10 Vụ Rò Rỉ Dữ Liệu Lớn Nhất Trong Lĩnh Vực Tài Chính [2026]

1. Giới thiệu: Tại sao Rò rỉ Dữ liệu là Mối đe dọa Nghiêm trọng đối với Lĩnh vực Tài chính?#

Lĩnh vực tài chính ngày càng trở thành mục tiêu hàng đầu của các cuộc tấn công mạng, thu hút những kẻ tấn công với hứa hẹn về phần thưởng tài chính ngay lập tức và dữ liệu cá nhân có giá trị. Vào năm 2023, các tổ chức tài chính chiếm 27% tổng số các vụ rò rỉ trên toàn thế giới, vượt qua cả lĩnh vực y tế để trở thành ngành bị rò rỉ nhiều nhất.

Thiệt hại tài chính từ các sự cố này là rất lớn: đến năm 2024, chi phí trung bình cho mỗi vụ rò rỉ trong lĩnh vực tài chính đã lên tới 6,08 triệu USD (cao hơn 22% so với mức trung bình toàn cầu của các ngành). Các cuộc tấn công độc hại, đặc biệt là lừa đảo (phishing) và mã độc tống tiền (ransomware), vẫn là những phương thức thống trị được tội phạm mạng sử dụng, khai thác các lỗ hổng trong các tích hợp của bên thứ ba, các hệ thống cũ và lỗi của con người.

Trong bài viết này, chúng ta sẽ khám phá mười vụ rò rỉ dữ liệu toàn cầu lớn nhất đã xảy ra trong lĩnh vực tài chính, nêu bật cách thức các vụ rò rỉ này xảy ra, các lỗ hổng nghiêm trọng của chúng và các chiến lược phòng ngừa thiết yếu mà các tổ chức phải áp dụng.

2. Tại sao Rò rỉ Dữ liệu lại rất phổ biến trong Lĩnh vực Tài chính?#

Các cuộc tấn công mạng thường nhắm vào các ngân hàng, công ty bảo hiểm và các dịch vụ thanh toán vì những tổ chức này là trung tâm của nền kinh tế kỹ thuật số. Một cuộc tấn công thành công có thể cung cấp cả tiền và dữ liệu mật của khách hàng trong một đòn duy nhất, mang lại cho bọn tội phạm động lực hấp dẫn để thử. Các dịch vụ trực tuyến thay đổi nhanh chóng, công nghệ tinh vi và kỳ vọng cao của công chúng về tính sẵn sàng liên tục làm cho ngành tài chính trở thành một không gian khó bảo vệ. Dưới đây là một vài lý do khiến những kẻ tấn công thường xuyên nhắm mục tiêu vào lĩnh vực tài chính:

2.1 Các Ưu đãi Tiền mặt Trực tiếp#

Những kẻ tấn công tập trung vào các ngân hàng và các công ty thanh toán vì chúng có thể biến một vụ rò rỉ thành tiền mặt rất nhanh. Đầu tiên, nếu có được quyền truy cập, chúng có thể rút tiền thẳng từ tài khoản của khách hàng hoặc tổ chức các đợt "rút tiền mặt" tại ATM mang lại tiền mặt trong vòng vài giờ (thường chỉ những khoản tiền nhỏ được rút từ một lượng lớn tài khoản để không gây bất kỳ nghi ngờ nào). Thứ hai, các số thẻ và chi tiết cá nhân mà các ngân hàng lưu giữ có giá cao trên các thị trường ngầm, vì vậy mọi hồ sơ bị đánh cắp cũng mang lại thu nhập được đảm bảo. Thứ ba, bằng cách mã hóa các hệ thống quan trọng bằng mã độc tống tiền (ransomware), bọn tội phạm có thể gây áp lực buộc các ngân hàng đang mong muốn khôi phục dịch vụ và tránh tiền phạt phải trả các khoản tiền chuộc hàng triệu đô la.

2.2 Dữ liệu Giá trị cao#

Các tổ chức tài chính là mục tiêu hàng đầu của các cuộc tấn công mạng chủ yếu do số lượng và tính nhạy cảm của dữ liệu khách hàng mà họ nắm giữ. Trong thời đại ngày nay, hầu như ai cũng có tài khoản ngân hàng để gửi, rút tiền và chuyển tiền nên các ngân hàng và các tổ chức liên quan duy trì hồ sơ rộng rãi, bao gồm tên, địa chỉ, ngày sinh, số an sinh xã hội, lịch sử tài chính chi tiết, chi tiết việc làm và thậm chí cả thông tin thuế của hầu hết công dân. Nguồn dữ liệu dồi dào này cho phép những kẻ tấn công nhanh chóng kiếm tiền từ các vụ rò rỉ bằng cách ngay lập tức kiểm soát tài khoản của khách hàng, thực hiện các giao dịch gian lận hoặc rút cạn tiền. Ngoài ra, thông tin bị đánh cắp có giá cao trên các thị trường web đen (dark web), nơi các gói thông tin danh tính toàn diện (được gọi là "fullz") hoặc thông tin đăng nhập tài khoản ngân hàng riêng lẻ được bán với số tiền đáng kể. Thêm vào rủi ro này, các hướng dẫn quản lý nghiêm ngặt như luật Nhận biết Khách hàng của bạn (KYC) và Chống Rửa tiền (AML) yêu cầu các tổ chức tài chính phải lưu trữ dữ liệu khách hàng một cách an toàn trong nhiều năm, làm kéo dài đáng kể khoảng thời gian lỗ hổng. Cùng với nhau, những yếu tố này tạo ra một môi trường trong đó mỗi vụ rò rỉ thành công không chỉ mang lại lợi nhuận ngay lập tức mà còn tạo ra cơ hội dài hạn cho việc gian lận tài chính và danh tính tinh vi, làm cho các tổ chức tài chính trở nên đặc biệt hấp dẫn và liên tục bị tội phạm mạng nhắm đến.

