảm tác động của vi phạm này đã ảnh hưởng lớn tới danh tiếng của công ty.
7. Capital One (2019)
Là một trong những ngân hàng lớn nhất ở Mỹ, Capital One đã phải trải qua một vụ vi phạm dữ liệu lớn vào tháng 3/2019, làm lộ thông tin cá nhân của gần 106 triệu khách hàng và ứng viên của ngân hàng.
Đây là kết quả của việc một tin tặc lấy được quyền truy cập vào thông tin cá nhân liên quan đến các ứng dụng thẻ tín dụng từ năm 2005 đến đầu năm 2019. Tin tặc được tiết lộ là Paige Thompson, cựu kỹ sư phần mềm cho Amazon Web Services, công ty lưu trữ đám mây mà Capital One đang sử dụng. Theo Bộ Tư pháp Hoa Kỳ, Thompson đã đột nhập vào máy chủ và có quyền truy cập vào 140.000 số an sinh xã hội và 80.000 số tài khoản ngân hàng.
Capital One đã khắc phục sự cố ngay lập tức, những người có thông tin bị ảnh hưởng được cung cấp bảo vệ nhận dạng và giám sát tín dụng miễn phí. Morgan Stanley ước tính, Capital One có thể phải đối mặt với mức án phạt từ 100 đến 500 triệu USD.
Do vi phạm được công bố rộng rãi, Michael Johnson, cựu Giám đốc An ninh thông tin của Capital One đã bị giáng chức 4 tháng sau khi sự cố rò rỉ dữ liệu xảy ra.
6. Equifax (2017)
Equifax - một trong những văn phòng tín dụng lớn nhất của Mỹ đã xác nhận rằng, vào tháng 9/2017, lỗ hổng trong ứng dụng trên nền tảng họ sử dụng góp phần gây ra vụ rò rỉ dữ liệu có thể ảnh hưởng đến khoảng 40% dân số Mỹ.
Vi phạm được phát hiện vào ngày 29/7/2017, song Equifax cho rằng việc rò rỉ dữ liệu đã thực sự bắt đầu vào giữa tháng 3/2017. Thông tin cá nhân của 143 triệu người tiêu dùng (bao gồm số an sinh xã hội, ngày sinh, địa chỉ và cả số bằng lái xe) đã bị vi phạm. Được biết, 209.000 khách hàng đã bị lộ thông tin thẻ tín dụng.
Equifax đã thất bại vì một số lỗi về an toàn và sự phản hồi. Chủ yếu trong số đó là do lỗ hổng của ứng dụng cho phép những kẻ tấn công truy cập không được vá kịp thời. Việc phân đoạn hệ thống không phù hợp đã tạo điều kiện thuận lợi cho những kẻ tấn công di chuyển bên trong, chúng có thể truy cập vào các phần tử khác của hệ thống một cách dễ dàng.
5. eBay (2014)
EBay là nạn nhân của vụ vi phạm nghiêm trọng về mật khẩu được mã hóa từ tháng 2 đến tháng 3/2014. Điều này đã khiến eBay buộc phải đưa ra yêu cầu bắt buộc tất cả 145 triệu người dùng của mình phải đặt lại mật khẩu của họ. Để kiểm soát bộ nhớ cache thông tin của người dùng, những kẻ tấn công đã sử dụng các mật khẩu của nhân viên Ebay mà chúng thu thập được.
Thông tin bị xâm nhập chứa mật khẩu được mã hóa và các hồ sơ nhạy cảm khác, bao gồm tên, địa chỉ email, địa chỉ, số điện thoại và ngày sinh. Sau một cuộc điều tra kéo dài một tháng của eBay, vụ vi phạm đã được tiết lộ vào tháng 5/2014. Điều độc đáo và may mắn về vụ việc này là hầu như không có bất kỳ ảnh hưởng lớn nào. CEO của eBay cho biết, họ chỉ nhận thấy có một sự suy giảm nhỏ trong hoạt động của người dùng.
4. Adobe (2013)
Như blogger bảo mật Brian Krebs đã chia sẻ vào đầu tháng 10/2013, Adobe ban đầu thông báo rằng tin tặc đã đánh cắp khoảng 3 triệu thông tin thẻ tín dụng tiêu dùng được mã hóa cùng với chi tiết đăng nhập của một lượng tài khoản người dùng chưa được xác định. Tuy nhiên, cuối tháng đó, Adobe đã nâng ước tính đó lên 38 triệu người dùng đang hoạt động bao gồm ID và mật khẩu được mã hóa. Krebs báo cáo rằng, một tệp tin chứa hơn 150 triệu tên người dùng Adobe và các mật khẩu đã bị đánh cắp đã được đăng lên chỉ vài ngày trước đó.
