CJ Group xác nhận thông tin cá nhân của nhân viên đã bị phát tán qua Telegram và cho biết đang chuẩn bị trình báo cơ quan điều tra cùng các cơ quan liên quan.

Nguồn tin trong ngành cho biết ngày 18/5, tên, chức danh, số điện thoại di động và ảnh của khoảng 330 nữ nhân viên CJ Group đã bị đăng tải trên một kênh Telegram công khai được lập từ tháng 5/2023. Phần lớn dữ liệu được cho là thuộc về nhân viên đang làm việc, ngoài một số trường hợp đã nghỉ việc. Kênh này hiện có khoảng 2.800 thành viên. Ngoài ra, một kênh riêng tư khác cũng được cho là đang tồn tại.

Một số bài đăng còn đính kèm URL truy cập intranet. Một phần thông tin chi tiết như địa điểm làm việc và thời gian làm việc cũng bị lộ.

Theo đánh giá ban đầu của CJ Group, đây có thể không phải là một vụ tấn công từ bên ngoài mà nhiều khả năng xuất phát từ nội bộ. Tập đoàn cũng không loại trừ khả năng người làm lộ dữ liệu đã tra cứu và thu thập thông tin trên intranet dựa trên ID nhân viên.

Hiện doanh nghiệp đang chuẩn bị báo cáo vụ việc lên cơ quan điều tra và các cơ quan liên quan. Theo Điều 34 của Luật Bảo vệ thông tin cá nhân, khi xảy ra sự cố lộ lọt dữ liệu của từ 1.000 người trở lên, tổ chức phải báo cáo cho Ủy ban Bảo vệ thông tin cá nhân hoặc Cơ quan Internet và An ninh Hàn Quốc (KISA) trong vòng 72 giờ kể từ thời điểm phát hiện.

Việc thông tin nhân viên bị phát tán suốt 3 năm nhưng không được phát hiện cũng làm dấy lên chỉ trích về lỗ hổng trong kiểm soát nội bộ. Điều 30 của nghị định hướng dẫn Luật Bảo vệ thông tin cá nhân quy định doanh nghiệp phải áp dụng các biện pháp an toàn, bao gồm hạn chế quyền truy cập vào hệ thống xử lý dữ liệu cá nhân và phát hiện truy cập bất thường. Nếu vi phạm, doanh nghiệp có thể bị phạt tới 3% tổng doanh thu.

Đại diện CJ Group cho biết công ty đang làm rõ nguyên nhân chính xác và quá trình thông tin bị phát tán, đồng thời chuẩn bị trình báo cơ quan điều tra và các cơ quan liên quan. Theo vị này, tập đoàn nhìn nhận vụ việc là nghiêm trọng và sẽ nỗ lực tối đa để ngăn chặn thiệt hại.