Luxury jeweler Tiffany and Company đã xác nhận một sự cố rò rỉ dữ liệu nghiêm trọng, ảnh hưởng đến thông tin cá nhân của 2.590 khách hàng. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của việc bảo vệ dữ liệu trong môi trường kỹ thuật số ngày càng phức tạp.

Sự cố này liên quan đến việc truy cập trái phép vào một hệ thống bên ngoài, dẫn đến việc lộ lọt các dữ liệu nhạy cảm của khách hàng.

Tổng quan sự cố rò rỉ dữ liệu tại Tiffany & Co.

Dòng thời gian sự cố

Tiffany đã phát hiện việc truy cập trái phép vào một hệ thống bên ngoài vào ngày 9 tháng 9 năm 2025. Tuy nhiên, qua quá trình điều tra nội bộ và pháp y, công ty xác định rằng sự cố này bắt đầu từ ngày 12 tháng 5 năm 2025.

Khoảng thời gian từ lúc bắt đầu xâm nhập đến khi phát hiện đã cho phép kẻ tấn công có khả năng duy trì sự hiện diện trong hệ thống.

Công ty đã nhanh chóng hành động, thông báo cho các khách hàng bị ảnh hưởng bằng văn bản vào ngày 16 tháng 9 năm 2025, đồng thời nộp thông báo vi phạm dữ liệu cho chính quyền Maine theo yêu cầu của luật tiểu bang, thể hiện sự tuân thủ quy định.

Thông tin khách hàng bị ảnh hưởng

Vụ rò rỉ dữ liệu này đã khiến kẻ xâm nhập chiếm đoạt tên hoặc các định danh cá nhân khác kết hợp với dữ liệu khách hàng bổ sung. Mặc dù Tiffany chưa công bố chi tiết chính xác về tất cả các loại thông tin bị lộ, các định danh điển hình thường bao gồm:

• Tên đầy đủ và các định danh cá nhân: Thông tin cơ bản nhưng quan trọng, thường được dùng trong các cuộc tấn công lừa đảo (phishing) hoặc kỹ thuật xã hội.
• Địa chỉ gửi thư (Mailing Addresses): Có thể dẫn đến các cuộc tấn công vật lý hoặc lừa đảo qua thư.
• Địa chỉ email (Email Addresses): Là mục tiêu chính cho các chiến dịch lừa đảo qua email (phishing campaigns) và spam.
• Số điện thoại (Phone Numbers): Dễ bị lạm dụng cho các cuộc gọi lừa đảo (vishing) hoặc tin nhắn lừa đảo (smishing).

Tổng cộng có 2.590 cá nhân trên khắp Hoa Kỳ bị ảnh hưởng bởi sự cố data breach này, trong đó có 5 cư dân của tiểu bang Maine. Mặc dù số lượng cư dân Maine nhỏ, sự việc này vẫn kích hoạt các quy định về thông báo.

Phản ứng pháp lý và tuân thủ sau rò rỉ dữ liệu

Tác động theo quy định của tiểu bang Maine

Theo luật của tiểu bang Maine, các công ty thông báo về một vụ vi phạm ảnh hưởng đến hơn 1.000 cư dân của tiểu bang phải thông báo cho các cơ quan báo cáo tín dụng. Đây là một biện pháp bảo vệ nhằm giảm thiểu rủi ro đánh cắp danh tính cho những người bị ảnh hưởng.

Tuy nhiên, do chỉ có năm cư dân Maine bị ảnh hưởng, Tiffany không bắt buộc phải liên hệ với các tổ chức tín dụng. Điều này cho thấy tầm quan trọng của các ngưỡng pháp lý trong việc xác định phạm vi của các hành động tuân thủ sau một sự cố rò rỉ dữ liệu.

Để đảm bảo tuân thủ đầy đủ các yêu cầu pháp lý, Tiffany đã giữ lại đối tác pháp lý bên ngoài là công ty Hunton Andrews Kurth LLP để giám sát quy trình thông báo. Bà Lisa Sotto, đối tác của công ty luật, đã gửi thông báo chính thức về vụ vi phạm dữ liệu này thay mặt cho Tiffany, cung cấp thông tin chi tiết cho các cơ quan quản lý tiểu bang.

