Thêm một hãng hàng xa xỉ bị đánh cắp dữ liệu khách hàng

Khách hàng của Harrods, trung tâm thương mại xa xỉ tại London, Anh đã bị đánh cắp dữ liệu cá nhân. Vụ việc đánh dấu cột mốc mới nhất trong chuỗi tấn công mạng và rò rỉ dữ liệu khách hàng nhằm vào các doanh nghiệp lớn của Vương quốc Anh trong năm nay.

Harrods mô tả vụ lộ thông tin trong một email gửi đến khách hàng vào tối thứ Sáu tuần trước là một “sự cố riêng lẻ”.

Email nêu rõ: “Bên thứ ba đã xác nhận đây là một sự cố riêng lẻ đã được kiểm soát. Chúng tôi đang phối hợp chặt chẽ với họ để đảm bảo mọi biện pháp cần thiết được thực hiện. Chúng tôi cũng đã thông báo đến tất cả cơ quan chức năng liên quan”.

Thông qua email này, người phát ngôn đại diện của Harrods cho biết dữ liệu khách hàng, bao gồm tên và thông tin liên hệ, đã bị lấy khỏi hệ thống. Tuy nhiên, nhà bán lẻ này từ chối tiết lộ danh tính nhà cung cấp dịch vụ bên thứ ba, với lý do “cuộc điều tra vẫn đang diễn ra”.

Harrods cũng thừa nhận sự cố an ninh mạng đã gây ảnh hưởng tới gần nửa triệu khách hàng tại trung tâm thương mại xa xỉ này.

Harrods thuộc sở hữu của quỹ đầu tư quốc gia Qatar và nổi tiếng với cửa hàng flagship tại khu mua sắm cao cấp Knightsbridge, London. Doanh nghiệp này cũng đã từng bị tấn công dữ liệu bất thành vào tháng 5 vừa qua.

Người phát ngôn của Harrods cho biết trong email: “Không có hệ thống nào của Harrods bị xâm nhập. Điều quan trọng cần lưu ý là dữ liệu khách hàng bị đánh cắp đến từ một nhà cung cấp dịch vụ bên thứ ba, và không liên quan đến những nỗ lực truy cập trái phép vào một số hệ thống của Harrods hồi đầu năm nay”.

Thông tin bị rò rỉ không bao gồm mật khẩu tài khoản hay chi tiết thanh toán. Đồng thời Harrods khẳng định đã liên hệ với những khách hàng bị ảnh hưởng.

Thực tế, các công ty khác tại Anh đang phải đối mặt với làn sóng tấn công mạng trong năm nay, trong đó có cả nhà bán lẻ xa xỉ đối thủ của Harrods - Marks & Spencer.

Trên phạm vi toàn cầu, tính từ đầu năm tới nay, hàng loạt các vụ rò rỉ dữ liệu khách hàng tại các nhà mốt xa xỉ như Chanel hay Christian Dior đã xảy ra tại khắp các quốc gia.

Mới đây nhất, ngày 15/9, tập đoàn xa xỉ Kering thông báo tin tặc đã đánh cắp thông tin cá nhân của hàng triệu khách hàng tại Balenciaga, Gucci và Alexander McQueen trong một vụ tấn công mạng. Dữ liệu khách hàng bị lấy đi bao gồm họ tên, địa chỉ email, số điện thoại, địa chỉ cư trú và tổng số tiền mà khách hàng đã chi tiêu tại các cửa hàng xa xỉ trên toàn cầu.

Kering cho biết vụ rò rỉ dữ liệu xảy ra từ tháng 6. Tuy nhiên, không có thông tin tài chính nào bị đánh cắp – như số tài khoản ngân hàng, thông tin thẻ tín dụng hay các loại giấy tờ định danh do chính phủ cấp.

“Vào tháng 6, chúng tôi phát hiện một bên thứ ba không được phép đã tạm thời xâm nhập vào hệ thống và truy cập một phần dữ liệu khách hàng từ một số thương hiệu thuộc tập đoàn. Sự cố này không liên quan đến bất kỳ thông tin tài chính nào,” người phát ngôn của Kering cho biết, đồng thời khẳng định công ty đã tăng cường bảo mật hệ thống công nghệ thông tin sau vụ việc.

Về mặt pháp lý, Kering không có nghĩa vụ phải công khai rộng rãi sự cố, miễn là doanh nghiệp đã thông báo cho tất cả cá nhân bị ảnh hưởng bằng các hình thức khác.

Nhóm tin tặc đứng sau vụ tấn công tự xưng là “Shiny Hunters”. Nhóm này tuyên bố đã nắm giữ dữ liệu liên quan đến 7,4 triệu địa chỉ email, đồng nghĩa với việc số nạn nhân thực tế có thể cũng ở mức tương tự.

Một mẫu dữ liệu nhỏ được chia sẻ với BBC để làm bằng chứng cho thấy hàng nghìn thông tin khách hàng bị đánh cắp dường như là thật. Sau khi được phân tích, các tệp này đã bị xóa.

Trong dữ liệu bị đánh cắp có chỉ ra chi tiết “Tổng doanh số” – thể hiện số tiền mà mỗi khách hàng đã chi tiêu tại từng thương hiệu. Một số khách hàng đã chi hơn 10.000 USD. Thậm chí có người chi từ 30.000 đến 86.000 USD tại các cửa hàng, theo phân tích từ mẫu dữ liệu nhỏ mà BBC tiếp cận.

Thông tin này đặc biệt đáng lo ngại đối với các nạn nhân, bởi những khách hàng chi tiêu lớn có thể trở thành mục tiêu của các vụ tấn công hoặc lừa đảo thứ cấp, nếu tin tặc quyết định phát tán dữ liệu cho các nhóm tội phạm khác.

Vụ rò rỉ diễn ra trong bối cảnh làn sóng tấn công mạng nhằm vào các thương hiệu xa xỉ, khi Cartier và Louis Vuitton cũng đã thông báo sự cố dữ liệu tới khách hàng và công chúng. Tháng 7 vừa rồi, Louis Vuitton đã xác nhận bị tin tặc nhắm mục tiêu và đánh cắp thông tin khách hàng.

Những cuộc tấn công mạng đánh cắp dữ liệu khách hàng này là hồi chương cảnh tỉnh lớn đối với quy trình bảo mật thông tin khách hàng của các nhà mốt xa xỉ.

Trong bối cảnh dữ liệu là một phần tài sản quan trọng đối với tất cả mọi người, đặc biệt đối với các khách hàng cấp cao, nếu các thương hiệu không tìm cách thay đổi và nâng cao mức bảo vệ, trong tương lai dữ liệu của khách hàng bị lộ sẽ không chỉ đơn giản là tên tuổi và khả năng chi tiêu.