Sự vi phạm của T-Mobile còn tồi tệ hơn nhiều so với mức độ mà nó đã xảy ra

Phần lớn nạn nhân thậm chí không phải là khách hàng của T-Mobile. Bây giờ thông tin của họ bị rao bán trên dark web.

Trong số hơn 48 triệu nạn nhân của vụ vi phạm dữ liệu T-Mobile, hơn 40 triệu người hiện không phải là khách hàng của họ. Ảnh: Justin Sullivan/Getty Images

Trong một email lúc đêm muộn, T-Mobile đã chia sẻ chi tiết về vụ vi phạm dữ liệu được xác nhận vào chiều thứ Hai. Không may là, các thể loại dữ liệu từ hơn 48 triệu người đã bị xâm phạm, ít hơn nhiều so với con số 100 triệu mà hacker đã tuyên bố ban đầu, phần lớn những người bị ảnh hưởng hóa ra không phải là khách hàng hiện tại của T-Mobile.

Tin cho biết, T-Mobile nói rằng trong số những người có dữ liệu bị xâm phạm, hơn 40 triệu người là khách hàng cũ hoặc tương lai đã đăng ký tín dụng với nhà mạng. 7,8 triệu khác là khách hàng “trả sau” hiện tại, có nghĩa là khách hàng của T-Mobile được thanh toán vào cuối mỗi tháng. Khoảng 48 triệu người dùng đó đã bị đánh cắp Họ Tên, Ngày Tháng Năm Sinh, Số An Sinh Xã Hội và Thông Tin Bằng Lái Xe. Thêm 850.000 khách hàng trả trước — những người nạp tiền trước vào tài khoản — đã bị lộ tên, số điện thoại và mã PIN. Cuộc điều tra đang diễn ra, có nghĩa là con số này có thể không dừng lại ở đó.

Dĩ nhiên là không có tin tốt nào ở đây, nhưng chúng ta có 1 tin tốt hơn phần còn lại là phần lớn khách hàng dường như không bị lấy số điện thoại, số tài khoản, mã PIN, mật khẩu hoặc thông tin tài chính của họ trong sự kiện vi phạm này. Tuy nhiên, câu hỏi lớn hơn là liệu T-Mobile có thực sự cần thiết để nắm giữ những thông tin nhạy cảm như vậy từ 40 triệu người hiện không kinh doanh hay không. Hoặc nếu công ty sẽ dự trữ dữ liệu đó, tại sao họ không thực hiện các biện pháp phòng ngừa tốt hơn để bảo vệ nó.

Amy Keller, một đối tác của công ty luật DiCello Levitt Gutzler, người dẫn đầu vụ kiện tập thể chống lại Equifax sau vụ vi phạm năm 2017 của văn phòng tín dụng, cho biết: “Nói chung, vẫn là Miền Tây Hoang Dã ở Hoa Kỳ khi nói đến các loại thông tin mà các công ty có thể lưu giữ về chúng tôi”. “Tôi ngạc nhiên và cũng không ngạc nhiên lắm. Tôi đoán bạn có thể nói rằng tôi thất vọng. ”

Những người ủng hộ quyền riêng tư từ lâu đã ủng hộ khái niệm giảm thiểu dữ liệu, một thực tiễn khá dễ hiểu nhằm khuyến khích các công ty nắm giữ càng ít thông tin càng tốt. Quy định chung về bảo vệ dữ liệu của Châu Âu hệ thống hóa thông lệ, yêu cầu dữ liệu cá nhân phải “đầy đủ, phù hợp và giới hạn ở những gì cần thiết liên quan đến mục đích mà chúng được xử lý”. Hoa Kỳ hiện không có quy định tương đương. Keller nói: “Các luật về quyền riêng tư ở Hoa Kỳ liên quan đến việc giảm thiểu dữ liệu thường không yêu cầu”, “và thay vào đó, chúng tôi được khuyến nghị nên sử dụng nó như một Thực hành tốt nhất (best practice)”.

Cho đến khi và trong trường hợp Hoa Kỳ thông qua luật bảo mật omnibus tương tự như GDPR — hoặc luật cấp tiểu bang như Đạo luật về quyền riêng tư của người tiêu dùng California một cách nghiêm khắc hơn — việc giảm thiểu dữ liệu sẽ vẫn là một khái niệm xa lạ. David Opderbeck, đồng giám đốc Viện Luật, Khoa học và Công nghệ của Đại học Seton Hall cho biết: “Nhìn chung, việc thu thập và lưu giữ dữ liệu nhạy cảm của khách hàng tiềm năng và khách hàng cũ không phải là hành vi lừa đảo người tiêu dùng theo luật pháp Hoa Kỳ. Có vẻ như không phù hợp khi T-Mobile lưu giữ hồ sơ chi tiết về hàng triệu người có thể chưa bao giờ là khách hàng của họ, nhưng không có gì ngăn cản T-Mobile làm như vậy, miễn là họ thích.

Giờ đây, những khách hàng cũ và tương lai đã đề cập ở trên, cùng với hàng triệu thuê bao T-Mobile hiện tại, nhận thấy mình là nạn nhân của một vụ vi phạm dữ liệu mà họ không thể kiểm soát được. John LaCour, người sáng lập và CTO của công ty bảo vệ rủi ro kỹ thuật số PhishLabs cho biết: “Rủi ro đầu tiên là hành vi trộm cắp danh tính. Thông tin bao gồm tên, số an sinh xã hội, ID bằng lái xe: tất cả thông tin cần thiết để đăng ký tín dụng với tư cách là một người nào đó.”

