Lộ dữ liệu cá nhân của hơn 50.000 người dùng Tmoney, hacker chiếm đoạt 14 triệu won điểm thưởng

Ủy ban Bảo vệ Thông tin Cá nhân Hàn Quốc phạt Tmoney hơn 5,34 tỷ won vì lơ là an ninh

Dịch vụ thẻ giao thông Tmoney tại Hàn Quốc đã xảy ra một vụ tấn công mạng quy mô lớn vào tháng 4 năm ngoái, khiến hơn 50.000 tài khoản người dùng bị xâm nhập và gây thiệt hại tài chính lên tới 14 triệu won. Trước vụ việc này, Ủy ban Bảo vệ Thông tin Cá nhân Hàn Quốc đã quyết định xử phạt Tmoney số tiền 5,34 tỷ won.

Ngày 28 vừa qua, Ủy ban Bảo vệ Thông tin Cá nhân đã tổ chức phiên họp toàn thể và thông qua quyết định xử phạt hành chính đối với Tmoney, đồng thời yêu cầu doanh nghiệp này xây dựng các biện pháp ngăn chặn tái diễn sự cố. Mặc dù Tmoney đã báo cáo vụ tấn công sau khi phát hiện vào tháng 4 năm ngoái, kết quả điều tra cho thấy hệ thống quản lý bảo mật của công ty tồn tại nhiều lỗ hổng nghiêm trọng.

Hacker thử đăng nhập hơn 12 triệu lần, 50.000 tài khoản bị chiếm quyền truy cập

Theo kết quả điều tra, từ ngày 13 đến ngày 25 tháng 3 năm ngoái, hacker đã tiến hành tấn công hệ thống Tmoney bằng phương thức credential stuffing. Đây là hình thức tấn công trong đó hacker sử dụng thông tin tài khoản và mật khẩu bị rò rỉ từ các website khác, sau đó liên tục thử đăng nhập vào hệ thống mục tiêu cho đến khi thành công.

Ủy ban cho biết, chỉ riêng trong tháng 3 năm ngoái, hacker đã thực hiện tối đa 5.265 lượt đăng nhập mỗi phút vào hệ thống Tmoney, với tổng cộng hơn 12,26 triệu lần thử đăng nhập. Kết quả là 51.691 tài khoản người dùng đã bị đăng nhập trái phép.

Sau khi xâm nhập thành công, hacker đã chiếm đoạt điểm thưởng T Mileage còn lại trong 4.131 tài khoản thông qua tính năng tặng quà, với tổng giá trị lên tới 14 triệu won.

Tmoney không phát hiện và ngăn chặn truy cập bất thường từ cùng một IP

Điều đáng lo ngại là dù hệ thống xuất hiện dấu hiệu bất thường như nhiều lượt đăng nhập lặp lại từ cùng một địa chỉ IP, Tmoney vẫn không triển khai kịp thời các biện pháp phát hiện và ngăn chặn xâm nhập.

Ủy ban Bảo vệ Thông tin Cá nhân nhận định rằng chính sự lơ là trong nghĩa vụ đảm bảo an toàn dữ liệu đã trực tiếp dẫn đến việc rò rỉ thông tin cá nhân và thiệt hại tài chính cho người dùng.

Ủy ban cũng nhấn mạnh rằng trong bối cảnh các cuộc tấn công credential stuffing đang ngày càng gia tăng, các doanh nghiệp cần khẩn trương rà soát và tăng cường hệ thống bảo mật, bao gồm việc phát hiện và chặn truy cập bất thường, cũng như áp dụng thêm các lớp xác thực khi truy cập vào những trang chứa thông tin cá nhân.

Phạt thêm Viện Nghiên cứu Quốc gia Hàn Quốc vì làm lộ dữ liệu của 120.000 người

Trong cùng phiên họp, Ủy ban Bảo vệ Thông tin Cá nhân cũng quyết định xử phạt Viện Nghiên cứu Quốc gia Hàn Quốc số tiền 7,03 tỷ won tiền phạt và 4,8 triệu won tiền phạt bổ sung vì làm lộ thông tin cá nhân của 120.000 người.

Theo điều tra, hacker đã phát hiện rằng khi truy cập vào trang tìm lại mật khẩu của hệ thống nộp bài nghiên cứu trực tuyến do Viện này vận hành, chỉ cần thay đổi địa chỉ URL là có thể xem được thông tin hội viên. Bằng cách này, hacker đã truy cập trái phép vào dữ liệu cá nhân của khoảng 120.000 người, bao gồm tên, ID, số điện thoại di động và cả số tài khoản ngân hàng.

Ủy ban cho biết lỗ hổng này đã tồn tại từ năm 2013 nhưng không được phát hiện suốt nhiều năm. Thậm chí sau khi nhận biết sự cố, Viện Nghiên cứu Quốc gia Hàn Quốc vẫn không tiến hành cải thiện hệ thống, dẫn đến việc vào ngày 17 tháng 6 năm ngoái đã xảy ra thêm các trường hợp bị mạo danh và phát sinh thiệt hại thứ cấp.

Ủy ban đánh giá đây là một sự cố đặc biệt nghiêm trọng, bởi đơn vị này không chỉ lưu trữ thông tin cá nhân cơ bản mà còn nắm giữ khối lượng lớn dữ liệu nghiên cứu nhạy cảm, trong khi việc phát hiện và khắc phục lỗ hổng bảo mật lại bị bỏ ngỏ trong thời gian dài.

Theo Naver