2.3 Truy cập Dễ dàng qua các Hệ thống CNTT Cũ#

Hầu hết các phần mềm ngân hàng cốt lõi hoạt động trên các nền tảng mà các nhà cung cấp không còn hỗ trợ nhiều năm sau đó, vì vậy các lỗ hổng bảo mật đã biết vẫn mở trong một thời gian dài sau khi các nền tảng mới hơn đã có bản vá. Nhiều thập kỷ của các bản vá chắp vá như máy tính lớn được liên kết với các cổng thông tin web, phần mềm trung gian tùy chỉnh và các kịch bản phần mềm tạm thời có thể tạo ra một mạng lưới rối rắm, nơi việc phá vỡ một liên kết yếu có thể làm tổn hại mọi thứ từ số dư của khách hàng đến các hệ thống thanh toán. Vì các hệ thống cũ này thường không thể hỗ trợ các tính năng bảo mật mới hơn như đăng nhập đa yếu tố hoặc các tác nhân giám sát liên tục, các nhóm bảo mật buộc phải sử dụng các cách giải quyết mà những kẻ tấn công có thể học cách vượt qua. Các chính sách kiểm soát thay đổi nghiêm ngặt làm tăng thêm rủi ro: các bản vá có thể mất vài tuần, thậm chí vài tháng, để kiểm tra trước khi được triển khai, mang lại cho những kẻ tấn công một khoảng thời gian đáng kể để khai thác chúng.

2.4 Lỗi của Con người và các Mối đe dọa Nội bộ#

Bất chấp các công cụ bảo mật tiên tiến, hành vi của con người vẫn là một lỗ hổng nghiêm trọng trong lĩnh vực tài chính. Các tổ chức tài chính là những tổ chức lớn với hàng nghìn nhân viên, nhà thầu và đối tác, bất kỳ ai trong số họ cũng có thể vô tình hoặc cố ý mở cửa cho những kẻ tấn công. Phishing, sử dụng lại thông tin xác thực và tấn công kỹ thuật xã hội (social engineering) vẫn là những hướng tấn công hàng đầu. Ngoài ra, những người trong cuộc có quyền truy cập đặc quyền như quản trị viên CNTT hoặc ví dụ như những nhân viên bất mãn có thể bỏ qua nhiều biện pháp kiểm soát bảo mật tiêu chuẩn, khiến các mối đe dọa nội bộ đặc biệt khó phát hiện và ngăn chặn.

3. Các vụ Rò rỉ Dữ liệu lớn nhất trong Lĩnh vực Tài chính#

Dưới đây, bạn sẽ tìm thấy một danh sách toàn cầu về các vụ rò rỉ dữ liệu lớn nhất trong lĩnh vực tài chính. Các vụ rò rỉ dữ liệu được sắp xếp theo số lượng tài khoản bị ảnh hưởng theo thứ tự giảm dần.

3.1 Vụ Rò rỉ Dữ liệu của First American Financial Corporation (2019)#

Vào tháng 5 năm 2019, First American Financial Corporation, một trong những nhà cung cấp dịch vụ bảo hiểm quyền sở hữu và thanh toán lớn nhất tại Hoa Kỳ, đã làm lộ khoảng 885 triệu hồ sơ nhạy cảm thông qua một lỗ hổng trang web. Do kiểm soát truy cập không đúng cách, bất kỳ ai có liên kết URL hợp lệ đến một tài liệu đều có thể xem các tài liệu không liên quan khác một cách đơn giản bằng cách sửa đổi các chữ số trong URL, mà không cần xác thực.

Các tài liệu bị rò rỉ bao gồm thông tin tài chính và cá nhân quan trọng, chẳng hạn như Số An sinh Xã hội, chi tiết tài khoản ngân hàng, hồ sơ thế chấp và tài liệu thuế, đặt khách hàng vào nguy cơ cao về gian lận và đánh cắp danh tính. Vụ rò rỉ đặc biệt đáng báo động vì tính chất rất nhạy cảm của các hồ sơ giao dịch bất động sản và nó nhấn mạnh những lỗ hổng lớn trong các thực hành bảo mật ứng dụng web trên toàn bộ lĩnh vực tài chính.

