Rò rỉ data khủng của Coupang Hàn Quốc: Hồi chuông cảnh tỉnh cho Shopee, Zalo và các sàn thương mại điện tử Việt

780978ebab27353de6c5.webp


Ối giời ơi, chuyện này nghiêm trọng lắm đó các bạn ơi! Mặc dù Coupang (ông lớn thương mại điện tử Hàn Quốc) khẳng định là chỉ có tên, số điện thoại, địa chỉ, email và một số lịch sử đặt hàng bị lộ thôi, chứ thông tin thanh toán như thẻ tín dụng hay mật khẩu đăng nhập thì không bị leak, thậm chí còn bồi thường cho mỗi khách hàng trong số 33,7 triệu người bị "dính" một phiếu quà tặng 50.000 won (tầm gần 1 triệu đồng), bắt đầu từ ngày 15/1/2026... Nhưng các chuyên gia an toàn thông tin cảnh báo là hậu quả của nó nguy hiểm và ghê gớm hơn nhiều đó nha! Còn cộng đồng người dùng thì phản ứng gay gắt lắm luôn.

Đây có thể là một "case study" cực kỳ valuable cho những nền tảng chiếm thị phần lớn ở Việt Nam mình hiện giờ như Zalo hay Shopee nè...

Có nguy hại không, mặc dù thông tin thanh toán của khách hàng được cho là chưa bị xâm phạm?

d3b1bb6c4417c8962eee.jpg


Vụ Coupang này đang bị chỉ trích là nghiêm trọng hơn hẳn các vụ rò rỉ thông tin cá nhân trước đây tại các công ty viễn thông như SKT và KT, hay Lotte Card đấy, cả về quy mô lẫn khả năng giám sát thông tin cá nhân của công ty. Trong khi các vụ trước được cho là do yếu tố bên ngoài (như nhiễm malware do tấn công mạng hay femtocell bất hợp pháp), thì vụ Coupang này đang được bàn tán là có khả năng do một nhân viên nội bộ gây ra. ️ Nhà chức trách Hàn Quốc cho biết đến giờ vẫn chưa phát hiện phần mềm độc hại nào trên server của Coupang cả.

Liệu có thể khẳng định là thông tin cá nhân bị "lộ" của 33,7 triệu người dùng Coupang không bao gồm thông tin thanh toán không? Mặc dù từng thông tin riêng lẻ có thể chấp nhận được, nhưng vấn đề nằm ở sự kết hợp của nhiều thông tin đó các bạn ạ. Điều này đòi hỏi phải thận trọng hơn và cần mở rộng phạm vi mã hóa nữa.

Các chuyên gia an ninh thông tin warning rằng thông tin bị "lộ" trong vụ Coupang này có thể bị khai thác cho đủ thứ mục đích khác nhau, bao gồm cả:
• Các cuộc tấn công lừa đảo (phishing) tinh vi
• Suy luận thông tin nhạy cảm như lịch sử sức khỏe
• Các cuộc tấn công nhận dạng lại bằng cách kết hợp dữ liệu với thông tin thanh toán bị rò rỉ từ các công ty khác để xác định chủ sở hữu dữ liệu

4a48c503e2c244dcdb4d.jpg


Việc lộ thông tin cá nhân không chỉ đơn thuần là bất tiện mà còn là một rủi ro thực sự có thể dẫn đến thiệt hại tài chính trực tiếp đấy! SomeTrend, một công cụ phân tích big data chuyên sâu đã extract các từ khóa liên quan đến cảm xúc từ vụ rò rỉ data Coupang và Kim Beom Seok - CEO Coupang, từ ngày 1 đến 4/12, gồm: "lừa đảo trực tuyến", "lừa đảo qua điện thoại", "sốc", "bồi thường", "tội phạm", "lo lắng", "quản lý kém" và "mối đe dọa an ninh". Toàn từ ngữ nặng nề cả!

Coupang là nền tảng thương mại điện tử lớn nhất và có vị thế top đầu tại Hàn Quốc, thường được ví như "Amazon của Hàn Quốc", nổi tiếng với giao diện thân thiện, hệ thống Rocket Delivery siêu tốc (giao hàng trong ngày hoặc ngày hôm sau) và dịch vụ đa dạng gồm Coupang Eats (giao đồ ăn) và Coupang Play (streaming), mang đến trải nghiệm shopping online tiện lợi và nhanh chóng cho người tiêu dùng.

