Một công ty dịch vụ tài chính tại Australia đang đối mặt với vụ kiện lớn sau khi để xảy ra vụ rò rỉ dữ liệu nghiêm trọng; ảnh hưởng đến 18.000 khách hàng. Sự cố này đặt ra lời cảnh báo về mối nguy hiểm từ việc lơ là bảo mật an ninh mạng.

Công ty FIIG Securities bị Ủy ban Chứng khoán và Đầu tư Australia (ASIC) kiện vì không duy trì các biện pháp bảo mật phù hợp trong hơn 4 năm; dẫn đến rò rỉ dữ liệu quy mô lớn. Theo đơn kiện, từ tháng 3/2019 đến tháng 6/2023, công ty đã vận hành hệ thống bảo mật yếu kém; tạo điều kiện cho tin tặc xâm nhập và đánh cắp dữ liệu.

385 GB dữ liệu bị phát tán trên “web đen”

Sự cố an ninh diễn ra trong gần ba tuần (19/5 – 8/6/2023) mà không bị phát hiện. Hacker đã lấy đi 385 GB dữ liệu, bao gồm:

  • Thông tin cá nhân: Họ tên, địa chỉ, ngày sinh
  • Giấy phép lái xe, hộ chiếu
  • Thông tin tài khoản ngân hàng, số hồ sơ thuế

Dữ liệu này sau đó bị rao bán trên web đen, gây nguy cơ lừa đảo và đánh cắp danh tính nghiêm trọng.

Sai sót nghiêm trọng trong quy trình bảo mật

ASIC cho biết FIIG Securities đã bỏ qua các biện pháp an ninh cơ bản; dẫn đến hậu quả nghiêm trọng:

  • Một nhân viên vô tình tải tệp .zip chứa phần mềm độc hại, tạo cơ hội cho tin tặc xâm nhập.
  • Hacker có quyền truy cập vào tài khoản đặc quyền, dễ dàng tải xuống dữ liệu của công ty.
  • FIIG Securities chỉ phát hiện vụ tấn công khi được Trung tâm An ninh mạng Australia cảnh báo vào ngày 2/6/2023; nhưng lại chậm trễ phản ứng.

Bài học cảnh báo cho doanh nghiệp

Vụ việc này nhấn mạnh tầm quan trọng của an ninh mạng trong tài chính. Chủ tịch ASIC khẳng định: “An ninh mạng không phải là vấn đề có thể lơ là. Doanh nghiệp cần chủ động kiểm tra và nâng cấp hệ thống bảo mật liên tục.”

FIIG Securities đã lên tiếng xác nhận vụ tấn công nhưng khẳng định không có tiền hoặc khoản đầu tư nào của khách hàng bị ảnh hưởng. Tuy nhiên, hậu quả từ rò rỉ dữ liệu vẫn chưa thể lường hết.

Rò rỉ dữ liệu là mối đe dọa ngày càng gia tăng, đặc biệt với các tổ chức tài chính. Vụ việc của FIIG Securities là lời cảnh báo mạnh mẽ cho tất cả doanh nghiệp về việc cần nâng cao nhận thức; và triển khai các biện pháp bảo mật nghiêm ngặt nhằm bảo vệ thông tin khách hàng khỏi các cuộc tấn công mạng.