Các phương pháp phòng ngừa:

• Triển khai các kiểm soát truy cập và kiểm tra xác thực mạnh mẽ cho các kho lưu trữ tài liệu

• Tiến hành kiểm tra bảo mật kỹ lưỡng (ví dụ: kiểm tra thâm nhập) trước khi triển khai các ứng dụng ra công chúng

• Giám sát và kiểm toán các mô hình truy cập ứng dụng để phát hiện sớm các hành vi bất thường

3.2 Vụ Rò rỉ Dữ liệu của Equifax (2017)#

Vụ rò rỉ của Equifax, được công bố công khai vào tháng 9 năm 2017, vẫn là một trong những sự cố an ninh mạng có hậu quả lớn nhất trong lịch sử tài chính. Những kẻ tấn công đã khai thác một lỗ hổng đã biết (CVE-2017-5638) trong Apache Struts, một khuôn khổ ứng dụng web nguồn mở. Bất chấp việc một bản vá bảo mật đã được phát hành vào tháng 3 năm 2017, Equifax đã không cập nhật cổng thông tin tranh chấp trực tuyến tại Hoa Kỳ của mình, để lại các hệ thống dễ bị tấn công trong hơn hai tháng.

Những kẻ tấn công đã tiến hành do thám rộng rãi, gửi hơn 9.000 truy vấn qua 48 cơ sở dữ liệu không liên quan và trích xuất thành công thông tin cá nhân nhạy cảm 265 lần. Làm phức tạp thêm vấn đề, một chứng chỉ bảo mật đã hết hạn đã vô hiệu hóa các công cụ giám sát quan trọng, làm chậm trễ đáng kể quá trình phát hiện sự cố rò rỉ.

Hậu quả là rất lớn: Equifax phải đối mặt với các vụ kiện, sự giám sát theo quy định và cuối cùng đã trả một khoản thỏa thuận trị giá 1,38 tỷ USD bao gồm tiền bồi thường cho người tiêu dùng và các cải tiến về an ninh mạng. Vụ rò rỉ đã thúc đẩy những thay đổi về lập pháp tại Hoa Kỳ, cho phép người tiêu dùng đóng băng các báo cáo tín dụng mà không tốn chi phí. Vào tháng 2 năm 2020, Hoa Kỳ đã khởi tố bốn đặc vụ quân sự Trung Quốc vì đã thực hiện vụ rò rỉ này, mặc dù Trung Quốc đã phủ nhận sự liên quan.

Các phương pháp phòng ngừa:

• Kịp thời áp dụng các bản vá bảo mật và các bản cập nhật cho phần mềm và các khuôn khổ.

• Duy trì các công cụ giám sát tích cực và thường xuyên kiểm toán các chứng chỉ bảo mật.

• Triển khai mã hóa toàn diện và các biện pháp kiểm soát truy cập mạnh mẽ cho dữ liệu nhạy cảm.

• Tiến hành đánh giá bảo mật liên tục và áp dụng các biện pháp phát hiện mối đe dọa chủ động.

3.3 Vụ Rò rỉ Dữ liệu của Heartland Payment Systems (2008–2009)#

Vụ rò rỉ của Heartland Payment Systems, được phát hiện vào tháng 1 năm 2009, là một trong những vụ rò rỉ dữ liệu thẻ lớn nhất từng được ghi nhận. Những kẻ tấn công ban đầu đã có quyền truy cập thông qua một lỗ hổng tiêm mã SQL (SQL injection) trên trang web doanh nghiệp của Heartland vào cuối năm 2007. Sau đó, chúng đã triển khai phần mềm độc hại vào mạng lưới xử lý thanh toán của công ty, thu thập thông tin thẻ nhạy cảm, bao gồm số thẻ, tên, ngày hết hạn và mã bảo mật, khi các giao dịch diễn ra.

Phần mềm độc hại vẫn không bị phát hiện trong nhiều tháng, làm tổn hại khoảng 130 triệu thẻ. Các giao dịch đáng ngờ được theo dõi bởi Visa và MasterCard đã dẫn đến việc phát hiện vụ rò rỉ, và Heartland đã công bố công khai sự cố này, hợp tác rộng rãi với cơ quan thực thi pháp luật. Vụ rò rỉ đã làm Heartland tiêu tốn từ 170 đến 200 triệu USD, bao gồm tiền phạt, các khoản thỏa thuận và mất uy tín kinh doanh. Albert Gonzalez, tên tội phạm mạng đứng đằng sau cuộc tấn công này, đã bị kết án 20 năm tù, đây là bản án tội phạm mạng dài nhất vào thời điểm đó.

Các phương pháp phòng ngừa:

• Thường xuyên tiến hành quét lỗ hổng và kiểm tra thâm nhập để phát hiện và khắc phục các lỗ hổng nghiêm trọng như SQL injection.

• Triển khai mã hóa đầu cuối cho dữ liệu giao dịch nhạy cảm để đảm bảo dữ liệu luôn được bảo vệ cả ở trạng thái nghỉ và trong quá trình truyền tải.

• Thiết lập các hệ thống giám sát liên tục, chủ động và phát hiện mối đe dọa tiên tiến để nhanh chóng nhận diện phần mềm độc hại hoặc truy cập mạng trái phép.

