Vụ rò rỉ thông tin cá nhân tại Tving không chỉ dừng ở nhóm người dùng đăng ký trực tiếp, mà còn mở rộng sang khách hàng nhận gói xem qua nhà mạng và người dùng đăng nhập nhanh bằng tài khoản nền tảng khác. Diễn biến này làm gia tăng lo ngại về rủi ro dữ liệu trong các mô hình liên kết dịch vụ.
Ngày 16/7, theo tài liệu mà Văn phòng nghị sĩ Lee Jeong-heon thuộc Đảng Dân chủ nhận từ Ủy ban Bảo vệ Thông tin Cá nhân và Bộ Khoa học và ICT Hàn Quốc, quy mô vụ rò rỉ dữ liệu của Tving hiện được xác định ở mức 19,53 triệu đối tượng bị ảnh hưởng, tiến sát mốc 20 triệu.
Điểm đáng chú ý là phạm vi ảnh hưởng lần này đã mở rộng sang cả khách hàng của nhà mạng. Đầu năm nay, KT từng cung cấp gói xem Tving trong chương trình tri ân khách hàng sau sự cố tấn công mạng. Theo Văn phòng nghị sĩ Lee Jeong-heon, trong số các quyền lợi được cung cấp, khoảng 586.000 khách hàng đã chọn gói xem Tving. Trong đó, khoảng 416.000 người đã kích hoạt gói này được đưa vào danh sách bị lộ thông tin.
Nhóm người dùng đăng nhập Tving bằng tài khoản của các nền tảng như Naver và Kakao cũng được xác định thuộc diện bị ảnh hưởng.
Đăng nhập nhanh là hình thức cho phép người dùng đăng ký hoặc truy cập dịch vụ của bên thứ ba bằng tài khoản sẵn có trên một nền tảng khác, thay vì tạo ID và mật khẩu riêng. Trong quá trình này, một số dữ liệu mà người dùng đã đồng ý chia sẻ như tên, email, số liên lạc và thông tin định danh có thể được chuyển cho doanh nghiệp cung cấp dịch vụ bên ngoài.
Vấn đề nằm ở chỗ người dùng rất khó biết chính xác mình đã cung cấp dữ liệu gì và cho doanh nghiệp nào. Với những người không tạo tài khoản riêng trên Tving, khả năng bản thân vẫn là nạn nhân trong vụ rò rỉ càng khó được nhận biết. Theo một đại diện trong ngành an ninh mạng, tính năng đăng nhập nhanh vốn được thiết kế để tăng tiện lợi, nhưng lại có thể trở thành mắt xích làm lộ dữ liệu nếu không có biện pháp kiểm soát phù hợp. Vì vậy, cần có giải pháp dài hạn để ngăn sự cố tái diễn.
Từ vụ việc này, nhiều ý kiến cho rằng đã đến lúc rà soát lại toàn bộ hệ thống quản trị dữ liệu cá nhân trong các mô hình hợp tác doanh nghiệp và đăng nhập nhanh. Với người dùng, đây chỉ là quá trình sử dụng một dịch vụ. Nhưng trên thực tế, dữ liệu có thể được kết nối giữa nhà mạng, nền tảng và doanh nghiệp nội dung.
Một vấn đề khác đang được thị trường theo dõi là kết quả điều tra của đoàn điều tra chung. Tháng trước, Bộ Khoa học và ICT Hàn Quốc xếp vụ việc của Tving vào nhóm sự cố nghiêm trọng và thành lập đoàn điều tra. Theo thông tin được công bố, đoàn này đang kiểm tra đường xâm nhập của tin tặc và hệ thống bảo mật của Tving, đồng thời xác minh quy mô thiệt hại theo từng kênh đăng ký cũng như lượng dữ liệu được chuyển qua các dịch vụ liên kết.
Kết quả điều tra được xem là cơ sở để xác định phạm vi và cách thức bồi thường của Tving. Ngày 3/6, Tving đã đăng thư xin lỗi dưới danh nghĩa CEO Choi Ju-hee, nhưng đến nay vẫn chưa công bố phương án bồi thường hay các bước xử lý tiếp theo. Thị trường cũng đang chú ý liệu người dùng truy cập Tving thông qua chương trình liên kết hoặc đăng nhập nhanh có được áp dụng cơ chế bồi thường và bảo vệ tương đương với nhóm đăng ký trực tiếp hay không.
Đại diện Tving cho biết công ty chỉ có thể công bố phương án bồi thường và kế hoạch tiếp theo sau khi có kết quả điều tra chính xác, đồng thời khẳng định đang hợp tác đầy đủ với các cơ quan chức năng và các bên liên quan.
Quy mô 19,53 triệu đối tượng bị ảnh hưởng, cao hơn nhiều so với số người dùng trả phí và người dùng hoạt động hàng tháng của Tving, cũng là điểm cần được làm rõ. Nguyên nhân có thể xuất phát từ việc một người tạo nhiều tài khoản qua các kênh đăng ký khác nhau, sự tồn tại của các tài khoản không còn sử dụng trong thời gian dài, hoặc việc các tài khoản phát sinh từ dịch vụ liên kết cũng được đưa vào thống kê.
Một nguồn tin trong ngành nhận định rằng khi liên kết giữa các dịch vụ ngày càng mở rộng, một sự cố bảo mật tại một doanh nghiệp có thể kéo theo rủi ro cho khách hàng của doanh nghiệp khác. Vì vậy, cơ chế ứng phó không nên chỉ dừng ở việc xác định trách nhiệm, mà cần rà soát lại toàn bộ quy trình hợp tác và kết nối dịch vụ.