Vụ rò rỉ dữ liệu làm rung chuyển “Amazon của Hàn Quốc”

Vụ rò rỉ dữ liệu làm rung chuyển “Amazon của Hàn Quốc”

Coupang – được mệnh danh là “Amazon của Hàn Quốc” và nổi tiếng với dịch vụ giao hàng qua đêm – đang đối mặt với làn sóng chỉ trích sau vụ rò rỉ dữ liệu tồi tệ nhất lịch sử nước này, ảnh hưởng đến thông tin cá nhân của gần 2/3 dân số Hàn Quốc.

CEO Coupang Park Dae-jun đã từ chức tuần này

Coupang thừa nhận vụ tấn công mạng đã bắt đầu từ tháng 6 thông qua các máy chủ nước ngoài của công ty, nhưng họ chỉ phát hiện ra vào tháng 11. Thông tin cá nhân của hơn 33 triệu người dùng hiện tại và người dùng cũ đã bị lộ, bao gồm tên, số điện thoại, địa chỉ email và địa chỉ giao hàng.

CEO Park Dae-jun đã từ chức tuần này sau làn sóng chỉ trích, nhưng nhà sáng lập gốc Hàn-Mỹ Bom Kim – với vai trò chủ tịch – vẫn chưa xuất hiện để đưa ra lời xin lỗi nào.

Tổng thống Lee Jae Myung gọi việc Coupang – nhà bán lẻ trực tuyến lớn nhất Hàn Quốc với thị phần 22.7% – không phát hiện vụ vi phạm trong suốt 5 tháng là “đáng kinh ngạc”. Ông coi đây là lời cảnh tỉnh về nhu cầu tăng cường an ninh mạng.

“Việc không quan tâm đúng mức đến bảo vệ dữ liệu cá nhân – tài sản chủ chốt trong thời đại AI và số hóa – phải được thay đổi hoàn toàn”, Tổng thống Lee tuyên bố tuần trước.

Coupang là nhà bán lẻ trực tuyến lớn nhất Hàn Quốc, nắm 22.7% thị phần vào năm ngoái, theo Bộ Dữ liệu và Thống kê

Đế chế thương mại điện tử Hàn Quốc

Coupang vẫn chưa làm rõ được đầy đủ nguyên nhân và phạm vi thực sự của vụ hack. Công ty hiện có 25 triệu người dùng và cung cấp đa dạng dịch vụ từ giao đồ ăn đến streaming.

Khởi nghiệp năm 2010 như một website ưu đãi mua chung, Coupang đã có bước phát triển vượt bậc khi doanh thu tăng hơn 30 lần trong thập kỷ qua, đạt 30.2 tỷ USD năm ngoái. Công ty từng nhận khoản đầu tư 3 tỷ USD từ SoftBank năm 2015 và niêm yết thành công tại New York năm 2021 khi đại dịch COVID-19 thúc đẩy tăng trưởng mạnh mẽ.

Tại phiên điều trần trước Quốc hội diễn ra một tuần trước khi từ chức, cựu CEO Park Dae-jun tiết lộ thủ phạm đứng sau cuộc tấn công là một cựu lập trình viên của công ty. Ông xác nhận người này là công dân Trung Quốc từng phụ trách các công việc xác thực tại Coupang trước khi hợp đồng lao động kết thúc vào tháng 12 năm ngoái và hiện được cho là đã trở về Trung Quốc.

Giám đốc bảo mật thông tin Brett Matthes làm chứng tại phiên điều trần rằng cựu nhân viên này có “quyền truy cập đặc biệt” trong hệ thống công ty, cho phép tiếp cận khóa mã hóa riêng. Nhờ đó, người này có thể tạo ra mã thông báo giả để giả danh khách hàng và thực hiện các hành vi truy cập trái phép.

Thành viên Quốc hội Choi Min-hee cho biết trong tuyên bố rằng cựu nhân viên đã lợi dụng khóa mã hóa – đáng lo ngại là vẫn còn hoạt động sau khi anh ta rời công ty – để truy cập bất hợp pháp thông tin khách hàng. Cô nhận được thông tin này trực tiếp từ Coupang.

“Như chìa khóa nhà của cả nước bị đánh cắp”

Mặc dù Coupang khẳng định thông tin đăng nhập của người dùng, số thẻ tín dụng và chi tiết thanh toán không bị ảnh hưởng bởi vụ hack, các quan chức và nhà lập pháp vẫn cảnh báo rằng công dân có thể trở thành mục tiêu dễ dàng của các cuộc tấn công lừa đảo có mục tiêu bằng cách sử dụng thông tin cá nhân bị rò rỉ.

“Tình cảnh này giống như chìa khóa nhà của hầu hết mọi người ở Hàn Quốc đều bị đánh cắp”, thành viên Quốc hội Choi Hyung-du ví von.

Coupang cho biết thông tin đăng nhập của người dùng, số thẻ tín dụng và chi tiết thanh toán không bị ảnh hưởng bởi vụ tấn công mạng

Trong tuyên bố gửi Financial Times, Coupang cho biết rằng ngay sau khi phát hiện vi phạm vào ngày 18/11, họ đã lập tức báo cáo cho chính quyền, chặn tuyến đường truy cập trái phép và tăng cường các biện pháp giám sát nội bộ. Công ty cam kết sẽ “tăng cường đáng kể bảo mật thông tin để ngăn chặn tái diễn và sẽ làm mọi thứ có thể để khôi phục lòng tin của khách hàng”.