• Đảm bảo các tiêu chuẩn tuân thủ bổ sung, chứ không thay thế, cho các thực hành và giao thức an ninh mạng toàn diện.

3.4 Vụ Rò rỉ Dữ liệu của Capital One (2019)#

Vụ rò rỉ của Capital One, xảy ra vào tháng 3 năm 2019 và được phát hiện bốn tháng sau đó, là kết quả của việc định cấu hình sai tường lửa ứng dụng web trong môi trường đám mây Amazon Web Services (AWS) của ngân hàng. Paige Adele Thompson, một cựu nhân viên AWS, đã lợi dụng kiến thức nội bộ của mình để truy cập và tải xuống gần 30 GB thông tin nhạy cảm của khách hàng.

Dữ liệu bị lộ bao gồm số định danh cá nhân, lịch sử tín dụng chi tiết, số An sinh Xã hội và thông tin tài khoản ngân hàng, ảnh hưởng đến hơn 106 triệu cá nhân trên khắp Hoa Kỳ và Canada. Capital One đã phải đối mặt với những hậu quả pháp lý và quản lý nghiêm trọng, cuối cùng phải trả hơn 300 triệu USD tiền phạt, thỏa thuận và các nỗ lực khắc phục, bao gồm khoản phạt 80 triệu USD do quản lý rủi ro không đầy đủ đối với cơ sở hạ tầng đám mây của mình.

Vụ rò rỉ đã làm tổn hại đáng kể đến danh tiếng của Capital One, thúc đẩy các khoản đầu tư đáng kể vào các cải tiến an ninh mạng, đáng chú ý là cấu hình đám mây được tăng cường và các biện pháp kiểm soát truy cập mạnh mẽ.

Các phương pháp phòng ngừa:

• Thường xuyên kiểm toán các môi trường và cấu hình đám mây để ngăn chặn các cấu hình sai có thể dẫn đến truy cập trái phép.

• Triển khai các biện pháp kiểm soát truy cập nghiêm ngặt, đặc biệt là giám sát các hoạt động của nhân sự có kiến thức nội bộ hoặc có quyền quản trị.

• Duy trì giám sát bảo mật liên tục để nhanh chóng phát hiện các lỗ hổng và các vụ rò rỉ.

• Cung cấp đào tạo an ninh mạng toàn diện nhấn mạnh các thực hành bảo mật đám mây cho tất cả nhân sự CNTT.

3.5 Các vụ Rò rỉ Dữ liệu của Experian (2012–2020)#

Experian, một công ty báo cáo tín dụng khổng lồ toàn cầu, đã phải chịu nhiều vụ rò rỉ dữ liệu đáng kể ảnh hưởng đến hàng chục triệu cá nhân trên toàn thế giới.

• Vụ rò rỉ Court Ventures (2012–2013): Sau khi Experian mua lại Court Ventures, một tin tặc đóng giả làm thám tử tư đã truy cập và bán bất hợp pháp dữ liệu cá nhân nhạy cảm trên mạng, ảnh hưởng đến hàng triệu người.

• Vụ rò rỉ T-Mobile (2015): Các tin tặc đã truy cập vào một máy chủ của Experian lưu giữ các đơn xin cấp tín dụng từ các khách hàng của T-Mobile, làm tổn hại thông tin cá nhân của khoảng 15 triệu cá nhân. Mặc dù đã được mã hóa, những kẻ tấn công được cho là đã vượt qua các biện pháp bảo vệ, lấy được thông tin nhận dạng nhạy cảm.

• Vụ rò rỉ tại Nam Phi (2020): Một cá nhân lừa đảo đã lừa Experian tiết lộ dữ liệu của khoảng 24 triệu công dân và gần 800.000 doanh nghiệp, làm dấy lên những lo ngại nghiêm trọng về hành vi đánh cắp danh tính.

Những sự cố này đã làm tổn hại nghiêm trọng đến độ tin cậy của Experian, thu hút sự giám sát quản lý rộng rãi và cho thấy rủi ro đối với người tiêu dùng về việc đánh cắp danh tính và gian lận tài chính. Để đối phó, Experian đã tăng cường các biện pháp bảo mật, hợp tác với chính quyền và cung cấp các dịch vụ giám sát tín dụng cho những cá nhân bị ảnh hưởng.

Các phương pháp phòng ngừa:

• Tăng cường các giao thức xác minh danh tính và kiểm tra nội bộ để ngăn chặn các nỗ lực xâm nhập bằng kỹ thuật xã hội và truy cập gian lận.

• Áp dụng các tiêu chuẩn mã hóa, cùng với các cuộc kiểm toán bảo mật thường xuyên, để đảm bảo dữ liệu vẫn được bảo vệ ngay cả khi bị truy cập.

• Tiến hành thẩm định kỹ lưỡng về an ninh mạng trong các hoạt động sáp nhập và mua lại, duy trì sự giám sát nhất quán sau khi mua lại.

• Thường xuyên cập nhật và cải thiện các chương trình đào tạo nhận thức về an ninh mạng cho nhân viên.

