Thương hiệu thời trang SABO để lộ dữ liệu hàng triệu khách hàng

Nhà nghiên cứu bảo mật Jeremiah Fowler vừa phát hiện ra một cơ sở dữ liệu khổng lồ 292Gb của SABO được để ngỏ trên internet mà không có bất kỳ biện pháp bảo vệ nào. Không mã hóa, không mật khẩu và có thể truy cập bởi bất kỳ ai biết địa chỉ của nó.

292Gb dữ liệu bị lộ

Cơ sở dữ liệu chứa 3.587.960 tài liệu PDF với đầy đủ thông tin nhạy cảm bao gồm: Họ tên đầy đủ; địa chỉ nhà riêng; email cá nhân; số điện thoại; các thông tin định danh cá nhân khác...

Điều đáng lo ngại hơn là con số thực tế của nạn nhân có thể cao hơn nhiều so với số lượng file PDF. Fowler giải thích rằng trong một file PDF đơn lẻ, có thể chứa thông tin của 50 đơn hàng khác nhau. Điều này có nghĩa số lượng khách hàng bị ảnh hưởng có thể lên tới 175 triệu người, gấp 50 lần so với ước tính ban đầu.

Đặc biệt nghiêm trọng, dữ liệu bị rò rỉ ở trong khoảng thời gian từ năm 2015 đến 2025, nghĩa là thông tin của khách hàng đã được tích lũy trong suốt một chục năm. Hệ thống quản lý tài liệu nội bộ này được thiết kế để theo dõi việc bán hàng, đổi trả và các chứng từ vận chuyển trong nước cũng như quốc tế.

Điều này có nghĩa là một số thông tin có thể đã lỗi thời nhưng vẫn có giá trị cho tội phạm mạng. Ngoài ra, có thể lộ một số thông tin vẫn còn rất mới, chính xác, và nguy hiểm hơn là toàn bộ lịch sử mua sắm, thói quen tiêu dùng của khách hàng bị phơi bày

Phản ứng chậm trễ

Khi Fowler liên hệ với SABO để báo cáo lỗ hổng này, công ty đã khóa cơ sở dữ liệu "trong vòng vài giờ". Tuy nhiên, SABO hoàn toàn không phản hồi email của nhà nghiên cứu, tạo ra nhiều câu hỏi không lời đáp: "Cơ sở dữ liệu đã bị phơi bày trong bao lâu?"; "Ai là người chịu trách nhiệm duy trì hệ thống này?"; "Đã có ai khác phát hiện và khai thác dữ liệu trước đó chưa?"; "SABO có kế hoạch thông báo cho khách hàng bị ảnh hưởng không?"...

Với thông tin cá nhân bị rò rỉ, khách hàng của SABO đang đối mặt với nhiều rủi ro nghiêm trọng. Trước hết, bọn tội phạm có thể sử dụng thông tin cá nhân để mở tài khoản ngân hàng, đăng ký dịch vụ hoặc thực hiện các giao dịch gian lận dưới danh nghĩa nạn nhân.

Ngoài ra, với danh sách email và số điện thoại cực nhiều, bọn tội phạm có thể thực hiện các chiến dịch lừa đảo có mục tiêu rất chính xác. Thông tin cá nhân cũng có thể được sử dụng để truy cập vào các tài khoản khác của nạn nhân thông qua việc đoán mật khẩu hoặc câu hỏi bảo mật.

Bài học về bảo mật

Vụ việc SABO là một ví dụ điển hình về sự bất cẩn trong quản lý dữ liệu khách hàng. Dù là một thương hiệu có doanh thu 18 triệu USD năm 2024 và ba cửa hàng tại Úc, SABO đã mắc phải những lỗi cơ bản nhất trong bảo mật thông tin: Không mã hóa dữ liệu nhạy cảm; không thiết lập mật khẩu bảo vệ; cơ sở dữ liệu bị tiếp cận công khai từ internet; không có hệ thống giám sát truy cập...

Các chuyên gia đưa ra cảnh báo đối với khách hàng SABO. Việc đầu tiên là thay đổi mật khẩu tất cả tài khoản quan trọng ngay lập tức. Tiếp theo là giám sát chặt chẽ các tài khoản ngân hàng và thẻ tín dụng; cảnh giác với email và cuộc gọi đáng ngờ; cân nhắc đăng ký dịch vụ giám sát danh tính.

Còn đối với các doanh nghiệp, các chuyên gia khuyến nghị thực hiện kiểm tra bảo mật toàn diện ngay lập tức; không bao giờ để dữ liệu khách hàng không được mã hóa; thiết lập nhiều lớp bảo vệ cho cơ sở dữ liệu; xây dựng quy trình phản ứng sự cố rõ ràng.

Vụ việc SABO một lần nữa nhắc nhở chúng ta rằng trong thời đại số, dữ liệu cá nhân là tài sản quý giá cần được bảo vệ nghiêm ngặt. Sự bất cẩn của một doanh nghiệp có thể gây ra hậu quả nghiêm trọng cho hàng triệu người tiêu dùng.