Coupang và cuộc khủng hoảng dữ liệu tồi tệ nhất thập kỷ: 33,7 triệu người dùng Hàn Quốc bị lộ thông tin

Hàn Quốc, một quốc gia với đời sống thường nhật vận hành gần như hoàn toàn trên nền tảng trực tuyến, đang phải đối mặt với cuộc khủng hoảng dữ liệu nghiêm trọng nhất trong hơn một thập kỷ qua.

Coupang, nền tảng thương mại điện tử lớn nhất xứ sở kim chi, đã chính thức xác nhận thông tin cá nhân của 33,7 triệu tài khoản khách hàng, tương đương khoảng ba phần tư dân số trưởng thành của Hàn Quốc, đã bị đánh cắp. Sự việc này không chỉ làm rung chuyển niềm tin của người tiêu dùng mà còn phơi bày những lỗ hổng mang tính hệ thống trong cơ sở hạ tầng an ninh mạng quốc gia.
 

Tâm điểm của cuộc điều tra đang hướng về một cựu nhân viên mang quốc tịch Trung Quốc của Coupang. Người này được xác định là nghi phạm chính trong việc khai thác các lỗ hổng bảo mật để truy cập trái phép vào dữ liệu khách hàng.

Theo các nguồn tin thân cận, nghi phạm đã nghỉ việc vào tháng 10 và hiện đã rời khỏi Hàn Quốc, gây khó khăn lớn cho công tác điều tra. Sự việc chỉ được phát giác sau khi nghi phạm gửi email đe dọa đến một số khách hàng kèm theo hình ảnh lịch sử đặt hàng và số điện thoại của họ với thông điệp "Tôi biết thông tin cá nhân của bạn", kích hoạt làn sóng khiếu nại dẫn đến cuộc điều tra nội bộ của công ty.

Ban đầu, khi báo cáo lên Cơ quan An ninh và Internet Hàn Quốc (KISA) vào ngày 20 tháng 11, Coupang cho biết chỉ có khoảng 4.500 khách hàng bị ảnh hưởng. Tuy nhiên, con số này đã tăng vọt lên mức 33,7 triệu chỉ trong vòng chín ngày sau đó khi các nhà điều tra phát hiện phạm vi xâm nhập rộng lớn hơn nhiều, kéo dài từ giữa tháng 6 đến tháng 11. Dữ liệu bị rò rỉ bao gồm tên, địa chỉ email, số điện thoại di động, địa chỉ giao hàng và một phần lịch sử đặt hàng.

Mặc dù Coupang khẳng định các thông tin nhạy cảm như chi tiết thanh toán, số thẻ tín dụng hay mật khẩu đăng nhập không bị ảnh hưởng, và dữ liệu bị lộ bao gồm cả các tài khoản cũ hoặc không hoạt động, nhưng quy mô của vụ việc vẫn được xem là thảm họa dữ liệu lớn nhất kể từ sự cố Cyworld–Nate năm 2011.
 

​​​​​​​Nguyên nhân kỹ thuật dẫn đến vụ rò rỉ được xác định nằm ở sự lơ là nghiêm trọng trong việc quản lý các khóa xác thực (signature keys).

Trong hệ thống bảo mật, nếu ví mã thông báo truy cập (access token) như một tấm vé vào cửa một lần, thì khóa xác thực đóng vai trò như con dấu để hợp thức hóa tấm vé đó. Cuộc điều tra cho thấy Coupang đã thất bại trong quy trình bảo mật cơ bản nhất là xóa hoặc gia hạn các khóa này sau khi nhân viên nghỉ việc.

Nghi phạm được cho là đã sử dụng các mã token quản trị với thời gian hiệu lực kéo dài thay vì các token người dùng thông thường chỉ có hiệu lực trong 30 đến 60 phút, kết hợp với các khóa xác thực bị bỏ quên để duy trì quyền truy cập trái phép vào hệ thống mà không cần qua các bước đăng nhập thông thường.

Nghị sĩ Choi Min-hee, Chủ tịch Ủy ban Khoa học, Công nghệ Thông tin và Truyền thông Quốc hội, đã chỉ trích gay gắt rằng việc Coupang để các khóa này tồn tại từ 5 đến 10 năm mà không thay đổi không đơn thuần là sai phạm cá nhân, mà là kết quả của các vấn đề cấu trúc và tổ chức trong việc coi thường hệ thống xác thực.

