Papa John's Hàn Quốc bị tố rò rỉ 37 triệu dữ liệu khách hàng: Lỗi bảo mật nghiêm trọng gây chấn động

Một cáo buộc nghiêm trọng vừa được đưa ra, cho rằng chuỗi pizza Papa John's tại Hàn Quốc có khả năng đã để lộ thông tin của hơn 37 triệu khách hàng trong gần 9 năm qua. Vụ việc này đã khiến Ủy ban Bảo vệ Thông tin Cá nhân phải vào cuộc điều tra khẩn cấp.

Lỗ hổng bảo mật đáng báo động trên website Papa John's Hàn Quốc

Theo thông tin từ văn phòng Nghị sĩ Choi Min-hee, Chủ tịch Ủy ban Khoa học, Công nghệ Thông tin, Phát thanh và Truyền thông Quốc hội (Đảng Dân chủ), vào ngày 27 tháng 6, vấn đề bảo mật tại Papa John's Hàn Quốc đã được một chuyên gia công nghệ thông tin (IT) phát hiện.

Cụ thể, vào chiều ngày 21 tháng 6, ông Kim (30 tuổi), một người làm trong ngành IT, đã đặt pizza trên website của Papa John's Hàn Quốc. Khi kiểm tra tình trạng đơn hàng trên trang theo dõi, ông phát hiện một lỗ hổng bảo mật gây sốc. Bằng cách thay đổi một vài con số cuối cùng trong dãy 9 chữ số của URL (địa chỉ internet) trên thanh địa chỉ của trang theo dõi đơn hàng, ông Kim đã có thể truy cập thông tin cá nhân và đơn hàng của các khách hàng khác.

Các thông tin bị lộ được cho là bao gồm từ cơ bản như họ tên, số điện thoại, địa chỉ, đến những dữ liệu nhạy cảm hơn như email, ngày sinh, số thẻ ngân hàng, ngày hết hạn thẻ, biên lai thanh toán thẻ, mật khẩu cửa chung cư, và điểm tích lũy. Tổng cộng có hơn 10 loại thông tin cá nhân khác nhau có thể đã bị truy cập.

Ngay lập tức, ông Kim đã báo cáo vụ việc tới Trung tâm Báo cáo Vi phạm Thông tin Cá nhân của Cơ quan An ninh Internet Hàn Quốc (KISA) vào cùng ngày.

Hơn 37 triệu dữ liệu có nguy cơ bị rò rỉ trong 9 năm

Sau khi nhận được thông tin, văn phòng Nghị sĩ Choi Min-hee đã phối hợp với ông Kim để tự đánh giá mức độ rò rỉ thông tin khách hàng trên website của Papa John's Hàn Quốc.

Kết quả điều tra ban đầu cho thấy, có khả năng khoảng 37,32 triệu dữ liệu khách hàng đã bị rò rỉ tính từ ngày 1 tháng 1 năm 2017 cho đến thời điểm hiện tại, dựa trên số lượng đơn đặt hàng.

Theo hãng thông tấn Yonhap, ông Kim nhận định: "Trường hợp của Papa John's Hàn Quốc rất bất thường, vì người dùng có thể truy cập thông tin cá nhân của người khác chỉ bằng cách thay đổi số đơn hàng trên trình duyệt web mà không cần bất kỳ quy trình xác thực nào." Ông Kim nói thêm: "Thông thường, thông tin đơn hàng chỉ nên hiển thị khi khách hàng đã đăng nhập, và không nên hiển thị nếu không đăng nhập. Việc thiếu quy trình kiểm tra này là một vấn đề nghiêm trọng."

Trước tình hình này, Papa John's Hàn Quốc đã phải tiến hành các biện pháp khắc phục khẩn cấp. Công việc sửa lỗi được hoàn tất vào lúc 1 giờ 44 phút chiều ngày 25 tháng 6, tức là một ngày sau khi vụ việc được công khai và báo cáo.

Vụ việc một lần nữa gióng lên hồi chuông cảnh báo về an ninh mạng và trách nhiệm bảo vệ dữ liệu khách hàng của các doanh nghiệp, đặc biệt là những công ty có hệ thống đặt hàng trực tuyến lớn. Ủy ban Bảo vệ Thông tin Cá nhân dự kiến sẽ có những động thái điều tra tiếp theo để làm rõ vụ việc và đưa ra các biện pháp xử lý phù hợp.