Thẻ tín dụng Lotte Card lộ thông tin của gần 3 triệu khách hàng

Lotte Card Co., Ltd. là một công ty thẻ tín dụng nổi tiếng của Hàn Quốc, có trụ sở chính đặt tại thủ đô Seoul. Công ty này có mối quan hệ đối tác với Lotte Capital và cả hai đều thuộc tập đoàn Lotte Corporation - chaebol lớn thứ 5 ở “xứ sở kim chi”.

Lotte Card được thành lập vào tháng 12 năm 2002, dựa trên giấy phép kinh doanh và kỹ thuật từ American Express và Lotte Department Store.

Công ty Lotte Card cho biết một cuộc tấn công mạng (hack) mới đây đã làm lộ dữ liệu cá nhân của 2,97 triệu người dùng, trở thành vụ rò rỉ dữ liệu lớn nhất trong năm nay.

Tổng Giám đốc điều hành (CEO) Lotte Card Cho Jwa-jin hôm thứ Năm (18/9) đã công bố kết quả điều tra của Cơ quan Giám sát Tài chính và Viện An ninh Tài chính Hàn Quốc, đây là thông báo chính thức đầu tiên kể từ khi các cơ quan quản lý bắt đầu điều tra vào ngày 2/9. Ông gửi lời xin lỗi tới khách hàng và nêu rõ phản ứng của công ty.

“Cuộc điều tra phát hiện hơn 200GB dữ liệu đã bị xâm phạm”, ông Cho cho biết, đồng thời nói thêm rằng “tổng số người dùng bị ảnh hưởng là 2,97 triệu khi vụ rò rỉ xảy ra trên máy chủ thanh toán trực tuyến của công ty”.

Thông tin bị đánh cắp bao gồm dữ liệu được tạo ra và thu thập trong quá trình giao dịch trực tuyến từ ngày 22/7 đến 27/8 thông qua máy chủ bị xâm nhập. Trong đó có thông tin kết nối, mã thanh toán ảo, số nhận dạng nội bộ và loại dịch vụ thanh toán nhanh được sử dụng.

Trong số những người bị ảnh hưởng, khoảng 280.000 khách hàng đối mặt với rủi ro trực tiếp bị sử dụng trái phép do số thẻ, ngày hết hạn và mã bảo mật của họ bị lộ khi đăng ký thông tin thanh toán trực tuyến hoặc qua các nền tảng thương mại điện tử, ông Cho cho biết.

Hiện tại chưa phát hiện giao dịch trái phép nào.

Lotte Card đã bắt đầu thông báo cho nhóm khách hàng có rủi ro cao nhất để tạm ngưng và cấp lại thẻ, trong đó khoảng 55.000 người đã hoàn tất quy trình tính đến thứ Tư (17/9).

2,69 triệu người dùng còn lại, với dữ liệu rò rỉ được xem là ít nhạy cảm hơn, không có nguy cơ bị lợi dụng bất hợp pháp và không cần cấp lại thẻ, theo ông Cho. Ông cũng nhấn mạnh rằng các giao dịch ngoại tuyến không bị ảnh hưởng.

Lotte Card là nhà phát hành thẻ lớn thứ 5 tại Hàn Quốc, phục vụ hơn 9,6 triệu khách hàng và xử lý khoảng 10% chi tiêu thẻ tín dụng hàng ngày của cả nước.

Khoảng 1/3 người dùng bị ảnh hưởng, với hơn 200GB dữ liệu bị đánh cắp - gấp hơn 100 lần so với 1,7GB được báo cáo ban đầu và hơn 20 lần lượng dữ liệu bị đánh cắp trong vụ tấn công vào máy chủ USIM của SK Telecom gần đây.

Công ty Lotte Card cho biết họ sẽ hoàn toàn chịu trách nhiệm. “Chúng tôi sẽ không để khách hàng gánh chịu bất kỳ khoản tổn thất nào”, ông Cho nói, đồng thời cam kết “ngay cả trong trường hợp thiệt hại thứ cấp, nếu được xác định có liên quan, chúng tôi sẽ bồi thường đầy đủ”.

Công ty sẽ cung cấp cho tất cả khách hàng bị ảnh hưởng kế hoạch trả góp không lãi suất trong 10 tháng cho đến cuối năm, dịch vụ giám sát miễn phí nguy cơ thiệt hại tài chính và đối với 280.000 người được ưu tiên cấp lại thẻ, miễn hoàn toàn phí thường niên năm sau.

Điều tra cho thấy quản lý an ninh mạng lỏng lẻo đã làm tình hình tồi tệ hơn. Tin tặc (hacker) đã quét máy chủ thanh toán để tìm lỗ hổng vào ngày 12/8, cài mã độc hôm sau và trích xuất 1,7GB dữ liệu vào ngày 14 và 15/8.