LaCour cho biết, vụ hack cũng có khả năng làm cho việc thực hiện cái gọi là các cuộc tấn công hoán đổi SIM trở nên dễ dàng hơn, đặc biệt là đối với những khách hàng trả trước đã bị lộ mã PIN và số điện thoại. Trong trường hợp hoán đổi SIM, tin tặc sẽ chuyển số của bạn vào thiết bị của chúng, thường là để chúng có thể chặn mã xác thực hai yếu tố dựa trên SMS, khiến việc xâm nhập vào tài khoản trực tuyến của bạn dễ dàng hơn. T-Mobile đã không trả lời câu hỏi từ WIRED về việc liệu các số Nhận dạng Thiết bị Di động Quốc tế (IMEI) có liên quan đến vụ vi phạm hay không; mỗi thiết bị di động có một IMEI duy nhất cũng có giá trị nhất định đối với kẻ thực hiện hoán đổi SIM.

T-Mobile đã thay mặt các nạn nhân thực hiện một số biện pháp phòng ngừa. Họ cung cấp hai năm dịch vụ bảo vệ danh tính từ Dịch vụ Bảo vệ Trộm cắp ID của McAfee và đã đặt lại mã PIN của 850.000 khách hàng trả trước đã bị lộ mã PIN của họ. Họ cũng khuyến nghị nhưng không bắt buộc tất cả khách hàng trả sau hiện tại phải thay đổi mã PIN và đồng thời cung cấp một dịch vụ được gọi là Bảo vệ tiếp quản tài khoản để giúp ngăn chặn các cuộc tấn công hoán đổi SIM. T-Mobile cũng có kế hoạch xuất xưởng một trang web cho “thông tin một cửa” vào thứ Tư, mặc dù công ty không cho biết liệu họ có cung cấp bất kỳ hình thức tra cứu nào để xem liệu bạn có bị ảnh hưởng bởi vi phạm hay không.

Thay vào đó, T-Mobile cho biết họ sẽ chủ động tiếp cận nạn nhân. Nhà cung cấp dịch vụ không trả lời câu hỏi từ WIRED về việc họ có kế hoạch cụ thể nào cho cuộc liên lạc đó hay không và họ sẽ chia sẻ thông tin cụ thể nào với những người có dữ liệu bị xâm phạm. LaCour cho biết, ngay cả việc chia sẻ điều gì đó đơn giản như thời gian biểu cũng sẽ hữu ích để mọi người có thể nhận thức rõ ràng trong trường hợp họ không phải là khách hàng lâu năm của T-Mobile.

Trong thời gian chờ đợi, nếu bạn là khách hàng hiện tại của T-Mobile, bạn nên tiếp tục và thay đổi mã PIN và mật khẩu của mình; bạn có thể làm như vậy từ tài khoản T-Mobile trực tuyến của mình. Bạn nên dành hai năm miễn phí theo dõi ID, mặc dù vẫn chưa rõ điều đó sẽ hoạt động như thế nào trong thực tế. Bạn nên bắt đầu sử dụng xác thực hai yếu tố dựa trên ứng dụng bất cứ khi nào có thể, thay vì nhận các mã đó bằng văn bản. Một mức độ cao hơn, bạn có thể liên hệ với ba văn phòng tín dụng lớn và yêu cầu đóng băng báo cáo tín dụng của bạn, điều này sẽ ngăn không cho bất kỳ ai truy cập hoặc mở tài khoản mới dưới danh nghĩa của bạn.

Seton Hall’s Opderbeck cho biết, vì Mỹ thiếu luật an ninh mạng toàn diện, các cơ quan như Ủy ban Truyền thông Liên bang và Ủy ban Thương mại Liên bang có những cách hạn chế để gây áp lực, mặc dù vụ việc đã thu hút sự giám sát của FCC. “Các công ty viễn thông có nhiệm vụ bảo vệ thông tin của khách hàng của họ,” một phát ngôn viên của cơ quan cho biết trong một tuyên bố gửi qua email. “FCC đã biết về các báo cáo vi phạm dữ liệu ảnh hưởng đến khách hàng của T-Mobile và chúng tôi đang điều tra.”

Nếu T-Mobile phải đối mặt với hậu quả do vi phạm — lần thứ sáu trong bốn năm — thì nhiều khả năng nó sẽ đến từ một vụ kiện tập thể. Opderbeck nói rằng nghiên cứu của ông đã chỉ ra hơn 30 cuộc dàn xếp vi phạm dữ liệu trong vài năm qua dẫn đến một khoản thanh toán bằng tiền mặt nhỏ và theo dõi tín dụng miễn phí như một khoản bồi hoàn. Và Keller lưu ý rằng ngay cả lộ trình kiện tụng tập thể cũng có thể khó đi, vì một điều khoản trong hợp đồng T-Mobile có thể buộc khách hàng phải hầu tòa.

Không thực tế khi mong đợi mọi công ty ngăn chặn mọi hành vi vi phạm, đặc biệt là khi những công ty đó sở hữu dữ liệu có giá trị cao đối với tin tặc. Nhưng điều hợp lý là hy vọng rằng một doanh nghiệp ở vị trí đó sẽ thực hiện mọi biện pháp bảo mật để hạn chế tác động của những tổn hại đó. Lưu giữ hồ sơ chi tiết của hơn 40 triệu khách hàng cũ hoặc khách hàng tiềm năng — bao gồm cả số an sinh xã hội của họ và thông tin bằng lái xe — dường như là một sự thiếu thận trọng. Đến cuối ngày, không ai có thể lấy cắp được thứ gì cả nếu chúng không tồn tại ở đó ngay từ đầu.

18/08/2021

Nguồn: wired.com