Hội đồng thành phố York làm lộ danh tính hàng trăm người khuyết tật chỉ vì một sai lầm email

Hội đồng thành phố York tại Vương quốc Anh đã gây ra một vụ việc vi phạm dữ liệu nghiêm trọng khi gửi email cho hàng trăm người khuyết tật mà không sử dụng tính năng BCC (Blind Carbon Copy - gửi kín).

Sai lầm kỹ thuật cơ bản này khiến danh tính và tình trạng sức khỏe của nhiều người dân bị công khai trái phép.

Lỗi kỹ thuật lộ danh tính người khuyết tật

Vấn đề bắt nguồn từ việc Hội đồng thành phố York gửi các email cập nhật liên quan đến thẻ Blue Badge (thẻ đỗ xe ưu tiên dành cho người khuyết tật). Thay vì sử dụng trường BCC để giấu danh sách người nhận, email đã được gửi ở dạng CC hoặc To, cho phép tất cả mọi người trong danh sách nhận nhìn thấy địa chỉ email của những người khác.

Mặc dù thông tin bị lộ chỉ là địa chỉ email, nhưng hậu quả nghiêm trọng hơn nhiều do bối cảnh của email. Bất kỳ ai nhận được email đều có thể dễ dàng suy ra rằng tất cả những người trong danh sách đó đều là người khuyết tật hoặc gặp khó khăn về di chuyển. Điều này vô tình tiết lộ một thông tin y tế nhạy cảm mà người sở hữu thẻ thường muốn giữ kín.

Một cư dân bị ảnh hưởng bức xúc chia sẻ với truyền thông địa phương: "Thành thật mà nói, tôi thấy việc này thật kinh tởm – chúng tôi đã được cung cấp chi tiết của hàng trăm người khuyết tật, điều này khiến cảm thấy rất không an toàn". Nạn nhân này cho biết rất nhiều người trong cuộc sống của bà không hề biết bà sở hữu thẻ Blue Badge cho đến khi sự cố xảy ra.

Quy trình xử lý và điều tra

Hội đồng thành phố York đã xác nhận họ đã kích hoạt quy trình xử lý vi phạm dữ liệu ngay sau khi phát hiện lỗi. Họ hiện đang tiến hành đánh giá rủi ro theo hướng dẫn của ICO (Ủy ban Ủy quyền Thông tin - cơ quan bảo vệ dữ liệu của Anh).

Một phát ngôn viên của hội đồng cho biết: "Chúng tôi đang nỗ lực để xác định chính xác những gì đã xảy ra, đồng thời tiến hành đánh giá rủi ro kỹ lưỡng để hiểu rõ bất kỳ tác động tiềm tàng nào đối với cá nhân". Cuộc điều tra hiện vẫn đang diễn ra, và hội đồng từ chối cung cấp con số chính xác người bị ảnh hưởng cũng như nguyên nhân cụ thể là do lỗi con người hay lỗi kỹ thuật.

Hội đồng cũng đang đánh giá xem sự cố này có đạt ngưỡng bắt buộc phải thông báo cho ICO trong khung thời gian 72 giờ theo quy định pháp luật hay không.

Đại diện của ICO xác nhận họ đã nhận được báo cáo về vụ việc này và sau khi đánh giá thông tin, họ đã đóng hồ sơ với tư cách là tư vấn, nhưng vẫn giữ quyền giám sát.

Bài học về an toàn thông tin cơ bản

Trong bối cảnh thế giới đang lo ngại về các mối đe dọa mạng do AI tạo ra, vụ việc tại York là một lời nhắc nhở đanh thép rằng các tổ chức đôi khi vẫn mắc phải những sai lầm kinh điển và cơ bản nhất.

Sử dụng sai tính năng gửi email không chỉ là lỗi nghiệp vụ sơ đẳng mà còn có thể dẫn đến những hậu quả về nhân sự và pháp lý nghiêm trọng, đặc biệt khi liên quan đến dữ liệu nhạy cảm của người yếu thế.