Vụ rò rỉ dữ liệu Coupang: Hơn 180 triệu bản ghi bị xâm nhập, sai sót quản lý nội bộ
Vụ rò rỉ dữ liệu Coupang: Hơn 180 triệu bản ghi bị xâm nhập

Vụ rò rỉ dữ liệu Coupang: Hơn 180 triệu bản ghi bị xâm nhập, sai sót quản lý nội bộ

Theo kết luận chính thức từ Bộ Khoa học và Công nghệ Thông tin Hàn Quốc, vụ vi phạm dữ liệu nghiêm trọng xảy ra năm 2025 tại tập đoàn thương mại điện tử Coupang đã dẫn đến việc xâm nhập trái phép tổng cộng 33,67 triệu bản ghi người dùng, bao gồm thông tin cá nhân như tên và địa chỉ email của khách hàng. Con số này vượt xa các tuyên bố ban đầu của công ty, cho thấy quy mô thực sự của sự cố an ninh mạng này.

Quy mô vụ việc lớn hơn nhiều so với công bố trước đó

Ngoài ra, trang danh sách giao hàng của Coupang – nơi lưu trữ dữ liệu nhạy cảm như tên, số điện thoại, địa chỉ nhận hàng và thậm chí là mật khẩu vào sảnh chung cư đã được ẩn danh – cũng bị truy cập bất hợp pháp tới 148 triệu lượt. Kết hợp lại, tổng số bản ghi bị ảnh hưởng lên tới hơn 180 triệu, một con số khổng lồ so với thông tin ban đầu mà Coupang đưa ra.

Trước đó, doanh nghiệp này chỉ thừa nhận khoảng 3.000 hồ sơ bị ảnh hưởng, sau đó điều chỉnh lên thêm 165.000 hồ sơ. Tuy nhiên, cơ quan chức năng Hàn Quốc nhấn mạnh rằng các thông tin do Coupang tự công bố chỉ mang tính tham khảo và không phản ánh đầy đủ quy mô thực tế của vụ việc.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Nguyên nhân từ sai sót quản lý nội bộ

Phát biểu tại cuộc họp báo ở Seoul, ông Choi Woo-hyuk – Cục trưởng Cục Chính sách An ninh mạng và Mạng lưới thuộc Bộ Khoa học và Công nghệ Thông tin – cho biết nhóm điều tra đã tiến hành xác minh độc lập bằng cách kiểm tra trực tiếp hệ thống máy chủ của Coupang. Mục đích là để xác định chính xác lượng dữ liệu bị truy cập và rò rỉ, từ đó đưa ra kết luận khách quan.

Theo kết quả điều tra, đối tượng tấn công là một cựu nhân viên của Coupang, người từng tham gia phát triển phần mềm xác thực người dùng. Người này đã đánh cắp khóa ký từ hệ thống xác thực, tiến hành thử nghiệm xâm nhập và sử dụng các công cụ thu thập dữ liệu tự động để sao chép khối lượng lớn thông tin. Đáng chú ý, đối tượng vẫn có thể truy cập hệ thống của Coupang sau khi đã rời công ty và từng gửi email đe dọa tới trụ sở doanh nghiệp.

Lỗ hổng bảo mật từ việc lưu trữ khóa ký trên máy tính cá nhân

Nhóm điều tra cũng chỉ ra rằng, quy định nội bộ của Coupang yêu cầu các khóa ký chỉ được lưu trữ trong hệ thống quản lý chuyên biệt, không được lưu trên máy tính cá nhân. Tuy nhiên, thực tế cho thấy một số lập trình viên của công ty đã lưu trữ các khóa này trên máy tính xách tay cá nhân, làm gia tăng đáng kể nguy cơ bị xâm nhập. Cơ quan chức năng kết luận đây là "sai sót rõ ràng trong công tác quản lý" chứ không phải một cuộc tấn công mạng tinh vi.

Coupang bị chỉ trích vì báo cáo chậm và không bảo toàn bằng chứng

Bộ Khoa học và Công nghệ Thông tin Hàn Quốc còn tiết lộ rằng Coupang đã không báo cáo kịp thời vụ việc cho cơ quan chức năng theo quy định, đồng thời không bảo toàn đầy đủ các bằng chứng quan trọng dù đã có yêu cầu trước đó. Do vậy, cơ quan quản lý sẽ áp dụng các biện pháp xử phạt hành chính đối với hành vi báo cáo chậm và tiếp tục mở rộng điều tra để làm rõ mọi khía cạnh của vụ việc.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Liên quan đến các đồn đoán cho rằng quá trình công bố kết quả bị trì hoãn do sức ép thương mại từ Mỹ, nhóm điều tra khẳng định việc xử lý vụ việc được thực hiện nghiêm túc, tuân thủ pháp luật và nguyên tắc minh bạch, không có sự phân biệt đối xử đối với bất kỳ doanh nghiệp nào. Vụ việc này một lần nữa nhấn mạnh tầm quan trọng của việc tuân thủ các quy định an ninh mạng và bảo vệ dữ liệu người dùng trong kỷ nguyên số.