WestJet thừa nhận một cuộc tấn công mạng nhằm vào hệ thống của hãng hàng không này hồi đầu năm nay đã dẫn đến việc đánh cắp thông tin cá nhân của một số hành khách, bao gồm cả dữ liệu từ giấy tờ đi lại như hộ chiếu. Tuy nhiên, thông tin thẻ thanh toán và mật khẩu người dùng không bị lấy cắp.

Ảnh minh họa

Hãng hàng không WestJet cho biết dữ liệu bị xâm phạm khác nhau ở từng người, nhưng có thể bao gồm họ tên, ngày sinh, thông tin liên hệ, giới tính, và hồ sơ đặt chỗ gần đây (bao gồm cả mã đặt chỗ). Thông tin từ giấy tờ tùy thân do chính phủ cấp được sử dụng khi đi lại cũng nằm trong số dữ liệu bị lấy cắp.

Trong thư gửi đến những người bị ảnh hưởng, WestJet cảnh báo rằng dữ liệu bị đánh cắp có thể được sử dụng để đánh cắp danh tính hoặc gian lận, đồng thời cho biết hãng sẽ cung cấp 2 năm dịch vụ giám sát danh tính miễn phí. Cuộc xâm nhập được phát hiện vào ngày 13/6, khi hãng phát hiện tội phạm mạng đã tạm thời truy cập một số hệ thống. Văn phòng Ủy viên Quyền riêng tư của Canada đã mở cuộc điều tra.

Một phần của làn sóng tấn công lớn hơn nhắm vào ngành hàng không

Vụ việc nói trên nằm trong chuỗi sự cố gần đây ảnh hưởng đến các hãng hàng không tại nhiều quốc gia. Hai hãng hàng không Hawaiian Airlines và Qantas mới đây cũng báo cáo bị xâm nhập mạng, trong khi FBI cảnh báo rằng nhóm tin tặc Scattered Spider đã chuyển mục tiêu sang lĩnh vực hàng không.

Các chuyên gia an ninh cho rằng ngành hàng không vẫn là mục tiêu hấp dẫn do lưu trữ lượng lớn dữ liệu cá nhân, thường được đặt trên các nền tảng cũ nhưng liên kết chặt chẽ. Việc tập trung nhiều thông tin giá trị cao, kết hợp với những đợt cao điểm mùa vụ, làm tăng khả năng bị khai thác.

Scattered Spider, còn được các nhà phân tích nhận diện với mã UNC3944, từng liên quan đến các vụ tấn công đình đám nhằm vào MGM Resorts và Caesars Entertainment. Nhóm này nổi tiếng với việc sử dụng kỹ thuật lừa đảo xã hội tiên tiến – bao gồm phishing, hoán đổi SIM và giả mạo – để vượt qua các cơ chế xác thực đa yếu tố.

Hệ lụy đối với ngành bảo hiểm

Đối với các công ty bảo hiểm Canada, sự cố này một lần nữa nhắc nhở về sự phức tạp của việc thẩm định và quản lý rủi ro mạng trong các ngành lưu trữ nhiều dữ liệu. Dù số thẻ tín dụng không bị xâm phạm, nhưng việc lộ giấy tờ tùy thân có thể tạo ra các nghĩa vụ dài hạn đáng kể liên quan đến chi phí giám sát, tuân thủ quy định và rủi ro kiện tụng.

Vụ rò rỉ xảy ra trong bối cảnh ngành bảo hiểm cũng đang ở mức cảnh báo cao. Tại Mỹ, cả Erie Insurance và Philadelphia Insurance đều báo cáo bị xâm nhập mạng với phương thức tấn công tương tự mà nhóm tin tặc Scattered Spider dùng. Trong mỗi trường hợp, tin tặc đã lợi dụng các môi trường dịch vụ dành cho nhân viên để thâm nhập vào mạng lưới nội bộ.

Các nhà phân tích ngành cho rằng cả doanh nghiệp hàng không lẫn bảo hiểm đều nên xem xét lại quy trình xác minh danh tính, quản lý tài khoản đặc quyền và các thỏa thuận truy cập với nhà cung cấp. Với ngành bảo hiểm, mối lo đến từ hai hướng: rủi ro bảo hiểm trực tiếp đối với khách hàng hàng không và rủi ro gián tiếp qua các sản phẩm du lịch hoặc sản phẩm hợp tác.

Khi các cuộc điều tra chính thức đang diễn ra và khả năng có thêm thông tin mới, vụ việc của WestJet cho thấy cùng một nhóm tin tặc hiện đang tấn công các lĩnh vực đa dạng như hàng không và bảo hiểm – với mức độ tinh vi ngày càng cao.

Nguyễn Yến (theo Insurance Business)