Một bản sao của thông báo gửi cho cư dân Maine có sẵn công khai trên trang web của Tổng chưởng lý tiểu bang, cung cấp sự minh bạch cần thiết: Thông báo rò rỉ dữ liệu Tiffany & Co. tại Maine.

Tiffany chưa ghi nhận bất kỳ thông báo vi phạm dữ liệu nào dựa trên tiểu bang khác trong 12 tháng qua và không có các sự cố tương tự cần báo cáo trước đó.

Tăng cường an ninh mạng và ngăn chặn rò rỉ dữ liệu trong tương lai

Chiến lược tăng cường bảo mật

Để đối phó với sự cố rò rỉ dữ liệu này và tăng cường khả năng phòng thủ trong tương lai, Tiffany and Company đã khởi động một đánh giá bảo mật toàn diện về các hệ thống của mình. Đánh giá này bao gồm việc hợp tác với các chuyên gia an ninh mạng hàng đầu để thực hiện một cuộc điều tra pháp y kỹ thuật số chuyên sâu, nhằm xác định chính xác nguyên nhân gốc rễ của vụ xâm nhập, thời gian kẻ tấn công có mặt trong hệ thống (dwell time), và phạm vi dữ liệu bị ảnh hưởng.

Các biện pháp này còn bao gồm việc tăng cường các lớp phòng thủ, triển khai các giao thức giám sát bổ sung như phân tích nhật ký (log analysis) và giám sát lưu lượng mạng (network traffic monitoring), nhằm phát hiện sớm các hoạt động bất thường.

Tiffany cũng đã củng cố chính sách mật khẩu hiện có, khuyến khích sử dụng mật khẩu mạnh, duy nhất và thường xuyên thay đổi. Đồng thời, công ty lên kế hoạch áp dụng xác thực đa yếu tố (MFA – Multi-Factor Authentication) trên tất cả các điểm truy cập bên ngoài. Việc triển khai MFA là một bước quan trọng để nâng cao bảo mật thông tin, giảm thiểu đáng kể rủi ro truy cập trái phép ngay cả khi thông tin đăng nhập chính bị lộ thông qua các cuộc tấn công như lừa đảo.

Ban lãnh đạo của Tiffany đã tái khẳng định cam kết bảo vệ quyền riêng tư của khách hàng và hứa hẹn minh bạch hoàn toàn trong quá trình điều tra và khắc phục. Nhà bán lẻ sẽ cung cấp các cập nhật thường xuyên về các nỗ lực khắc phục và bất kỳ phát hiện liên quan nào.

Các bước chủ động này thể hiện tầm quan trọng của việc liên tục cải thiện tư thế an ninh mạng và sẵn sàng đối phó với các mối đe dọa ngày càng tinh vi trong bối cảnh nguy cơ rò rỉ dữ liệu luôn hiện hữu.

Lời khuyên cho khách hàng bị ảnh hưởng

Khách hàng bị ảnh hưởng bắt đầu nhận được thư thông báo vào ngày 16 tháng 9 năm 2025, cảnh báo về việc truy cập trái phép và nguy cơ tiềm ẩn về việc lạm dụng dữ liệu cá nhân của họ. Tiffany đã chọn không cung cấp dịch vụ bảo vệ chống trộm danh tính, với lý do bản chất của thông tin bị tiết lộ và không có bằng chứng về việc lạm dụng tại thời điểm hiện tại.

Thay vào đó, công ty khuyến khích khách hàng chủ động theo dõi cẩn thận các báo cáo tài khoản, báo cáo tín dụng, và duy trì cảnh giác cao độ đối với các email hoặc cuộc gọi đáng ngờ. Việc này là cần thiết để phát hiện kịp thời bất kỳ hoạt động gian lận nào có thể phát sinh từ vụ rò rỉ dữ liệu này, đồng thời bảo vệ tài chính và danh tính của mình khỏi các mối đe dọa tiềm ẩn.