Nền tảng OTT Tving của Hàn Quốc vừa xảy ra sự cố rò rỉ dữ liệu cá nhân. Đáng chú ý, dữ liệu bị lộ không chỉ gồm thông tin tài khoản thông thường mà còn có cả CI, loại mã định danh được ví như “căn cước số”, làm gia tăng lo ngại về nguy cơ mạo danh và các thiệt hại thứ cấp.

Ngày 4/6, Tving và các nguồn tin trong ngành cho biết một hacker chưa rõ danh tính đã truy cập trái phép vào cơ sở dữ liệu người dùng của nền tảng này và đưa dữ liệu khách hàng ra ngoài hệ thống. Thông tin bị lộ gồm ID thành viên, ngày sinh, giới tính, số điện thoại, email, tài khoản nhận hoàn tiền, mật khẩu, CI và DI.

Theo Tving, công ty phát hiện sự cố từ ngày 1/6 và đã báo cáo lên cơ quan chức năng. Doanh nghiệp cũng triển khai các biện pháp khẩn cấp như chặn truy cập từ IP của kẻ tấn công, điều chỉnh chính sách kiểm soát truy cập trên môi trường đám mây và tăng cường giám sát truy cập cơ sở dữ liệu.

Giới an ninh mạng đặc biệt lo ngại về việc CI bị lộ. Đây là mã định danh duy nhất được sử dụng để nhận diện một cá nhân trong quá trình xác thực danh tính trực tuyến trên nhiều dịch vụ khác nhau.

Do không trực tiếp dùng số đăng ký cư trú mà vẫn có thể liên kết cùng một người dùng giữa nhiều nền tảng, CI thường được gọi là “căn cước số”. Vấn đề là loại dữ liệu này không thể dễ dàng thay đổi như mật khẩu, nên một khi bị lộ, rủi ro có thể kéo dài.

Các chuyên gia cho rằng vụ việc lần này có thể vượt ra ngoài phạm vi rò rỉ thông tin tài khoản đơn thuần. Bản thân CI chưa đủ để ngay lập tức thực hiện các hành vi như thanh toán phí dịch vụ hay mở tài khoản tài chính, nhưng khi bị kết hợp với các dữ liệu khác, nó có thể bị lợi dụng để nhận diện, theo dõi hoặc mạo danh người dùng.

Giáo sư Hwang Seok-jin, thuộc Trường Sau đại học Quốc tế về An toàn thông tin của Đại học Dongguk, cho biết CI là giá trị định danh do tổ chức xác thực danh tính tạo ra dựa trên thông tin tên thật, nhằm kiểm tra liệu một người có phải là cùng một cá nhân trên các website hoặc dịch vụ khác nhau hay không.

Theo ông, khi kết hợp với tên, số điện thoại và email, CI có thể làm tăng đáng kể nguy cơ mạo danh, nên được xem là dữ liệu đặc biệt nhạy cảm. Từ góc độ kẻ tấn công, việc ghép nối thêm dữ liệu cũng có thể khiến các hành vi như lừa đảo qua điện thoại hoặc smishing chuyển từ hình thức phát tán đại trà sang tấn công có chủ đích. Ông cho rằng cần làm rõ kỹ diễn biến vụ việc cũng như quy mô thiệt hại thực tế.

Vụ việc hiện được phía Hàn Quốc đánh giá là nghiêm trọng. Bộ Khoa học và ICT Hàn Quốc cùng Cơ quan Internet và An ninh Hàn Quốc (KISA) cho biết sau khi tiếp nhận báo cáo từ Tving hôm 1/6, cơ quan chức năng đã yêu cầu bảo toàn các tài liệu liên quan và bắt đầu điều tra nguyên nhân cũng như phạm vi thiệt hại.

Đến ngày 3/6, các bên đã triệu tập khẩn cấp hội đồng thẩm định điều tra, đồng thời thành lập đoàn điều tra chung giữa khu vực công và tư nhân. Nhóm này gồm đại diện Bộ Khoa học và ICT Hàn Quốc, KISA cùng các chuyên gia trong lĩnh vực pháp chứng số và dịch vụ đám mây.