Một thỏa thuận vào tháng 8/2015 đã kêu gọi Adobe bồi thường 1,1 triệu USD chi phí tòa án và một khoản tiền không xác định cho khách hàng để giải quyết các khoản phí vi phạm Đạo luật Hồ sơ khách hàng và các thói quen phân biệt thị trường. Số tiền phải trả cho khách hàng được chia sẻ lên tới 1 triệu USD vào tháng 11/2016.
3. Marriott International (2014)
Vào tháng 11/2018, Tập đoàn Marriott International tiết lộ rằng tin tặc đã đánh cắp khoảng 500 triệu dữ liệu khách hàng. Vụ vi phạm ban đầu xảy ra trên hệ thống hỗ trợ thương hiệu của Starwood Hotel bắt đầu từ năm 2014. Khi Marriott mua Starwood vào năm 2016, đáng ngạc nhiên là thủ phạm vẫn ẩn náu trong mạng lưới mà không được tìm thấy cho đến tháng 9/2018. Tin tặc đã đánh cắp thông tin chi tiết liên lạc, số hộ chiếu, số khách hàng ưu tiên của Starwood, chi tiết du lịch và các thông tin nhạy cảm khác của khách hàng.
Người ta cho rằng số thẻ tín dụng và ngày hết hạn của hơn 100 triệu khách hàng đã bị đánh cắp, nhưng Marriott không chắc chắn liệu tin tặc có thể giải mã được số thẻ tín dụng này hay không. Tờ New York Times sau đó đã báo cáo, vụ tấn công cuối cùng đã truy tìm ra được lý do là một cơ quan an ninh Trung Quốc đang cố gắng thu thập dữ liệu về dân thường Hoa Kỳ.
2. Facebook (2019)
Facebook đã cho phép hai ứng dụng truy cập vào thông tin cá nhân của người dùng trên các máy chủ không an toàn mà không áp dụng các biện pháp bảo mật. Sau đó, Facebook và Amazon đã phải làm việc cùng nhau để xóa cả hai bộ dữ liệu. Hơn 419 triệu số điện thoại kết nối với hồ sơ Facebook đã được xác định kỹ thuật số thông qua các khu vực địa lý vào tháng 9/2019, bao gồm: 133 triệu hồ sơ trên Facebook đặt tại Hoa Kỳ, 18 triệu ở Anh và trong đó có 50 triệu hồ sơ ở Việt Nam.
Sự kiện này khiến người dùng có nguy cơ bị các cuộc gọi spam, thậm chí họ phải chuyển đổi sim do tin tặc có thể thay đổi mật khẩu của người dùng khi chúng có số điện thoại của họ.
1. WhatsApp (2019)
WhatsApp đã phải hứng chịu một cuộc tấn công mạng quy mô lớn vào ngày 14/5/2019, mạng nhắn tin của WhatsApp đã bị xâm nhập để phát tán phần mềm độc hại tới vô số thiết bị di động của người dùng. The Guardian báo cáo rằng, vụ tấn công này đã ảnh hưởng đến 1,5 tỷ người dùng và hành vi vi phạm này được coi là một sự vi phạm đáng kể các quyền. Tháng 10/2019, WhatsApp đã đệ đơn lên tòa án Hoa Kỳ, quy kết cuộc tấn công là do công ty phần mềm gián điệp NSO Group của Israel thực hiện. Phần mềm Cyber Weapons của NSO có khả năng thu thập dữ liệu cá nhân và bí mật từ một thiết bị cụ thể, chẳng hạn như: đọc tin nhắn, duyệt danh bạ, truy cập máy ảnh và micrô.
Khó có thể nhận ra vi phạm dữ liệu, việc sửa chữa cũng gây tốn kém và tổn hại không nhỏ đến danh tiếng của các tổ chức/doanh nghiệp. Thậm chí, một số tổ chức/doanh nghiệp còn không thể khôi phục lại được. Tuy nhiên, các tổ chức/doanh nghiệp có thể xem xét tầm quan trọng của dữ liệu và áp dụng một số chiến lược kiểm soát rủi ro để xác định, đồng thời lựa chọn phương thức giải quyết sự cố sau khi vi phạm dữ liệu xảy ra để giúp giảm thiểu hậu quả của hành vi xâm phạm.
ThS. Phạm Bình Dũng, Học viện Chính trị khu vực I