Ủy ban Bảo vệ Thông tin Cá nhân Hàn Quốc (PIPC) ngày 8/4 cho biết đã phạt Christie’s (Christie, Manson & Woods, Ltd.) 280 triệu won, đồng thời áp dụng thêm mức phạt hành chính 7,2 triệu won do vi phạm quy định bảo vệ dữ liệu cá nhân. Doanh nghiệp này cũng bị yêu cầu công khai quyết định xử phạt trên website.

Theo PIPC, vụ việc bắt nguồn từ việc một nhân viên hỗ trợ kỹ thuật của Christie’s bị lừa qua hình thức cuộc gọi giả mạo (voice phishing), từ đó cấp quyền truy cập vào hệ thống xử lý dữ liệu cá nhân cho tin tặc. Sự cố khiến thông tin cá nhân của 620 thành viên tại Hàn Quốc bị rò rỉ.

Kết quả điều tra cho thấy khi nhận yêu cầu cấp lại mật khẩu truy cập hệ thống, Christie’s chỉ xác minh một số thông tin đơn giản như ngày gia nhập công ty và bộ phận làm việc, thay vì áp dụng các biện pháp xác thực an toàn như SMS hoặc email trước khi cấp lại mật khẩu.

PIPC cho biết tại thời điểm xảy ra vụ tấn công, Christie’s thậm chí còn không tuân thủ cả quy trình xác minh nội bộ nói trên. Công ty vẫn cấp lại mật khẩu và thay đổi số điện thoại dùng cho đăng nhập tài khoản thành số do tin tặc kiểm soát.

Cơ quan này cũng xác định Christie’s đã lưu trữ số căn cước công dân, số giấy phép lái xe và số hộ chiếu của khách hàng mà không mã hóa, vi phạm nghĩa vụ áp dụng biện pháp bảo vệ dữ liệu. Ngoài ra, công ty còn thu thập và lưu giữ số căn cước công dân của các thành viên người Hàn Quốc để xác minh danh tính dù không có căn cứ pháp lý cho việc thu thập và lưu trữ loại dữ liệu này.

Sau khi phát hiện vụ rò rỉ, Christie’s cũng báo cáo và thông báo sự cố sau hơn 72 giờ mà không đưa ra được lý do chính đáng, theo PIPC.

Trên cơ sở kết quả điều tra, PIPC cho biết đã áp dụng các biện pháp xử phạt và yêu cầu Christie’s đăng công khai quyết định xử phạt trên website doanh nghiệp. Cơ quan này nhấn mạnh các đơn vị xử lý dữ liệu phải thiết lập và quản lý chặt chẽ các biện pháp xác thực an toàn, nhằm ngăn người không có thẩm quyền dễ dàng truy cập, chiếm đoạt hoặc khai thác phương thức xác thực.