Ngày 29/11, Coupang xác nhận rằng thông tin cá nhân của 33,7 triệu người dùng đã bị rò rỉ - vượt xa con số 4.500 tài khoản được báo cáo ban đầu cho cơ quan chức năng vào ngày 20/11. Với vị thế thống lĩnh thị trường thương mại điện tử xứ Hàn, vụ lộ data cá nhân này không chỉ gây thiệt hại tài chính, gây lo ngại và ảnh hưởng sinh hoạt số của hàng triệu người dân Hàn Quốc mà toàn bộ sự việc tác động tương đương với gần 2/3 dân số Hàn Quốc luôn, còn lung lay nghiêm trọng hình ảnh của Coupang nữa. Công ty đối mặt với áp lực từ nhiều phía, từ điều tra pháp lý đến làn sóng tẩy chay của người tiêu dùng. Drama quá trời drama!

Kẻ xấu có thể xác định lối sống, thành viên gia đình và hơn thế nữa...

257f61625695d6219626.jpg


Ngày 25/12, Coupang thông báo đã xác định được cựu nhân viên chịu trách nhiệm làm lộ một lượng lớn thông tin cá nhân của khách hàng, đã thu hồi tất cả các thiết bị được sử dụng trong vụ việc và xác định không có bằng chứng về việc rò rỉ từ bên ngoài. Theo Coupang, cùng ngày, cựu nhân viên này đã dùng khóa bảo mật nội bộ bị đánh cắp để truy cập vào khoảng 33 triệu tài khoản khách hàng, chỉ lưu trữ một số thông tin limited, bao gồm tên, địa chỉ email, số điện thoại, địa chỉ nhà và một số thông tin đơn hàng của khoảng 3.000 tài khoản.

Theo tin tức của Yonhap, ngày 26/12, Phòng Điều tra Tội phạm mạng thuộc Sở Cảnh sát Thủ đô Seoul đang tiến hành phân tích pháp y chiếc laptop mà Coupang tự nguyện giao nộp vào ngày 21/12 và đang kiểm tra kỹ lưỡng data được lưu trữ. Cảnh sát đang điều tra xem liệu chiếc laptop có thực sự được nghi phạm sử dụng hay không và liệu nó có được dùng trong vụ án hay không, cũng như liệu data có bị thay đổi trong quá trình tự nguyện giao nộp hay không.

Hơn nữa, các hệ lụy pháp lý từ việc Coupang tự ý liên lạc với nghi phạm mà không tham khảo ý kiến cảnh sát và việc công bố đã sử dụng "thợ lặn" để thu hồi chiếc laptop - một bằng chứng quan trọng, đang được xem xét. Dùng cả thợ lặn nữa á? Kiểu gì vậy?

Các chuyên gia chỉ ra rằng nếu Coupang bị xác nhận đã can thiệp vào data, thì không chỉ tính hợp pháp của bằng chứng có thể bị đặt dấu hỏi, mà khả năng tiêu hủy bằng chứng cũng không thể loại trừ.

Lee Woong Hyeok, Giáo sư Khoa học cảnh sát tại ĐH Konkuk trả lời hãng tin Yonhap: "Nếu so sánh với một vụ án giết người, thì việc này giống như Coupang di chuyển thi thể đến một địa điểm khác khi cảnh sát không tìm thấy. Phương pháp tìm kiếm, thậm chí cả việc huy động 'thợ lặn', thật vô lý. Có vẻ như đó là một nỗ lực tuyệt vọng nhằm nhấn mạnh rằng tội ác do một người gây ra, và điều này có thể dẫn đến nghi ngờ về việc có đồng phạm nội bộ hoặc những điều khác cần che giấu".

Giữa những đồn đoán rằng một cuộc điều tra toàn diện về quy trình điều tra nội bộ của Coupang là điều không thể tránh khỏi, khả năng khám xét và thu giữ thêm tang vật cũng đang được thảo luận. Cảnh sát cũng có kế hoạch xem xét lại kết quả điều tra nội bộ của Coupang, vốn không tìm thấy bằng chứng rò rỉ thông tin khách hàng ra bên thứ ba.

