Hacker đã đánh cắp địa chỉ nhà, giấy phép lái xe và số hộ chiếu từ cơ sở dữ liệu của Optus. Ảnh: Pexels. |
Tuần trước, Optus, công ty viễn thông hàng đầu Australia, đã bị tấn công mạng, đánh mất thông tin cá nhân của hơn 10 triệu khách hàng, tức 40% dân số nước này. Đây là cuộc tấn công mạng lớn nhất từ trước đến nay trong lịch sử Australia, các chuyên gia nhận định.
Ảnh hưởng của cuộc tấn công rất nghiêm trọng khi gây ra thêm nhiều nguy cơ tống tiền bằng dữ liệu riêng tư, bán thông tin người dùng cho các bên thứ 3… Sự kiện này cũng làm dấy lên nhiều câu hỏi về cách thức Australia bảo mật và quản lý dữ liệu cư dân của mình.
Vụ tấn công kỳ lạ
Theo BBC, trước đó, Optus, thuộc sở hữu của công ty Viễn thông Singapore, đơn vị cung cấp dịch vụ viễn thông lớn thứ 2 tại Australia, đã phát hiện một vài hành vi đáng ngờ trên hệ thống mạng. Nhưng phải đến một ngày sau, ngày 23/9, công ty này mới chính thức công bố về vụ tấn công mạng tinh vi đã đánh cắp thông tin của hơn 10 triệu khách hàng.
Optus cho biết những dữ liệu cá nhân của khách hàng như tên, ngày sinh, số điện thoại, email, địa chỉ nhà số hộ chiếu và bằng lái xe đều đã bị đánh cắp. Trong đó, 2,8 triệu người bị lộ số hộ chiếu và bằng lái xe sẽ phải đối diện với nguy cơ bị lừa đảo và đánh cắp danh tính cao hơn, chính quyền Australia cho biết.
Tuy nhiên, Optus khẳng định những dữ liệu chi tiết như thông tin ngân hàng hoặc mật khẩu của khách hàng vẫn chưa bị lộ.
Optus phải liên hệ với tất cả khách hàng để thông báo về cuộc tấn công mạng quy mô khổng lồ này. Ảnh: AAP. |
Đại diện công ty mạng cho biết họ đang điều tra về cuộc tấn công, đồng thời đã phối hợp với cảnh sát, viện tài chính và những nhà làm luật. Kelly Bayer Rosmarin, CEO của Optus, khẳng định đây là một vụ tấn công rất “tinh vi”.
Nhưng đỉnh điểm của vụ việc là vào hôm 24/9. Khi đó, một người dùng ẩn danh đã công bố danh sách chứa 100 dữ liệu bị rò rỉ và đòi Optus phải trả 1 triệu USD để chuộc lại. Người này cho biết công ty phải trả đủ số tiền này trong vòng một tuần. Nếu không, toàn bộ thông tin sẽ bị đem đi bán cho các công ty khác.
Điều đáng chú ý là người dùng ẩn danh cho biết vụ tấn công không hề “tinh vi” như Optus nói vì họ đã lấy thông tin từ một giao diện phần mềm được công khai truy cập. “Không có bất kỳ bước xác thực nào. Bất cứ ai có Internet đều có thể truy cập được”, người này nói.
3 ngày sau, người này tiếp tục công bố thông tin của 10.000 khách hàng khác và nhấn mạnh Optus cần trả tiền trước thời hạn thanh toán. Nhưng điều bất ngờ là kẻ giấu tên sau đó đã xóa toàn bộ danh sách, lên tiếng xin lỗi và cho biết đây chỉ là sai sót.
“Chúng tôi sẽ không bán dữ liệu cho bất cứ ai. Rất xin lỗi công ty Optus”, người này viết. Điều này đã khiến nhiều người nghi ngờ Optus đã trả tiền cho hacker để dàn xếp vụ việc nhưng công ty đã phủ nhận.
Chưa từng có tiền lệ
Cuộc tấn công mạng kỳ lạ đã khiến Optus đối mặt với hàng loạt lời phàn nàn và chỉ trích từ khách hàng. Họ phải cẩn trọng vì có thể bị lừa đảo và đánh cắp danh tính bất cứ lúc nào. Do đó, một đơn kiện nhằm tố cáo công ty đã được nộp lên tòa án.
“Đây có lẽ là vụ rò rỉ thông tin bảo mật nghiêm trọng nhất trong lịch sử Australia về cả số lượng và quy mô ảnh hưởng”, Ben Zocco của công ty luật Slater and Gordon Lawyers nhận định.
Về phía chính phủ, các quan chức Australia cũng cho rằng tình trạng này chưa từng có tiền lệ và chỉ trích Optus vì đã để lộ sơ hở, tạo điều kiện để nhóm người xấu đánh cắp các thông tin nhạy cảm của người dùng.
Theo Clare O’Neil, Bộ trưởng Bộ an ninh không gian mạng, Australia đang tụt hậu so với thế giới trong việc bảo vệ quyền riêng tư và các vấn đề trên không gian mạng. “Chúng ta đi sau thế giới cả một thập kỷ”, bà chia sẻ trong buổi phỏng vấn với ABC.
Tin tặc đã yêu cầu 1 triệu USD tiền chuộc và phải trả bằng tiền điện tử. Ảnh: Unsplash. |
Bộ trưởng cũng cho rằng chính phủ nên có những hình thức nặng hơn để xử phạt những công ty như Optus.
Với nhiều quốc gia khác, vi phạm dữ liệu ở quy mô này thường phải chịu mức phạt lên đến hàng trăm triệu USD trong khi ở Australia, họ chỉ phải nộp 2 triệu USD. Do đó, Clare O’Neil đề xuất chính phủ nên thắt chặt các đạo luật an ninh mạng đã ban hành từ năm ngoái đối với các công ty viễn thông trong nước.
Đồng quan điểm, các chuyên gia an ninh cho rằng Australia cần cải cách quy định lưu trữ dữ liệu để các công ty viễn thông không có quyền nắm giữ thông tin của người dùng như trong trường hợp này. Đồng thời, những khách hàng cũ cũng nên có quyền yêu cầu họ xóa dữ liệu của mình.