Vụ lộ lọt dữ liệu tại Carnival ảnh hưởng tới gần 6 triệu người

Tập đoàn vận hành tàu du lịch Carnival Corporation đang gửi thông báo cho khoảng 6 triệu cá nhân rằng thông tin cá nhân của họ đã bị đánh cắp trong một vụ vi phạm dữ liệu gần đây.

Hình ảnh minh họa vụ lộ lọt dữ liệu

Carnival cho biết sự cố được phát hiện vào ngày 14 tháng 4, sau khi tin tặc truy cập được vào tài khoản của một nhân viên thông qua kỹ thuật xã hội (social engineering).

Chi tiết vụ tấn công

Sử dụng tài khoản bị xâm phạm, các kẻ tấn công đã truy cập vào một số hệ thống của công ty và lấy cắp các tệp chứa thông tin cá nhân.

"Công ty đã tiến hành phân tích kỹ lưỡng và tốn nhiều thời gian đối với các tệp bị ảnh hưởng để xác định chúng chứa thông tin cá nhân gì và thông tin đó thuộc về ai", thông cáo về sự cố trên trang web của Carnival cho biết.

Theo công ty, thông tin có thể bị ảnh hưởng khác nhau ở từng cá nhân, nhưng nói chung bao gồm tên, địa chỉ, ngày sinh, địa chỉ email, số điện thoại và số ID do chính phủ cấp.

Vào thứ Tư, Carnival đã thông báo cho Văn phòng Tổng chưởng lý bang Maine rằng 5.995.277 người bị ảnh hưởng và công ty đang cung cấp cho họ dịch vụ giám sát tín dụng miễn phí trong 24 tháng.

Nhóm tin tặc đứng sau vụ việc

Mặc dù công ty chưa chia sẻ thêm chi tiết về cuộc tấn công, nhưng sự cố này đã được nhóm tống tiền khét tiếng ShinyHunters nhận trách nhiệm vào tháng trước.

Trên trang web rò rỉ dữ liệu của mình, băng nhóm tin tặc này tuyên bố đã đánh cắp 8,7 triệu hồ sơ từ hệ thống của Carnival và công khai dữ liệu này vào cuối tháng 4.

Theo trang web thông báo vi phạm dữ liệu HaveIBeenPwned, đã phân tích tập dữ liệu bị rò rỉ, khoảng 7,5 triệu tài khoản liên quan đến chương trình khách hàng thân thiết Mariner Society do thương hiệu tàu du lịch Holland America của Carnival vận hành có khả năng bị ảnh hưởng.

Thông tin bị lộ bao gồm tên, địa chỉ email, ngày sinh, giới tính, vị trí địa lý và chi tiết chương trình khách hàng thân thiết.

Bài học về an ninh mạng

"Từ góc độ phòng thủ, các công ty nên coi khả năng chống lại kỹ thuật xã hội là một biện pháp kiểm soát an ninh mạng cốt lõi thay vì chỉ là một bài tập nhận thức. Điều này bao gồm MFA chống lừa đảo, quy trình xác minh danh tính mạnh hơn cho các yêu cầu nội bộ, chính sách truy cập có điều kiện, phân quyền truy cập đặc quyền, giám sát hành vi liên tục và các mô phỏng đội đỏ (red-team) thường xuyên tập trung cụ thể vào các đường dẫn tấn công dựa trên con người", Ensar Seker, CISO của SOCRadar chỉ ra.

Lịch sử bảo mật của Carnival

Kể từ năm 2020, Carnival đã công bố một số vụ vi phạm dữ liệu. Công ty này bị tấn công vào năm 2019, trở thành nạn nhân của cuộc tấn công bằng mã độc tống tiền (ransomware) vào năm 2020 và lại bị tấn công vào tháng 3 năm 2021.

Vụ việc này một lần nữa nhắc nhở các doanh nghiệp về tầm quan trọng của việc bảo vệ dữ liệu khách hàng và nâng cao nhận thức an ninh cho nhân viên trước các chiêu trò lừa đảo tinh vi.