Ủy ban Bảo vệ Thông tin Cá nhân (PIPC) cho biết họ cũng áp thêm mức phạt hành chính 9,6 triệu won với lý do nhà mạng di động lớn nhất Hàn Quốc này “về cơ bản đã thất bại trong vấn đề bảo mật và quản lý yếu kém” khiến họ dễ bị xâm nhập mạng.

SK Telecom bị phạt số tiền kỷ lục

SK Telecom thừa nhận “trách nhiệm nặng nề” trong vụ việc nhưng bày tỏ tiếc nuối rằng các biện pháp khắc phục và giải trình của mình “không được phản ánh đầy đủ trong quyết định xử phạt”. Doanh nghiệp cho biết sẽ xem xét kỹ lưỡng quyết định bằng văn bản trước khi đưa ra bước tiếp theo.

Cuộc điều tra cho thấy dữ liệu cá nhân bao gồm số điện thoại, mã định danh thuê bao (IMSI) và khóa xác thực SIM của thuê bao LTE, 5G và cả người dùng dịch vụ giá rẻ đã bị rò rỉ. Tổng cộng 25 loại dữ liệu của 23,2 triệu người đã bị xâm phạm.

PIPC nêu rõ: “SKT đã liên kết mạng internet, hệ thống quản lý và mạng nội bộ trên cùng một hệ thống mà không giới hạn truy cập từ bên ngoài vào máy chủ quản lý nội bộ. Các máy chủ này lại được kết nối không cần thiết với Home Subscriber Server (HSS), nơi xảy ra sự cố, cho phép tin tặc xâm nhập và trích xuất dữ liệu.”

Ngoài ra, cơ quan này cho biết SK Telecom đã không mã hóa 26,1 triệu khóa xác thực SIM, để chúng hiển thị dưới dạng văn bản thuần trong cơ sở dữ liệu. Công ty còn bị chỉ trích vì bỏ qua các nhật ký phát hiện xâm nhập và không áp dụng bản vá bảo mật, trong đó có bản vá đã phát hành từ năm 2016 cho một lỗ hổng đã biết. Thêm vào đó, vai trò của Giám đốc phụ trách quyền riêng tư bị giới hạn trong mảng dịch vụ công nghệ thông tin, bỏ sót hạ tầng viễn thông, PIPC cho hay.

Mức phạt này, tuy thấp hơn mức tối đa 350 tỷ won được dự báo ban đầu, nhưng là mức cao nhất từ trước đến nay mà PIPC áp dụng theo Luật Bảo vệ Thông tin Cá nhân của Hàn Quốc.

Theo luật sửa đổi, mức phạt có thể lên tới 3% doanh thu. Với doanh thu dịch vụ di động khoảng 12,8 nghìn tỷ won của SKT năm ngoái, các chuyên gia ngành từng dự đoán tiền phạt có thể ở mức giữa 300 tỷ won.

Một số án phạt lớn trước đó gồm: 69,2 tỷ won đối với Google và 30,8 tỷ won đối với Meta vì thu thập dữ liệu người dùng trái phép để phục vụ quảng cáo. Kỷ lục về rò rỉ dữ liệu trước đây thuộc về Kakao với mức phạt 15,1 tỷ won năm ngoái, khi thông tin cá nhân trong các phòng chat mở bị lộ. LG Uplus cũng từng bị phạt 6,8 tỷ won sau một vụ rò rỉ khác ảnh hưởng khoảng 300.000 khách hàng.

Sau sự cố tháng 4, SKT đã cung cấp thay SIM miễn phí cho toàn bộ khách hàng và bồi thường cho các đại lý bị đình trệ kinh doanh. Sau khi tổ công tác phối hợp chung giữa chính phủ và khu vực tư công công bố kết luận cuối cùng, công ty cam kết gói hỗ trợ gồm: miễn phí hủy hợp đồng cho khách hàng rời mạng, giảm 50% hóa đơn tháng 8 cho toàn bộ người dùng, tặng thêm 50 GB dữ liệu và mở rộng quyền lợi thành viên.

Nguyễn Yến (theo The Korea Herald)