Tuy nhiên, các nhà lập pháp đã chỉ trích kịch liệt Coupang về việc thiếu thận trọng nghiêm trọng và phản ứng chậm chạp đến mức không thể chấp nhận. Họ yêu cầu người sáng lập kiêm chủ tịch Bom Kim phải đứng ra xin lỗi công khai. Ông đã được triệu tập đến phiên điều trần quốc hội thứ hai vào tuần tới.

2025 – Năm thảm họa an ninh mạng của Hàn Quốc

Các chuyên gia an ninh mạng nhấn mạnh Coupang không phải trường hợp duy nhất. Hàng loạt vụ việc nghiêm trọng khác đã biến 2025 thành năm tồi tệ nhất của Hàn Quốc về rò rỉ dữ liệu quy mô lớn.

SK Telecom, nhà mạng di động lớn nhất đất nước, bị phạt 97 triệu USD năm nay vì để lộ thông tin 25 triệu khách hàng. Các đối thủ như công ty viễn thông KT và nhà cung cấp thẻ tín dụng Lotte Card cũng báo cáo những vụ vi phạm dữ liệu nghiêm trọng.

Đặc biệt, Upbit – sàn giao dịch tiền mã hóa thống trị Hàn Quốc – bị hack tháng trước, mất 44.5 tỷ Won (30 triệu USD) tiền ảo.

Lee Chan-jin, Thống đốc Dịch vụ Giám sát Tài chính, thừa nhận một cách thẳng thắn rằng công ty Hàn Quốc vẫn thiếu đầu tư vào lĩnh vực an ninh mạng so với các quốc gia phát triển như Mỹ.

Ông Simon Choi, Giám đốc Công nghệ startup an ninh mạng StealthMole, khuyến nghị doanh nghiệp nên coi bảo vệ dữ liệu như bảo hiểm cần thiết. “Nếu nói chuyện với sếp các công ty lớn, họ thường nói có quá nhiều vấn đề trực tiếp cần xử lý, nên an ninh mạng thường bị đẩy xuống hàng thứ yếu”, ông giải thích.

“Họ thường vội đầu tư nhiều hơn khi sự cố lớn đã xảy ra, nhưng thực tế phòng ngừa luôn quan trọng hơn khắc phục hậu quả”, ông Choi nhấn mạnh.

Trong cuộc họp với quan chức cấp cao, ông Kang Hoon-sik, Chánh văn phòng Tổng thống, nhận định các vụ rò rỉ dữ liệu lớn những năm gần đây cho thấy “lỗ hổng cấu trúc” nghiêm trọng trong hệ thống bảo vệ thông tin cá nhân Hàn Quốc. Ông coi vụ Coupang là cơ hội quan trọng để cải thiện toàn diện hệ thống bồi thường trừng phạt.

Các nhà lập pháp kêu gọi áp dụng mức phạt nghiêm khắc với Coupang – có doanh số 41 ngàn tỷ Won năm ngoái – bằng cách yêu cầu công ty chi trả 1.2 ngàn tỷ Won tiền phạt. Mức phạt này theo luật hiện hành cho phép phạt các công ty không bảo vệ đầy đủ dữ liệu lên tới 3% tổng doanh thu.

Luật Bảo vệ Thông tin Cá nhân Hàn Quốc cũng cho phép bồi thường trừng phạt tới năm lần thiệt hại thực tế khi dữ liệu cá nhân bị rò rỉ do cố ý hoặc cẩu thả nghiêm trọng. Tuy nhiên, điều khoản này – ban hành năm 2015 sau các vụ rò rỉ ở công ty thẻ tín dụng – cùng quy tắc phạt 3% doanh thu hiếm khi được thực thi nghiêm túc.

“Công ty Mỹ phải chi trả thiệt hại khổng lồ nếu thua kiện tập thể về vi phạm dữ liệu”, Giáo sư Wi Jong-hyun (Đại học Chung-Ang, Seoul) phân tích. “Nhưng công ty Hàn Quốc không lo sợ vì hình phạt quá yếu và có rất ít vụ kiện tập thể”.

Các chuyên gia an ninh mạng cho biết một loạt vụ việc đình đám đã góp phần vào điều mà họ dự báo sẽ là năm tồi tệ nhất của Hàn Quốc về các vụ rò rỉ dữ liệu quy mô lớn

Theo IGAWorks, vụ rò rỉ dữ liệu khiến người dùng hoạt động hàng ngày của Coupang giảm khoảng 2 triệu, từ 18 triệu xuống 16 triệu.

Tuy nhiên, JPMorgan dự báo khách hàng rời bỏ nền tảng sẽ ở mức “hạn chế”. Họ dẫn chứng “vị thế thị trường vô song” của Coupang và “khách hàng Hàn Quốc ít nhạy cảm với vi phạm dữ liệu hơn” so với người tiêu dùng các khu vực khác.

Theo Bộ Dữ liệu và Thống kê, Coupang vẫn duy trì vị thế thống trị với 22.7% thị phần thương mại điện tử trong nước năm ngoái, tiếp theo là Naver với 20.7%.

Bất chấp dự báo về tác động hạn chế, nhiều khách hàng đã bày tỏ thất vọng sâu sắc. Bà Chung Da-hye, nhân viên văn phòng 45 tuổi tại Seoul, cho biết gần đây đã hủy gói thành viên trả phí để phản đối cách xử lý sự cố của Coupang.

“Tôi rất yêu thích dịch vụ giao hàng sáng sớm thực phẩm tươi của Coupang, nhưng cảm thấy vô cùng thất vọng với phản ứng của công ty về vụ vi phạm dữ liệu này,” bà chia sẻ. “Họ kiếm tiền tại Hàn Quốc nhưng ông Bom Kim không xuất hiện xin lỗi. Không ai chịu trách nhiệm cả”.

Vũ Hạo