Bộ trưởng Khoa học và Công nghệ Thông tin, ông Bae Kyung-hoon, cũng nhận định kẻ tấn công đã tận dụng triệt để điểm yếu này trong xác thực máy chủ để trích xuất dữ liệu khổng lồ.
 

​​​​​​​Vụ việc của Coupang đặc biệt đáng báo động khi đặt trong bối cảnh hàng loạt vụ tấn công mạng quy mô lớn khác diễn ra trong năm 2025. Nếu tính cả vụ rò rỉ 23,24 triệu dữ liệu thuê bao của nhà mạng SK Telecom và hơn 6 triệu tài khoản game của Netmarble, các nhà phân tích ước tính đã có hơn 80 triệu hồ sơ dữ liệu bị rò rỉ tại Hàn Quốc chỉ trong năm nay.

Điều đáng nói là trong khi các vụ tấn công vào SK Telecom hay KT chủ yếu đến từ tin tặc bên ngoài sử dụng các thiết bị trạm phát sóng giả mạo tinh vi, thì vụ việc tại Coupang lại là một cuộc tấn công từ nội bộ, cho thấy mối nguy hiểm tiềm tàng từ chính những người nắm giữ quyền truy cập hệ thống.

Giới chuyên gia chỉ ra rằng nguyên nhân sâu xa của chuỗi thất bại này là tình trạng đầu tư dưới mức cần thiết cho an ninh mạng một cách mãn tính tại Hàn Quốc.

Theo số liệu thống kê, tỷ lệ ngân sách CNTT dành cho bảo mật của các công ty Hàn Quốc chỉ đạt trung bình 6,29% vào năm ngoái, thấp hơn nhiều so với mức trung bình 13,2% của các công ty Mỹ.

Bản thân Coupang cũng chỉ dành khoảng 4,6% ngân sách CNTT cho hạng mục này.

Giáo sư Kwon Hun-yeong từ Đại học Korea nhận định mức chi tiêu hiện tại là hoàn toàn không đủ và khuyến nghị con số này cần tiệm cận mức 9%. Ông cũng nhấn mạnh sự cần thiết của nguyên tắc "Zero-trust" (Không tin tưởng bất kỳ ai), yêu cầu giám sát chặt chẽ ngay cả với nhân viên nội bộ và phân quyền truy cập dữ liệu ở mức tối thiểu cần thiết.
 

Hệ quả nhãn tiền của vụ việc đã phản ánh ngay lập tức lên thị trường tài chính khi cổ phiếu Coupang giảm tới 7,5% trong phiên giao dịch sau giờ làm việc.

CEO Coupang, ông Park Dae-jun, đã phải lên tiếng xin lỗi và công ty tuyên bố tách biệt vai trò Giám đốc An ninh Thông tin và Giám đốc Quyền riêng tư để củng cố hệ thống. Tuy nhiên, đây đã là sự cố lộ thông tin cá nhân lần thứ tư của Coupang kể từ năm 2020, dấy lên lo ngại về tính răn đe của pháp luật khi tổng số tiền phạt cho các vi phạm trước đây chỉ vỏn vẹn khoảng 1,6 tỷ won.

Trước tình hình cấp bách, Ủy ban Bảo vệ Thông tin Cá nhân (PIPC) tuyên bố sẽ áp dụng các biện pháp trừng phạt nghiêm khắc nếu xác nhận được các vi phạm về nghĩa vụ quản lý an toàn.

Cơ quan này đang lên kế hoạch yêu cầu các doanh nghiệp phải phân bổ tối thiểu 10% tổng ngân sách CNTT cho bảo vệ dữ liệu vào năm 2027 và tăng lên 15% vào năm 2030. Đồng thời, chính phủ cũng đang xem xét các cơ chế ưu đãi thuế tương tự như tại Mỹ để khuyến khích doanh nghiệp đầu tư vào công nghệ phát hiện mối đe dọa và mã hóa dữ liệu.

​​​​​​​Vụ rò rỉ tại Coupang được kỳ vọng sẽ là cú hích buộc các nền tảng kỹ thuật số tại Hàn Quốc phải thay đổi tư duy, đặt an ninh dữ liệu lên hàng đầu thay vì chỉ ưu tiên mở rộng thương mại như trước đây.