Thông tin bị lộ trong vụ này bao gồm tên, số điện thoại, địa chỉ, địa chỉ email và một số lịch sử đặt hàng. Coupang tuyên bố rằng thông tin thanh toán như thẻ tín dụng hay thông tin đăng nhập không bị lộ. Tuy nhiên, việc kết hợp các thông tin này cho phép thực hiện các nỗ lực lừa đảo có chủ đích. Cũng có khả năng thông tin này được đối chiếu với thông tin bị đánh cắp từ các công ty khác, có khả năng liên kết thông tin thanh toán với hành vi trộm cắp... Nghe thôi đã thấy nguy hiểm rồi!

Chỉ riêng việc để lộ tên, thông tin liên hệ và địa chỉ đã tiềm ẩn rủi ro về mặt vật lý rồi nha. Thực tế là những thông tin này đã bị lộ rộng rãi trên nhiều dịch vụ liên quan đến lifestyle, không chỉ riêng Coupang. Tuy nhiên, việc "một phần lịch sử đặt hàng" cũng bị rò rỉ trong vụ việc này càng làm trầm trọng thêm rủi ro.

Lịch sử đặt hàng của user có thể bị lợi dụng để thực hiện các chiến dịch lừa đảo qua tin nhắn hoặc voice call được ngụy trang dưới dạng giao hàng của dịch vụ chuyển phát nhanh các mặt hàng thường xuyên đặt mua. Nếu user nhận được thông báo cho biết món hàng đã đặt trước đó đã đến, họ có thể dễ dàng mở cửa hoặc click vào link độc hại trong tin nhắn.

Hơn nữa, các chiến dịch lừa đảo có chủ đích chính xác có thể được thiết kế. Phân tích các mặt hàng được đặt mua thường xuyên có thể tiết lộ thông tin về lifestyle, cấu trúc gia đình và thậm chí cả mức thu nhập của một người. Ví dụ, một người dùng thường xuyên đặt mua các mặt hàng như tã bỉm có thể được xác định là đang nuôi con.

Thông tin cá nhân nhạy cảm hơn cũng có thể được suy ra từ lịch sử mua hàng. Ví dụ, việc mua đi mua lại các thực phẩm bổ sung dinh dưỡng liên quan đến các triệu chứng cụ thể có thể được dùng để suy ra nhu cầu liên quan đến sức khỏe của user.

Một chuyên gia bảo mật khuyên rằng: "Người tiêu dùng nên cảnh giác khi click vào các URL trong tin nhắn văn bản liên quan đến việc giao hàng từ các số không xác định. Họ nên đặc biệt nghi ngờ các cuộc gọi hoặc tin nhắn yêu cầu mở cửa, tự xưng là về việc nhận hàng, gửi lại, thu hồi hoặc đổi trả mặt hàng đã mua trước đó".

Từ vụ việc này, người dùng Việt Nam có lẽ cũng nên nhìn lại và quan tâm hơn đến vấn đề bảo mật thông tin cá nhân khi tham gia các nền tảng thương mại điện tử, đặc biệt là các nền tảng chiếm thị phần lớn ở Việt Nam như Shopee, Lazada, hay thậm chí là Zalo với các động thái mới đây.

Theo nội dung điều khoản được update, Zalo yêu cầu người dùng chấp nhận việc thu thập nhiều loại thông tin cá nhân, bao gồm số điện thoại, họ tên, giới tính, mối quan hệ gia đình và thông tin căn cước công dân. Việc chấp nhận điều khoản được đặt trong mốc thời gian cụ thể, nếu không tài khoản có thể bị hạn chế hoặc ngừng sử dụng. Ủa, nghe hơi creepy ha?

(Còn tiếp)

Kỳ II: Liên hệ Việt Nam: Chế tài pháp luật nào cho việc bồi thường khi người dùng bị ảnh hưởng từ các vụ lọt lộ thông tin cá nhân? Các công ty hay nền tảng trực tuyến lớn quan tâm bảo vệ an toàn thông tin khách hàng như thế nào?

9ced85328e9bf4099bc2.jpg


dd0fb8108c50c93710c4.webp


16a3b6fe0cdda5b41575.jpg


d37bd38060681f9cf435.jpg


Nguồn: svvn.tienphong.vn
 
Back
Top