3.6 Vụ Rò rỉ Dữ liệu của JPMorgan Chase (2014)#

Vào năm 2014, JPMorgan Chase đã công bố một trong những vụ rò rỉ lớn nhất từng xảy ra với lĩnh vực tài chính Hoa Kỳ, ảnh hưởng đến khoảng 76 triệu hộ gia đình và 7 triệu doanh nghiệp nhỏ. Những kẻ tấn công đã giành được quyền truy cập thông qua một tài khoản nhân viên bị xâm phạm, khai thác các điểm yếu trong cơ sở hạ tầng mạng của ngân hàng. Mặc dù không có thông tin tài chính nào như số tài khoản, mật khẩu hoặc Số An sinh Xã hội bị đánh cắp, nhưng những kẻ tấn công đã thu thập được tên, địa chỉ, địa chỉ email và số điện thoại.

Vụ rò rỉ đã thu hút sự chú ý lớn do vai trò quan trọng của ngân hàng trong nền kinh tế Hoa Kỳ và dấy lên hồi chuông báo động trong toàn ngành dịch vụ tài chính về mức độ sẵn sàng ứng phó với an ninh mạng. Nó đã dẫn đến sự giám sát chặt chẽ hơn từ các cơ quan quản lý và thúc đẩy nhiều tổ chức tài chính đánh giá lại các khuôn khổ an ninh mạng của họ, đặc biệt là liên quan đến việc bảo vệ tài khoản nhân viên và phân đoạn mạng.

Các phương pháp phòng ngừa:

• Bắt buộc xác thực đa yếu tố (MFA) đối với tất cả các tài khoản nội bộ và bên ngoài

• Triển khai phân đoạn mạng mạnh mẽ để hạn chế sự di chuyển theo chiều ngang trong trường hợp bị xâm phạm

• Thường xuyên kiểm tra và cập nhật các giao thức bảo mật để quản lý truy cập của nhân viên

3.7 Vụ Rò rỉ Dữ liệu của Block, Inc. (Cash App Investing) (2021)#

Vào tháng 12 năm 2021, Block, Inc. (trước đây là Square) đã gặp phải một vụ rò rỉ dữ liệu ảnh hưởng đến khoảng 8,2 triệu khách hàng sử dụng sản phẩm Cash App Investing của họ. Vụ rò rỉ liên quan đến một cựu nhân viên vẫn giữ quyền truy cập trái phép sau khi nghỉ việc, làm nổi bật những điểm yếu đáng kể trong các quy trình ngừng cấp quyền (offboarding) và quản lý truy cập của Block.

Cựu nhân viên này đã tải xuống các báo cáo chứa dữ liệu liên quan đến môi giới nhạy cảm, chẳng hạn như tên, số tài khoản và đối với một số khách hàng là danh mục đầu tư chi tiết và hoạt động giao dịch. Các số nhận dạng tài chính nhạy cảm như số An sinh Xã hội và thông tin thanh toán không bị xâm phạm.

Block đã công bố rộng rãi vụ rò rỉ này bốn tháng sau đó, vào tháng 4 năm 2022, gây ra sự chỉ trích và các vụ kiện tập thể vì sự chậm trễ trong việc thông báo và các biện pháp bảo vệ không đầy đủ. Sự cố đã khiến Block phải củng cố các biện pháp kiểm soát hành chính nội bộ, cải thiện các biện pháp phòng chống mất mát dữ liệu và hợp tác chặt chẽ với cơ quan thực thi pháp luật và các cơ quan quản lý.

Các phương pháp phòng ngừa:

• Thu hồi ngay lập tức quyền truy cập hệ thống và thông tin xác thực đối với các nhân viên đã nghỉ việc để giảm thiểu các mối đe dọa từ nội bộ.

• Triển khai các khuôn khổ kiểm soát truy cập mạnh mẽ thực thi nguyên tắc đặc quyền tối thiểu (least privilege).

• Thường xuyên tiến hành kiểm toán và áp dụng các chính sách phòng chống mất mát dữ liệu (DLP) nghiêm ngặt để nhanh chóng phát hiện việc truy cập hoặc trích xuất dữ liệu trái phép.

• Đảm bảo công bố nhanh chóng và minh bạch trong các quy trình thông báo rò rỉ để duy trì lòng tin của khách hàng và tuân thủ quy định.

3.8 Vụ Rò rỉ Dữ liệu của Desjardins Group (2016–2019)#

Desjardins Group, một trong những hợp tác xã tài chính lớn nhất của Canada, đã phải chịu một vụ rò rỉ dữ liệu khổng lồ do nội bộ gây ra, làm lộ thông tin cá nhân và tài chính của gần 9,7 triệu cá nhân. Vụ rò rỉ được phát hiện sau khi một cuộc điều tra nội bộ tiết lộ rằng một nhân viên hiện đã nghỉ việc đã thu thập và rò rỉ dữ liệu trong khoảng thời gian ít nhất là 26 tháng. Thông tin đã được chuyển ra bên ngoài tổ chức và không bị phát hiện bởi các hệ thống giám sát của Desjardins cho đến khi Ủy viên Quyền riêng tư liên bang vào cuộc.