Sau đó, 200GB dữ liệu cá nhân khác bị đánh cắp từ ngày 15 - 27/8, khi tin tặc sử dụng một web shell có proxy trên máy chủ thanh toán để chạy giao thức truyền tệp và nhiều lần tải xuống tệp nhật ký giao dịch. Chỉ 56% trong số 2.700 tệp bị rò rỉ được mã hóa.

Lotte Card không phát hiện ra vụ xâm nhập cho đến khi kiểm tra định kỳ máy chủ vào ngày 26/8. Công ty chỉ xác nhận vụ việc vào ngày 31/8, tức là khi hệ thống đã bị phơi nhiễm gần 2 tuần. Thiệt hại có thể lớn hơn nữa nếu việc rò rỉ dữ liệu bị phát hiện muộn hơn.

Điều đáng lo ngại hơn là vụ việc có thể đã được ngăn chặn nhưng vẫn xảy ra do giám sát an ninh cẩu thả. Công ty Lotte Card cho biết lỗ hổng bị khai thác đã được phát hiện từ năm 2017. Dù bản vá bảo mật đã được phát hành trong năm đó, một máy chủ chuyên dùng cho dịch vụ thanh toán quốc tế ít được sử dụng đã bị bỏ sót, để lại lỗ hổng nghiêm trọng suốt nhiều năm.

CEO Lotte Card Cho Jwa-jin thừa nhận mức độ nghiêm trọng của tình hình và cam kết cải tổ toàn diện hệ thống công ty.

“Chúng tôi sẽ coi đây là cơ hội để cải cách tận gốc không chỉ an ninh mà cả toàn bộ khung quản trị của công ty”, ông nói.

Ông Cho cam kết đầu tư 110 tỷ won (khoảng 79,4 triệu USD) trong vòng 5 năm tới để tăng cường an ninh thông tin, nâng ngân sách an ninh lên mức mà ông gọi là “cao nhất ngành”, tương đương 15% tổng chi tiêu cho công nghệ thông tin.

Ông cũng hứa sẽ thiết lập các biện pháp phòng ngừa lâu dài bằng cách thành lập đội phản công nội bộ (red team) và cải tổ hạ tầng công nghệ thông tin với trọng tâm là bảo vệ người tiêu dùng. Đến cuối năm, công ty dự kiến sẽ thay thế máy chủ, nâng cấp hệ thống lõi và tiến hành cải tổ nhân sự trên toàn bộ công ty.

Ban đầu, Lotte Card đã báo cáo với Cơ quan Giám sát Tài chính Hàn Quốc (FSS) rằng khoảng 1,7 GB dữ liệu đã bị đánh cắp. Nhưng các cuộc kiểm tra thực địa cho thấy vụ rò rỉ nghiêm trọng hơn nhiều, có khả năng làm lộ thông tin của hàng triệu khách hàng chứ không chỉ hàng chục nghìn người như báo cáo trước đó.

FSS cho biết với văn phòng nghị sĩ Kang Min-kuk thuộc Đảng Sức mạnh Quốc dân rằng dữ liệu bị rò rỉ dường như bao gồm thông tin của thẻ và các yêu cầu thanh toán trực tuyến, làm gia tăng khả năng lộ thông tin cá nhân.

“Chúng tôi đang chuẩn bị công bố vụ việc và chỉ định danh sách khách hàng bị ảnh hưởng ngay khi cuộc điều tra xác nhận chi tiết”, một quan chức của Lotte Card cho biết.

Sự chú ý cũng tập trung vào việc liệu Lotte Card có công bố các biện pháp bồi thường bên cạnh những bước đi thực tế như thay thế thẻ tín dụng cho khách hàng bị ảnh hưởng hay không. Sau một sự cố tin tặc (hack) hồi đầu năm nay, SK Telecom đã bồi thường cho người dùng bằng cách tặng thêm một tháng ưu đãi qua hệ thống liên kết T Membership.

Tổng thống Hàn Quốc Lee Jae Myung cũng đã lên tiếng yêu cầu cơ quan quản lý chuẩn bị các biện pháp đối phó mạnh mẽ, bao gồm cả các khoản phạt nghiêm khắc, đối với những công ty nhiều lần xảy ra vi phạm an ninh.

“Những vụ hack (tấn công mạng) gần đây tại các công ty viễn thông và tài chính đã khiến công chúng vô cùng bất an”, ông Lee nói.

Các nhà quan sát trong ngành cũng đang theo dõi chặt chẽ MBK Partners, cổ đông lớn nhất của Lotte Card. Các nhà phê bình cho rằng công ty quỹ đầu tư tư nhân này quá tập trung vào tối đa hóa lợi nhuận mà bỏ bê việc đầu tư vào an ninh mạng.

Theo The Korea Herald/Korea JoongAng Daily