Một sự cố rò rỉ dữ liệu nghiêm trọng đã được xác nhận tại Coupang, một gã khổng lồ thương mại điện tử Hàn Quốc. Vụ việc này đã ảnh hưởng đến khoảng 33,7 triệu khách hàng, gần như toàn bộ cơ sở người dùng của công ty, gây ra mối lo ngại lớn về an ninh mạng.

Sự cố data breach này bắt nguồn từ việc một cựu nhân viên đã lợi dụng các thông tin xác thực truy cập nội bộ chưa bị thu hồi. Điều này cho thấy một điểm yếu nghiêm trọng trong quản lý định danh và truy cập, dẫn đến việc hệ thống bị xâm nhập một cách trái phép.

Quy mô và Loại dữ liệu Rò rỉ từ Coupang

Chi tiết Thông tin Bị ảnh hưởng trong Vụ việc

Các dữ liệu cá nhân bị phơi nhiễm bao gồm tên đầy đủ của khách hàng, số điện thoại liên hệ, địa chỉ email, địa chỉ giao hàng chi tiết và toàn bộ lịch sử đặt hàng. Quy mô của vụ rò rỉ dữ liệu này được đánh giá là chưa từng có tiền lệ đối với Coupang, gây ảnh hưởng sâu rộng.

Mặc dù vậy, công ty đã trấn an khách hàng rằng các dữ liệu tài chính nhạy cảm, bao gồm số thẻ tín dụng, thông tin thanh toán và mật khẩu tài khoản, không bị xâm phạm. Đây là một khía cạnh quan trọng giúp giảm thiểu các rủi ro tài chính trực tiếp và tức thì cho người dùng.

Khuyến nghị Người dùng và Cảnh báo Phishing

Coupang đã công bố thông tin chi tiết tại trang thông báo chính thức, trong đó nêu rõ người dùng bị ảnh hưởng không cần thực hiện các hành động bảo vệ cụ thể đối với tài khoản của họ vào thời điểm hiện tại.

Tuy nhiên, công ty cũng khuyến cáo người dùng cần duy trì cảnh giác cao độ trước các nỗ lực lừa đảo (phishing) tiềm ẩn. Các email hoặc tin nhắn giả mạo có thể được gửi đến, ngụy trang dưới dạng thông tin liên lạc chính thức từ Coupang, nhằm đánh cắp thông tin đăng nhập hoặc dữ liệu cá nhân nhạy cảm khác. Việc xác minh nguồn gốc thông tin là cực kỳ quan trọng.

Diễn biến và Quy trình Phát hiện Sự cố Rò rỉ Dữ liệu

Mốc thời gian Xâm nhập và Nhận diện Ban đầu

Quyền truy cập trái phép vào hệ thống của Coupang được cho là đã bắt đầu từ ngày 24 tháng 6 năm 2025. Đáng chú ý, vụ việc này đã không được phát hiện trong suốt nhiều tháng sau đó, cho thấy một khoảng thời gian dài kẻ tấn công hoạt động tự do.

Coupang lần đầu tiên xác định hoạt động bất thường vào ngày 18 tháng 11 cùng năm. Ban đầu, công ty ước tính chỉ có khoảng 4.500 tài khoản bị ảnh hưởng, một con số thấp hơn rất nhiều so với thực tế của vụ rò rỉ dữ liệu.

Phạm vi rò rỉ Thực tế và Liên kết Nước ngoài

Một cuộc điều tra nội bộ sâu rộng và kỹ lưỡng sau đó đã tiết lộ mức độ thiệt hại thực sự. Hàng chục triệu hồ sơ khách hàng đã bị truy cập một cách trái phép thông qua một kết nối internet ở nước ngoài.

Việc phát hiện muộn và ước tính ban đầu sai lệch nhấn mạnh sự cần thiết phải cải thiện đáng kể các quy trình giám sát an ninh liên tục và năng lực phản ứng sự cố. Đây là bài học quan trọng cho mọi tổ chức về bảo mật thông tin.