Bản chất của vụ rò rỉ này, bắt nguồn từ việc lạm dụng quyền truy cập nội bộ hợp pháp, đã làm nổi bật những điểm yếu hệ thống trong các biện pháp kiểm soát nội bộ của Desjardins, đặc biệt là xung quanh việc giám sát hoạt động của người dùng, quyền truy cập và các cảnh báo trích xuất dữ liệu. Đây vẫn là một trong những ví dụ đáng kể nhất về mối đe dọa từ nội bộ trong lịch sử doanh nghiệp Canada, đặc biệt là do thời gian diễn ra vụ rò rỉ và tính nhạy cảm của dữ liệu bị xâm phạm.

Các phương pháp phòng ngừa:

• Thực thi các biện pháp kiểm soát truy cập nghiêm ngặt và chính sách đặc quyền tối thiểu

• Giám sát và kiểm toán quyền truy cập dữ liệu của nhân viên thường xuyên

• Sử dụng phân tích hành vi để phát hiện hoạt động bất thường

3.9 Các vụ Rò rỉ Dữ liệu của Westpac Banking Corporation (2019–2024)#

Westpac, một ngân hàng lớn của Úc, đã phải đối mặt với nhiều sự cố liên quan đến dữ liệu từ năm 2019 đến năm 2024, đáng chú ý là liên quan đến nền tảng PayID của họ.

• Vào đầu năm 2019, một vụ rò rỉ của bên thứ ba liên quan đến LandMark White, một công ty định giá bất động sản làm việc với Westpac, đã làm lộ dữ liệu định giá bất động sản và thông tin liên hệ của khách hàng. Westpac đã nhanh chóng đình chỉ nhà cung cấp và thông báo cho những cá nhân bị ảnh hưởng.

• Vào tháng 5 năm 2019, những kẻ tấn công đã sử dụng các kỹ thuật liệt kê (enumeration) để trích xuất khoảng 98.000 tên khách hàng và số điện thoại di động liên kết thông qua dịch vụ PayID của Westpac. Mặc dù không có thông tin xác thực ngân hàng hoặc số tài khoản nào bị xâm phạm, dữ liệu bị lộ đã đặt ra những rủi ro về lừa đảo quy mô lớn và đánh cắp danh tính.

• Vào tháng 10 năm 2024, Westpac đã trải qua những sự cố gián đoạn ngân hàng trực tuyến và di động đáng kể kéo dài vài ngày, ban đầu làm dấy lên những lo ngại về các cuộc tấn công mạng tiềm ẩn. Mặc dù sự gián đoạn dường như nhất quán với các cuộc tấn công từ chối dịch vụ (DoS), Westpac đã xác nhận rằng không có dữ liệu khách hàng nào bị xâm phạm.

Những sự cố này đã cùng nhau nhấn mạnh tầm quan trọng của bảo mật dữ liệu mạnh mẽ, quản lý rủi ro từ bên thứ ba và các chiến lược phản ứng sự cố chủ động.

Các phương pháp phòng ngừa:

• Tăng cường phòng thủ chống lại các cuộc tấn công liệt kê thông qua việc nâng cao giới hạn tỷ lệ (rate-limiting), phát hiện bất thường và các biện pháp xác thực nhiều lớp.

• Triển khai các giao thức quản lý rủi ro từ bên thứ ba toàn diện, bao gồm giám sát liên tục và đánh giá an ninh mạng thường xuyên của các nhà cung cấp.

• Duy trì các khuôn khổ phục hồi không gian mạng mạnh mẽ có khả năng phản ứng và giảm thiểu nhanh chóng các cuộc tấn công từ chối dịch vụ để đảm bảo tính liên tục của dịch vụ.

• Tăng cường tính minh bạch đối với khách hàng và giao tiếp về các rủi ro an ninh mạng và các phản ứng đối với sự cố.

3.10 Các vụ Rò rỉ Dữ liệu của Flagstar Bank (2021–2023)#

Flagstar Bank, một tổ chức tài chính nổi bật của Hoa Kỳ, đã phải chịu một số vụ rò rỉ đáng kể từ năm 2021 đến năm 2023, ảnh hưởng đến hàng triệu khách hàng:

• Vụ rò rỉ vào tháng 12 năm 2021: Những kẻ tấn công đã giành được quyền truy cập trực tiếp vào mạng lưới của Flagstar, làm tổn hại dữ liệu cá nhân, bao gồm tên và số An sinh Xã hội của khoảng 1,5 triệu khách hàng. Các cơ quan quản lý đã phạt Flagstar 3,5 triệu USD vì việc tiết lộ không đầy đủ và giao tiếp sai lệch về vụ rò rỉ.

• Vụ rò rỉ MOVEit Transfer vào tháng 5 năm 2023: Nhà cung cấp bên thứ ba Fiserv, phục vụ cho Flagstar, đã gặp phải sự cố rò rỉ thông qua lỗ hổng MOVEit Transfer, ảnh hưởng đến khoảng 837.390 khách hàng của Flagstar. Vụ rò rỉ đã làm lộ nhiều thông tin chi tiết cá nhân, bao gồm địa chỉ, số điện thoại và có khả năng là số An sinh Xã hội và hồ sơ thuế.

