Công ty bảo hiểm Allstate bị kiện vì rò rỉ dữ liệu khách hàng

Theo Hãng thông tấn Reuters, mới đây, Tổng chưởng lý bang New York Letitia James đã nộp đơn kiện Allstate lên tòa án tại Manhattan, cáo buộc đơn vị National General – thuộc Allstate để xảy ra hai vụ rò rỉ dữ liệu vào năm 2020 và 2021. Tin tặc đã xâm nhập hệ thống báo giá bảo hiểm xe trực tuyến của công ty, đánh cắp số giấy phép lái xe của hơn 165.000 người tại bang New York và tổng cộng 199.000 khách hàng trên toàn nước Mỹ.

Đặc biệt, National General không thông báo vụ rò rỉ đầu tiên (diễn ra từ tháng 8 đến tháng 11/2020) cho khách hàng hoặc cơ quan chức năng. Đến vụ rò rỉ thứ hai vào tháng 1/2021, công ty cũng mất ba tháng mới phát hiện ra sự cố.

Công ty bảo hiểm Allstate bị kiện do là rò rỉ dữ liệu. Ảnh: Reuters/Dado Ruvic/Illustration/File Photo

Theo bà Letitia James, National General đã vi phạm Đạo luật "Ngăn chặn tin tặc và cải thiện an ninh dữ liệu điện tử" của bang New York khi không đảm bảo an toàn thông tin khách hàng. Công ty này cũng bị cáo buộc vi phạm luật bảo vệ người tiêu dùng vì đưa ra tuyên bố sai lệch về chính sách bảo mật. Vụ kiện yêu cầu mức phạt dân sự 5.000 USD cho mỗi vi phạm, cùng với các biện pháp khắc phục hậu quả.

"Hệ thống bảo mật yếu kém của National General đã tạo điều kiện để tin tặc đánh cắp thông tin cá nhân của hàng trăm nghìn người. Các doanh nghiệp cần có trách nhiệm bảo vệ dữ liệu khách hàng để ngăn chặn nguy cơ gian lận và đánh cắp danh tính", bà James nhấn mạnh.

Phản hồi về vụ kiện, Allstate cho biết họ đã xử lý kịp thời sự cố. "Chúng tôi đã giải quyết vấn đề này từ nhiều năm trước, nhanh chóng bảo mật hệ thống sau khi phát hiện lỗ hổng trong công cụ báo giá trực tuyến có thể làm lộ số giấy phép lái xe", Allstate tuyên bố. "Chúng tôi đã thông báo cho cơ quan chức năng, liên hệ với khách hàng có thể bị ảnh hưởng và cung cấp dịch vụ giám sát tín dụng miễn phí như một biện pháp phòng ngừa."

Allstate, có trụ sở tại Northbrook, Illinois, đã mua lại National General với giá khoảng 4 tỷ USD vào tháng 1/2021. Trước đó, vào tháng 11/2023, chính quyền bang New York đã phạt công ty bảo hiểm Geico (thuộc Berkshire Hathaway) 9,75 triệu USD và Travelers 1,55 triệu USD vì những lỗ hổng bảo mật làm lộ thông tin cá nhân của khách hàng.

Tại Việt Nam, Bộ Công an đã phát hiện nhiều công ty mới thành lập, chuyên thu thập dữ liệu cá nhân trái phép nhằm mục đích kinh doanh. Những công ty này phát triển phần mềm ẩn giao dịch trên mạng để tự động thu thập thông tin và phân tích thành tập dữ liệu có giá trị.

Ngoài ra, các đối tượng còn phát tán mã độc nhằm thu thập dữ liệu cá nhân từ máy tính và thiết bị di động, tổ chức tấn công vào hệ thống máy tính của các cơ quan, tổ chức và doanh nghiệp nhằm chiếm đoạt dữ liệu.

Thời gian qua, hàng trăm cá nhân và tổ chức đã bị phát hiện liên quan đến việc bán dữ liệu cá nhân. Nhiều đường dây mua bán dữ liệu quy mô lớn đã bị lực lượng chức năng phát hiện và xử lý. Số lượng dữ liệu cá nhân bị thu thập và giao dịch trái phép lên tới hàng nghìn GB.

Chỉ trong hai năm từ 2019 đến 2020, Bộ Công an đã phát hiện hàng trăm cá nhân và tổ chức bán dữ liệu cá nhân, với nhiều đường dây quy mô lớn bị triệt phá. Gần 1,300GB dữ liệu cá nhân thu thập và mua bán trái phép đã được phát hiện, bao gồm thông tin nhạy cảm về cá nhân và tổ chức tại Việt Nam, như dữ liệu khách hàng của EVN, phụ huynh và học sinh trên toàn quốc, cùng với thông tin từ các ngân hàng như BIDV, Techcombank, AgriBank.

Tính riêng trong năm 2023, Bộ Công an đã xác minh 16 vụ việc liên quan đến việc lộ, rao bán thông tin và bí mật nhà nước trên không gian mạng. Qua công tác điều tra, cơ quan chức năng đã phát hiện dữ liệu bị rao bán công khai trên các nền tảng và diễn đàn như BreachedForums, Telegram và Facebook, với độ ẩn danh cao và phương thức thanh toán chủ yếu qua tiền mã hóa, làm cho việc truy vết trở nên khó khăn.

Duy Trinh