Tập đoàn lớn bất cẩn bảo mật, chục triệu khách hàng Mỹ mất tiền

Quốc Đạt - 13/11/2018 07:07 (GMT+7)

Vì lỗi bảo mật thẻ tín dụng, một tập đoàn bán lẻ hàng đầu ở Mỹ phải bồi thường gần 70 triệu USD trong nhiều vụ kiện.

VNF
Target là một trong những tập đoàn bán lẻ hàng đầu ở Mỹ.

Khi người Mỹ bận rộn trong mùa mua sắm 2013, kẻ xấu đã xâm nhập thiết bị của tập đoàn bán lẻ Target để đánh cắp dữ liệu từ ngày 27/11 đến 15/12/2013.

Ngày 15/12/2013, Target thông báo xác nhận hacker đã ăn cắp họ tên, số thẻ tín dụng, thời hạn và mã bảo mật của 40 triệu khách hàng. Ước tính 70-110 triệu người khác cũng bị lộ thông tin email và địa chỉ nhà riêng. Theo Reuters, đây là vụ ăn cắp dữ liệu lớn thứ hai trong lịch sử ngành bán lẻ Mỹ.

Sau khi điều tra, Bloomberg Businessweek cho biết hacker đã cài đặt mã độc vào máy thu ngân tại toàn bộ chi nhánh của Target trên khắp nước Mỹ. Chỉ cần khách hàng quẹt thẻ tín dụng để thanh toán, thông tin thẻ sẽ bị đánh cắp và lưu trữ lại.

Sáu tháng trước khi vụ trộm dữ liệu xảy ra, Target chi 1,6 triệu USD để trang bị hệ thống chống mã độc cực kỳ tinh vi có tên FireEye - được CIA, lầu Năm Góc và các cơ quan tình báo khác trên thế giới sử dụng. Ngày 30/11/2013, hệ thống này đã lần ra được dấu vết của mã độc và phát đi cảnh báo nhưng nhân viên an ninh của Target bỏ qua.

Tới 2/12/2013, hacker bắt đầu truyền tải dữ liệu ăn cắp sang server đặt ở Nga. Khi đó, một hệ thống an ninh khác của Target một lần nữa phát hiện ra dấu hiệu khả nghi nhưng tập đoàn này không có động thái đối phó. Chỉ tới ngày 12/12/2013 khi nhận được cảnh báo của Bộ Tư pháp Mỹ, Target mới thật sự kiểm tra, truy tìm và xóa bỏ mã độc. Tổng cộng, gần 1.800 cửa hàng Target bị ảnh hưởng, lượng dữ liệu bị ăn cắp khoảng 11GB.

Điều tra viên cho rằng Target lẽ ra đã có thể ngăn ngừa vụ tấn công từ khi còn trong trứng nước vì hệ thống FireEye có tính năng tự phát hiện và tiêu hủy mã độc mà không cần sự can thiệp của con người. Đáng tiếc, tính năng này đã bị nhân viên an ninh của Target tắt đi.

Hậu quả pháp lý với sai lầm của Target cực kỳ nặng nề. Trong đó người bị ảnh hưởng nặng nề nhất có lẽ là khách hàng.

Không lâu sau vụ rò rỉ dữ liệu, đầu năm 2014, tập thể khách hàng bị ảnh hưởng đã khởi kiện lên tòa án liên bang ở Minnesota – nơi đặt trụ sở của Target. Theo đó, tập thể người khởi kiện bao gồm "bất cứ người nào ở Mỹ bị ăn cắp thông tin thẻ tín dụng, thẻ thanh toán hoặc thông tin cá nhân bắt nguồn từ vụ rò rỉ dữ liệu của Target".

Top Class Actions đưa tin, đơn kiện cáo buộc Target đã bất cẩn và xâm phạm vào luật bảo vệ người tiêu dùng. Điều này khách hàng phải trả nhiều chi phí vô lý, bị chặn hoặc hạn chế tiếp cận tài khoản cá nhân, gặp khó khăn khi chi trả các giao dịch.

Đối mặt vụ kiện, vào năm 2015, Target quyết định hòa giải bằng cách lập quỹ 10 triệu USD để bồi thường cho khách hàng nào chịu ảnh hưởng. Khách hàng có thể gửi đơn yêu cầu kèm bằng chứng chứng minh thiệt hại sẽ được nhận bồi thường, tối đa là 10.000 USD.

Không chỉ khách hàng trực tiếp mua hàng của Target bị thiệt hại mà ngân hàng có thẻ tín dụng bị đánh cắp thông tin cũng chịu nhiều tổn thất. Khi phát hiện thẻ tín dụng là đối tượng của vụ tấn công đánh cắp dữ liệu, ngân hàng thường phải cấp lại thẻ mới, dù chủ thẻ có biết hay không. Chi phí cấp lại thẻ ở quy mô lớn trở nên khổng lồ. Ngoài ra, ngân hàng có thể còn phải hoàn trả cho chủ thẻ nếu tiền trong thẻ bị kẻ xấu sử dụng để giao dịch.

Năm 2014, một số ngân hàng khởi kiện Target để đòi bồi thường cho thiệt hại mà tập đoàn này gián tiếp gây ra. Tương tự như vụ kiện với khách hàng, Target quyết định hòa giải và được thẩm phán liên bang thông qua vào ngày 12/5/2016. Số tiền bồi thường lên tới 39 triệu USD, trong đó 20,25 triệu USD được trao trực tiếp cho tập thể nguyên đơn khởi kiện, 19,1 triệu USD được đưa vào quỹ bảo vệ dữ liệu tài khoản của MasterCard (chương trình Account Data Compromise).

Chưa hết, chính quyền 47 bang ở Mỹ tiếp tục khởi kiện Target để đảm bảo công ty này sẽ nghiêm chỉnh thực thi pháp luật. Tập đoàn Target nhanh chóng đi tới thỏa thuận hòa giải với công tố viên các bang, đồng ý sẽ bồi thường 18,5 triệu USD, chia đều cho 47 bang. California nhận được số tiền lớn nhất - 1,5 triệu USD. Số tiền nhận được không chi trả trực tiếp cho khách hàng mà được chuyển vào Văn phòng Bảo vệ Người tiêu dùng ở các bang.

Nội dung thỏa thuận hòa giải giữa Target và 47 tiểu bang còn yêu cầu tập đoàn này phải thuê một công ty khác để thực hiện đánh giá an ninh toàn diện, phải có nhiều biện pháp an ninh mạng để bảo đảm bảo mật dữ liệu khách hàng.

Theo đề xuất của văn phòng công tố New York, Target đồng ý cung cấp dịch vụ theo dõi tín dụng miễn phí trong vòng hai năm cho nạn nhân của vụ rò rỉ thông tin để phòng ngừa thiệt hại trong tương lai.

Xem thêm >> Vụ nhét kim vào dâu tây: Nghi phạm sinh ra tại Việt Nam, đã đến Úc được 20 năm

Theo VnE
Cùng chuyên mục
Tin khác