• Vụ rò rỉ Accellion đầu năm 2021: Flagstar nằm trong số một vài tổ chức bị ảnh hưởng bởi các lỗ hổng trong Thiết bị Truyền Tệp (File Transfer Appliance) cũ của Accellion, làm xâm phạm dữ liệu nhạy cảm của gần 1,5 triệu khách hàng như Số An sinh Xã hội và các tài liệu thuế.

Những sự cố này đã dẫn đến các hình phạt theo quy định, các nỗ lực khắc phục đáng kể và những cam kết từ Flagstar trong việc tăng cường đáng kể các biện pháp an ninh mạng.

Các phương pháp phòng ngừa:

• Củng cố các thực hành an ninh mạng nội bộ, nhấn mạnh vào việc phát hiện nhanh chóng, khắc phục và các thủ tục công bố rõ ràng.

• Tiến hành các đánh giá an ninh mạng bên thứ ba thường xuyên và thực thi các giao thức quản lý nhà cung cấp nghiêm ngặt.

• Thay thế kịp thời các hệ thống cũ và áp dụng các bản vá bảo mật quan trọng ngay khi chúng có sẵn.

• Cung cấp đào tạo an ninh mạng liên tục cho nhân sự và triển khai các giải pháp ngăn ngừa mất dữ liệu (DLP) và giám sát mối đe dọa toàn diện.

4. Các Mô hình Chung trong Rò rỉ Dữ liệu ở Lĩnh vực Tài chính#

Việc phân tích các vụ rò rỉ dữ liệu đáng chú ý này trong lĩnh vực tài chính cho thấy một số lỗ hổng và điểm yếu an ninh mạng lặp đi lặp lại. Các tổ chức tài chính phải nhận ra và giải quyết các mô hình chung này một cách chủ động để bảo vệ tốt hơn thông tin nhạy cảm và lòng tin của khách hàng:

4.1 Khai thác các Lỗ hổng Đã biết và Các Hệ thống Chưa được Vá#

Nhiều vụ rò rỉ lớn, chẳng hạn như Equifax và Flagstar Bank, xảy ra do việc thất bại trong việc áp dụng kịp thời các bản vá phần mềm có sẵn. Equifax đã lơ là không vá một lỗ hổng Apache Struts đã được ghi nhận kỹ lưỡng trong nhiều tháng, dẫn đến một vụ rò rỉ thảm khốc ảnh hưởng đến gần 148 triệu cá nhân. Tương tự, các vụ rò rỉ của Flagstar Bank thông qua các lỗ hổng của MOVEit Transfer và Accellion FTA minh họa cho những hậu quả tốn kém của việc chậm trễ trong việc vá lỗi. Các tổ chức tài chính phải áp dụng các quy trình quản lý bản vá nghiêm ngặt, bao gồm quét lỗ hổng liên tục, cập nhật phần mềm nhanh chóng và kiểm tra kỹ lưỡng trước khi triển khai để đóng các lỗ hổng bảo mật trước khi những kẻ tấn công khai thác chúng.

4.2 Những Điểm yếu trong Kiểm soát Truy cập và Quản lý Mối đe dọa Nội bộ#

Các biện pháp kiểm soát truy cập nội bộ không đủ đã nhiều lần cho phép các mối đe dọa từ nội bộ gây ra tác hại đáng kể, như được thấy trong các vụ rò rỉ của Desjardins Group và Block (Cash App Investing). Tại Desjardins, sự giám sát không đầy đủ đã cho phép một nhân viên trích xuất dữ liệu khách hàng một cách có hệ thống trong hơn hai năm. Tương tự, Block đã không thu hồi quyền truy cập của một cựu nhân viên kịp thời, dẫn đến việc trích xuất dữ liệu trái phép ảnh hưởng đến hàng triệu người dùng. Những vụ rò rỉ này nhấn mạnh sự cần thiết của việc thực thi quản lý truy cập nghiêm ngặt, thu hồi kịp thời thông tin xác thực khi nhân viên nghỉ việc, giám sát chặt chẽ việc truy cập dữ liệu nội bộ và thường xuyên đào tạo nhân viên để nhận biết và giảm thiểu các rủi ro nội bộ.

4.3 Giám sát Không Đầy đủ và Chậm trễ trong Việc Phát hiện#

Việc phát hiện chậm trễ đã làm trầm trọng thêm thiệt hại trong các vụ rò rỉ tại Heartland Payment Systems, Desjardins Group và Equifax. Những kẻ tấn công tại Heartland vẫn không bị phát hiện trong nhiều tháng, chặn thu dữ liệu thẻ mà không bị gián đoạn. Desjardins đã trải qua quá trình trích xuất dữ liệu kéo dài hai năm trước khi bị phát hiện. Sự cố của Equifax đã làm nổi bật một sự sơ suất khi các chứng chỉ hết hạn đã vô hiệu hóa các hệ thống giám sát trong 19 tháng. Để giảm thiểu những rủi ro đó, các tổ chức tài chính phải triển khai giám sát thời gian thực mạnh mẽ, cập nhật liên tục các chứng chỉ bảo mật và các công cụ phát hiện bất thường tiên tiến để nhận diện và phản ứng nhanh chóng với các mối đe dọa.

