Bê bối khi 3400 vạn tài khoản Coupang bị lộ: Cựu nhân viên phụ trách “chứng thực nội bộ” vẫn sử dụng khóa truy cập sau khi nghỉ việc

3400 vạn tài khoản bị lộ: Cựu nhân viên phụ trách “chứng thực nội bộ” vẫn sử dụng khóa truy cập sau khi nghỉ việc

Vụ rò rỉ dữ liệu của Coupang đang gây chấn động toàn ngành thương mại điện tử Hàn Quốc. Nhân vật bị xem là nghi phạm chính không phải hacker bên ngoài mà là cựu nhân viên người Trung Quốc từng phụ trách hệ thống chứng thực của doanh nghiệp.

Nghi vấn Coupang không hề biết dữ liệu bị đánh cắp suốt 5 tháng?

Theo điều tra ban đầu, một khách hàng gửi email cảnh báo về dấu hiệu lộ thông tin vào ngày 16 tháng 11.
Trước đó, từ tháng 6, đã có nhiều lượt truy cập từ máy chủ nước ngoài hướng vào hệ thống nội bộ nhưng không bị phát hiện.

Trong quá trình kiểm tra, nhóm kỹ thuật phát hiện dấu vết truy cập hợp lệ thông qua token xác thực nội bộ, cho thấy khả năng cao đây là hành vi của người từng làm việc trong hệ thống.

Nghi phạm là cựu nhân viên phát triển hệ thống chứng thực

Điều tra nhắm vào một cựu nhân viên quốc tịch Trung Quốc:

Từng phụ trách phát triển hệ thống chứng thực nội bộ

Có mức truy cập dữ liệu cao hơn nhân sự thông thường

Hiểu rõ cấu trúc bảo mật cùng lỗ hổng hệ thống

Dù đã nghỉ việc, người này vẫn có thể ra vào mạng nội bộ nhờ chữ ký số (signing key) được cấp trong thời gian làm việc.

Lỗ hổng lớn: Khóa ký xác thực vẫn còn hiệu lực sau khi nhân viên nghỉ việc

Hệ thống bảo mật của Coupang sử dụng:

Token truy cập: giống “thẻ ra vào” dùng một lần, sẽ vô hiệu hóa ngay sau mỗi phiên

Khóa ký chứng thực (signing key): đóng vai trò “con dấu” xác minh tính hợp lệ của token. Khóa này thường có hiệu lực 5 đến 10 năm

Theo quy định bảo mật cơ bản, khóa ký phải được thu hồi hoặc thay đổi ngay khi nhân viên nghỉ việc.
Tuy nhiên, Coupang không hủy khóa của nghi phạm, để lại “chìa khóa vạn năng” cho phép người này đi lại trong hệ thống mà không ai phát hiện.

Một chuyên gia bảo mật nhận định:

“Khi nhân viên nghỉ việc, khóa ký phải bị xóa lập tức. Nếu hệ thống theo dõi truy cập hoạt động đúng chuẩn, hành vi xâm nhập đã bị chặn từ đầu.”

Báo cáo với SEC từng khẳng định Coupang chưa chịu tác động lớn từ tấn công mạng

Trong báo cáo nộp cho Ủy ban Chứng khoán Mỹ hồi tháng 2, Coupang khẳng định các mối đe dọa an ninh mạng “chưa gây ảnh hưởng đáng kể đến hoạt động tài chính”.

Tuy nhiên, vụ việc hiện tại khiến tuyên bố này bị đặt nhiều dấu hỏi.

Chi tiêu an ninh thấp hơn nhiều so với Big Tech quốc tế

Theo số liệu từ KISA:

Coupang chỉ dành khoảng 4.6 phần trăm ngân sách IT cho bảo mật

Tính theo doanh thu, con số này chỉ khoảng 0.2 phần trăm

Thấp hơn rất nhiều so với Amazon, Alibaba cùng các tập đoàn toàn cầu (thường đầu tư trên 1 phần trăm doanh thu cho an ninh mạng)

Giới lập pháp chỉ trích đây là sự lỏng lẻo khó chấp nhận đối với doanh nghiệp thương mại điện tử quy mô hơn 40 nghìn tỉ won doanh thu.

Coupang đối diện điều tra mở rộng cùng yêu cầu tăng cường giám sát

Cơ quan chức năng dự kiến mở rộng điều tra để xác định phạm vi dữ liệu bị lộ, cách thức truy cập và trách nhiệm của các bộ phận liên quan.
Vụ việc được xem là bước ngoặt lớn khiến nhiều doanh nghiệp thương mại điện tử phải đánh giá lại hệ thống bảo mật của mình.