Phân tích Nguyên nhân Gốc rễ: Lỗ hổng Quản lý Định danh và Truy cập (IAM)

Thất bại trong Giao thức IAM dẫn đến Xâm nhập

Sự cố rò rỉ dữ liệu này làm nổi bật một thất bại nghiêm trọng và có hệ thống trong các giao thức quản lý truy cập và nhận dạng (IAM) của Coupang. IAM là nền tảng cốt lõi của bảo mật, và việc quản lý yếu kém đã trực tiếp dẫn đến việc hệ thống bị xâm nhập.

Theo các báo cáo, công ty đã không thu hồi các khóa ký mật mã (cryptographic signing keys) liên quan đến một cựu nhân viên sau khi người này rời khỏi tổ chức. Việc để lộ các khóa này mà không thu hồi là một lỗ hổng bảo mật nghiêm trọng, tạo cơ hội cho kẻ tấn công.

Khai thác Khóa ký và Mã thông báo Truy cập

Nghi phạm, một cựu nhân viên từng có liên quan đến các hệ thống xác thực của Coupang, được cho là đã lợi dụng các khóa ký hợp lệ này. Các khóa này cho phép kẻ tấn công tạo ra các mã thông báo truy cập (access tokens) trái phép.

Những mã thông báo này đóng vai trò như “chìa khóa vàng”, cấp phép cho kẻ tấn công bỏ qua các quy trình đăng nhập tiêu chuẩn và kiểm soát truy cập thông thường. Điều này cho phép họ truy cập hệ thống từ xa một cách không bị cản trở.

Coupang đã thừa nhận rằng, mặc dù các tiêu chuẩn ngành về thời hạn hiệu lực của khóa có thể khác nhau, nhưng các khóa cụ thể được sử dụng trong cuộc tấn công này vẫn có giá trị rất lâu sau khi nhân viên đã nghỉ việc. Đây là một thiếu sót nghiêm trọng trong chính sách thu hồi tài khoản và quản lý vòng đời khóa.

Điều tra và Hậu quả Pháp lý Tiềm tàng từ Vụ Rò rỉ Dữ liệu

Tiến trình Điều tra và Hợp tác Quốc tế

Cơ quan Cảnh sát Thủ đô Seoul hiện đang tích cực phân tích các nhật ký máy chủ (server logs) chi tiết để hiểu rõ hơn về luồng tấn công. Họ cũng đang hợp tác chặt chẽ với các cơ quan quốc tế để theo dõi địa chỉ IP liên quan đến vụ xâm nhập và xác định danh tính kẻ tấn công.

Các nhà điều tra đang nỗ lực xác định liệu nghi phạm có liên quan đến một loạt email ẩn danh gửi đến Coupang hay không. Những email này đe dọa tiết lộ các lỗ hổng bảo mật của công ty nhưng không bao gồm bất kỳ yêu cầu tiền chuộc nào, điều này làm phức tạp thêm động cơ của vụ việc.

Rủi ro Pháp lý và Mức phạt Kỷ lục

Hậu quả pháp lý đối với Coupang sau vụ rò rỉ dữ liệu này có thể rất lớn và mang tính lịch sử. Theo Đạo luật Bảo vệ Thông tin Cá nhân của Hàn Quốc, các công ty có thể bị phạt tới 3% doanh thu trung bình hàng năm nếu vi phạm các quy định bảo vệ dữ liệu.

Với doanh thu gần đây của Coupang, mức phạt tiềm năng có thể lên tới 1 nghìn tỷ won (tương đương khoảng 680 triệu USD). Con số này có thể phá vỡ kỷ lục phạt trước đó là 134,8 tỷ won, được thiết lập từ một vụ vi phạm dữ liệu viễn thông trước đây.

Coupang hiện đang trong quá trình thông báo cho tất cả các cá nhân bị ảnh hưởng thông qua email và tin nhắn văn bản. Đồng thời, công ty cũng đang hợp tác đầy đủ và minh bạch với Ủy ban Bảo vệ Thông tin Cá nhân và Cơ quan An ninh và Internet Hàn Quốc để giải quyết vụ việc.