Đoàn điều tra sẽ tập trung rà soát đường xâm nhập của hacker, quy mô dữ liệu bị lộ và mức độ tuân thủ các biện pháp bảo vệ kỹ thuật, quản trị tại Tving. Một trong những nội dung được chú ý là cách doanh nghiệp lưu trữ, quản lý dữ liệu rủi ro cao như CI, cũng như việc mã hóa và kiểm soát quyền truy cập có được thực hiện đầy đủ hay không.

Ủy ban Bảo vệ thông tin cá nhân Hàn Quốc cũng đã vào cuộc. Cơ quan này cho biết đã tiếp nhận báo cáo rò rỉ từ Tving vào 2 giờ sáng ngày 3/6 và chính thức mở điều tra từ ngày 4/6.

Ủy ban dự kiến yêu cầu cung cấp tài liệu và tiến hành kiểm tra tại chỗ để làm rõ diễn biến sự cố, quy mô thiệt hại, việc thực hiện nghĩa vụ áp dụng biện pháp an toàn, nghĩa vụ thông báo và báo cáo sự cố, cũng như mức độ tuân thủ Luật Bảo vệ thông tin cá nhân. Cơ quan này nhấn mạnh sẽ xử lý nghiêm nếu phát hiện vi phạm.

Ủy ban Truyền thông Phát thanh và Truyền thông Hàn Quốc cũng bắt đầu kiểm tra khẩn cấp đối với Tving từ ngày 4/6.

Trước đó, việc rò rỉ CI từng trở thành tâm điểm trong vụ tấn công nhằm vào Lotte Card. Tháng 4 năm nay, Ủy ban Truyền thông Phát thanh và Truyền thông Hàn Quốc kết luận Lotte Card vi phạm nghĩa vụ bảo đảm an toàn đối với CI, đồng thời ra quyết định phạt hành chính 11,25 triệu won và yêu cầu khắc phục.

Trong vụ Lotte Card, khoảng 1,29 triệu CI đã bị lộ. Trong khi đó, số thuê bao của Tving được ước tính vào khoảng 5 triệu, nên không loại trừ khả năng quy mô dữ liệu CI bị lộ có thể lớn hơn vụ việc của Lotte Card. Hiện Tving vẫn đang xác định con số chính xác.

Các chuyên gia an ninh cũng lưu ý không nên tiếp tục xử lý các vụ tấn công mạng theo kiểu chỉ phản ứng sau khi sự cố xảy ra. Theo họ, cách tiếp cận chủ yếu tập trung vào điều tra, chế tài và ngăn tái diễn sau sự cố có giới hạn nhất định trong việc ngăn thiệt hại lan rộng.

Đối với các nền tảng như OTT, nơi nắm giữ lượng lớn dữ liệu cá nhân, doanh nghiệp cần vận hành thường xuyên các cơ chế mã hóa, kiểm soát quyền truy cập và hệ thống phát hiện dấu hiệu bất thường.

Ông Park Choon-sik, cựu giáo sư Khoa An ninh mạng của Đại học Ajou, cho rằng yếu tố quan trọng nhất là nâng cao nhận thức bảo mật của ban lãnh đạo. Ông cũng đề xuất Chính phủ, bên cạnh hoạt động quản lý, cần tích cực triển khai thêm các chính sách hỗ trợ để doanh nghiệp chủ động tăng cường năng lực bảo mật.

Về phía doanh nghiệp, Tving đã đăng thư xin lỗi dưới danh nghĩa CEO Choi Ju-hee và cam kết triển khai các biện pháp khắc phục triệt để. Bà Choi thừa nhận trách nhiệm hoàn toàn thuộc về Tving khi không bảo vệ được thông tin người dùng, đồng thời cam kết công khai minh bạch tiến độ xử lý, nỗ lực khắc phục thiệt hại và tăng cường bảo vệ người dùng.