4.4 Phản ứng Sự cố và Công bố Chậm chạp hoặc Kém Hiệu quả#

Phản ứng sự cố kém và chậm trễ trong việc công bố đã làm khuếch đại nghiêm trọng hậu quả đối với các vụ rò rỉ liên quan đến Block, Equifax và Flagstar Bank. Block đã phải đối mặt với sự chỉ trích vì sự chậm trễ bốn tháng trong việc công bố, trong khi phản ứng chậm chạp của Equifax đã châm ngòi cho sự giám sát theo quy định và các khoản tiền bồi thường khổng lồ. Việc công bố không đầy đủ của Flagstar Bank đã dẫn đến các khoản tiền phạt lớn theo quy định. Việc quản lý sự cố hiệu quả đòi hỏi các giao thức phản ứng được xác định rõ ràng và được thực hành, liên lạc minh bạch và kịp thời với các cơ quan quản lý và khách hàng, cùng với sự phối hợp nội bộ dứt khoát để hạn chế tổn hại danh tiếng và các tác động về quy định.

5. Kết luận#

Phân tích các vụ rò rỉ dữ liệu lớn nhất trong lĩnh vực tài chính toàn cầu cho thấy các mô hình rõ ràng: hầu hết các vụ rò rỉ không phải do các kỹ thuật hack phức tạp, mà là do những sơ suất cơ bản về an ninh mạng như chậm trễ trong việc vá lỗi, kiểm soát nội bộ không đầy đủ, giám sát không đủ và phản ứng sự cố kém hiệu quả. Những lỗ hổng lặp đi lặp lại này làm nổi bật một bài học quan trọng: các tổ chức tài chính phải vượt ra ngoài sự tuân thủ cơ bản và chủ động nhúng an ninh mạng vào văn hóa hoạt động của họ. Ưu tiên quản lý bản vá, tăng cường ngăn ngừa các mối đe dọa nội bộ, triển khai giám sát thời gian thực và chuẩn bị các kế hoạch phản ứng sự cố rõ ràng không chỉ là những thực hành tốt nhất. Chúng là điều cần thiết để duy trì lòng tin của khách hàng và đảm bảo khả năng phục hồi lâu dài của các tổ chức tài chính.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Các Câu hỏi Thường gặp#

Vụ rò rỉ dữ liệu lớn nhất trong lĩnh vực tài chính xét theo số lượng hồ sơ bị lộ là gì?#

Vụ rò rỉ của First American Financial Corporation vào tháng 5 năm 2019 đã làm lộ khoảng 885 triệu hồ sơ nhạy cảm bao gồm số An sinh Xã hội, chi tiết tài khoản ngân hàng và tài liệu thế chấp. Việc rò rỉ xảy ra vì bất kỳ ai cũng có thể truy cập các tệp bí mật bằng cách sửa đổi các chữ số trong URL mà không cần xác thực.

Vụ rò rỉ của Equifax xảy ra như thế nào và gây thiệt hại bao nhiêu cho công ty?#

Equifax đã không áp dụng bản vá cho lỗ hổng Apache Struts (CVE-2017-5638) trong hơn hai tháng sau khi phát hành vào tháng 3 năm 2017. Những kẻ tấn công đã gửi hơn 9.000 truy vấn qua 48 cơ sở dữ liệu, trích xuất dữ liệu 265 lần. Equifax cuối cùng đã phải trả khoản thỏa thuận trị giá 1,38 tỷ USD bao gồm bồi thường cho người tiêu dùng và các cải tiến về an ninh mạng.

Làm thế nào mà các mối đe dọa từ nội bộ gây ra rò rỉ dữ liệu tại các tổ chức tài chính?#

Các mối đe dọa từ nội bộ đã gây ra hai vụ rò rỉ tài chính lớn bằng cách khai thác quyền truy cập nội bộ hợp pháp. Tại Desjardins, một nhân viên đã đánh cắp dữ liệu mà không bị phát hiện trong hơn 26 tháng, làm ảnh hưởng đến 9,7 triệu cá nhân. Tại Block (Cash App Investing), một cựu nhân viên vẫn giữ quyền truy cập hệ thống sau khi nghỉ việc và tải xuống dữ liệu môi giới ảnh hưởng đến 8,2 triệu khách hàng.

Bốn mô hình phổ biến nhất đằng sau các vụ rò rỉ dữ liệu trong lĩnh vực tài chính là gì?#

Bốn mô hình lặp đi lặp lại thúc đẩy hầu hết các vụ rò rỉ trong lĩnh vực tài chính: không vá các lỗ hổng đã biết kịp thời, kiểm soát truy cập yếu kém tạo điều kiện cho các mối đe dọa nội bộ, giám sát thời gian thực không đủ gây chậm trễ trong việc phát hiện và phản ứng sự cố chậm chạp hoặc không rõ ràng. Các công cụ giám sát của Equifax đã bị vô hiệu hóa trong 19 tháng do chứng chỉ hết hạn, làm chậm đáng kể quá trình phát hiện sự cố rò rỉ.