Dữ liệu khách hàng của The North Face và Cartier bị đánh cắp trong làn sóng tấn công mạng

Theo trang BBC News, The North Face đã gửi email đến một số khách hàng, xác nhận xảy ra một vụ tấn công mạng nhỏ vào tháng 4/2025. Thủ phạm đã sử dụng kỹ thuật credential stuffing khai thác các tài khoản có tên đăng nhập và mật khẩu trùng lặp từ các vụ rò rỉ trước đó để truy cập trái phép vào hệ thống.

Thông tin cá nhân như tên, địa chỉ email, địa chỉ giao hàng và lịch sử mua hàng của khách đã bị truy xuất trái phép, tuy nhiên The North Face khẳng định dữ liệu tài chính không bị ảnh hưởng. Công ty yêu cầu các tài khoản liên quan phải thay đổi mật khẩu ngay lập tức để tránh rủi ro tiếp theo.

Thương hiệu thời trang The North Face trở thành mục tiêu của tin tặc đánh cắp dữ liệu khách hàng. Ảnh: Getty

Tập đoàn sở hữu The North Face, VF Corporation, trước đó cũng từng bị một vụ tấn công mạng riêng biệt vào tháng 12 năm 2023. Vụ việc này đã ảnh hưởng đến một thương hiệu khác của tập đoàn là Vans, khiến khách hàng của hãng được cảnh báo rằng thông tin cá nhân của họ có thể đang gặp rủi ro.

Trong khi đó, Cartier cho biết tin tặc đã “tạm thời truy cập trái phép vào hệ thống” và lấy đi một lượng nhỏ thông tin khách hàng. Theo thông báo gửi tới người dùng, vụ việc không ảnh hưởng đến mật khẩu hay thông tin thẻ tín dụng. Cartier đã nhanh chóng cô lập sự cố, tăng cường bảo mật và báo cáo với các cơ quan chức năng.

Theo chuyên gia an ninh mạng James Hadley - người sáng lập công ty Immersive, ngành bán lẻ đang trở thành mục tiêu hấp dẫn của tin tặc do lượng dữ liệu khách hàng khổng lồ mà họ nắm giữ. “Các doanh nghiệp bán lẻ như đang chất đầy dữ liệu người dùng, khiến chúng trở thành mục tiêu dễ dàng cho các cuộc tấn công có chủ đích,” ông cho biết.

Dữ liệu khách hàng bị đánh cắp dù không chứa thông tin tài chính vẫn có thể bị lợi dụng để mạo danh doanh nghiệp, thực hiện các cuộc lừa đảo tinh vi hơn. Tội phạm mạng “sẵn sàng chơi cuộc chơi dài hạn”, kiên nhẫn thu thập từng phần dữ liệu để xây dựng kịch bản tấn công xã hội hiệu quả.

Điển hình, Adidas trong tháng 5 cho biết đã bị đánh cắp thông tin từ bộ phận chăm sóc khách hàng. Cùng thời điểm, Victoria's Secret phải đóng cửa website Mỹ sau một “sự cố bảo mật”, trong khi chuỗi siêu thị Co-op tại Anh chứng kiến hàng loạt kệ hàng trống rỗng vì gián đoạn hệ thống hậu cần. Marks & Spencer (M&S) thậm chí dự báo sự cố mạng khiến doanh thu năm 2025 sụt giảm khoảng 300 triệu bảng Anh, dù họ đã chi trả tới 7 triệu bảng cho gói lương thưởng của Tổng Giám đốc. Những con số và thiệt hại này cho thấy rủi ro an ninh mạng không chỉ dừng ở phạm vi kỹ thuật mà đã ảnh hưởng trực tiếp đến vận hành, doanh thu và uy tín doanh nghiệp.

Tại Việt Nam, số điện thoại, địa chỉ email, tài khoản ngân hàng, hồ sơ y tế… đều có thể dễ dàng tìm mua trên mạng xã hội chỉ bằng một cái click chuột. Hệ quả là các hành vi lừa đảo qua mạng bùng phát, nghiêm trọng hơn là tạo cơ sở dữ liệu cho các cuộc tấn công lừa đảo có chủ đích, đánh cắp các thông tin tài khoản ngân hàng.

Ông Lê Quang Hà - Phó Giám đốc Công ty An ninh mạng Viettel chia sẻ: “Việc tấn công mã hóa dữ liệu và lấy cắp dữ liệu kết nối với các nhóm khác để mua bán dữ liệu do khả năng bảo vệ của người dùng trên không gian mạng chưa cao”.

Thượng tá Lê Xuân Thủy - Giám đốc Trung tâm Dữ liệu Quốc gia A05 Bộ Công an cho hay: “Động cơ, mục đích của các đối tượng mua bán dữ liệu là phục vụ cho lừa đảo. Qua tìm hiểu nắm thông tin, chúng ta nhận ra là việc bảo vệ chưa được quan tâm đúng mức”.

Hiện nay, đã và đang tồn tại hàng trăm cách thu thập thông tin cá nhân bất hợp pháp, trong khi người dân còn rất chủ quan và chưa nhận thức đầy đủ về bảo mật thông tin cá nhân. Khi mua sắm trực tuyến, tải ứng dụng của các nhà hàng, thương hiệu thời trang…, người dân thường dễ dàng khai báo các thông tin cá nhân. Thậm chí, nhiều người còn “vô tư” chụp căn cước công dân và ảnh chân dung gửi cho các cá nhân tự xưng là đại lý, siêu thị hoặc đơn vị cung cấp dịch vụ.

Ông Vũ Ngọc Sơn - Trưởng Ban Nghiên cứu, Tư vấn phát triển công nghệ và hợp tác quốc tế, nhận định: “Trước việc tấn công tinh vi như hiện nay thì chúng ta phải cảnh giác, phòng chống chủ động và phải dựa vào chính hiểu biết, nhận thức của chúng ta”.

Tại Kỳ họp thứ chín, Quốc hội khóa XV, dự thảo Luật Bảo vệ dữ liệu cá nhân đã được đưa ra thảo luận với nhiều ý kiến đồng thuận về tính cấp thiết. Luật kỳ vọng sẽ khắc phục khoảng trống pháp lý, tăng cường hiệu quả quản lý nhà nước trong bảo vệ quyền con người, an ninh quốc gia. Tuy nhiên, các chuyên gia nhấn mạnh: dù pháp luật có nghiêm minh đến đâu, nếu người dân không nâng cao cảnh giác thì vẫn có nguy cơ bị xâm phạm quyền riêng tư, thậm chí mất mát tài sản.

 Duy Trinh