Internet Hacking  Illustration

(SeaPRwire) –   Cư dân Oklahoma, Ronald Allen, là một trong số hàng chục người cho biết cuộc sống của họ trở nên khó khăn hơn vào năm 2022 sau khi dữ liệu khách hàng như tên, địa chỉ email và ngày sinh bị đánh cắp từ Samsung, công ty điện tử của Hàn Quốc.

Sau khi Allen được thông báo về vụ vi phạm, anh ấy nói rằng, một người nào đó đã cố gắng mở một tài khoản dưới tên anh ấy. Một ngân hàng thông báo cho anh ta rằng thông tin thẻ tín dụng của anh ta đã được tìm thấy trên Dark Web, một phần của Internet nơi tội phạm thường mua bán thông tin cá nhân. Allen cho biết kể từ đó, anh đã dành nhiều giờ liên lạc với ngân hàng để hủy tài khoản, tranh chấp khoản phí và thay đổi mật khẩu của mình. Anh ấy nói rằng anh ấy dành một khoảng thời gian mỗi tuần để kiểm tra các tài khoản tài chính của mình để phát hiện hoạt động trái phép.

Vụ kiện cáo buộc rằng chuỗi các vụ vi phạm dữ liệu cho thấy các biện pháp bảo mật lỏng lẻo. Nhưng nỗ lực để buộc Samsung chịu trách nhiệm đã không thành công. Thẩm phán Quận Christine O’Hearn của New Jersey đã viết trong một phán quyết vào ngày 3 tháng 1 rằng khách hàng không chứng minh được rằng họ đã bị thiệt hại cụ thể do vụ vi phạm dữ liệu. Bà O’Hearn lập luận rằng thông tin của mọi người bị đánh cắp mọi lúc, và không có cách nào để biết rằng Allen hoặc những người khác đã bị xâm phạm danh tính vì vụ vi phạm dữ liệu.

Samsung lập luận trong các hồ sơ pháp lý rằng vì thông tin như số An sinh xã hội và số thẻ tín dụng không bị đánh cắp trong vụ vi phạm, và vì không thể biết liệu thông tin vi phạm dữ liệu có được sử dụng cho mục đích xấu hay không, nên nguyên đơn không có quyền khởi kiện. Các luật sư của công ty viết trong một đề nghị bác bỏ rằng: “Tòa án phải bác bỏ một vụ kiện tập thể về vi phạm dữ liệu nơi Nguyên đơn không thể ‘cáo buộc đầy đủ’ thiệt hại ‘xuất phát từ vi phạm dữ liệu’”.

Các sự cố như vi phạm dữ liệu của Samsung đã trở nên phổ biến khi mọi người và các công ty lưu trữ nhiều thông tin hơn trên mạng. Theo báo cáo của Trung tâm Tài nguyên Chống Trộm Cắp Danh tính (ITRC), đã có 3.158 vụ vi phạm dữ liệu vào năm 2024, tăng 70% so với năm 2021, dẫn đến gần 1,7 tỷ thông báo được gửi đến những người có thể bị ảnh hưởng.

Theo ITRC, đã có sáu vụ vi phạm dữ liệu lớn vào năm 2024, trong đó ít nhất 100 triệu nạn nhân bị ảnh hưởng. ITRC cho biết, bốn trong số các vụ vi phạm đó có thể đã được ngăn chặn nếu các tổ chức sử dụng xác thực đa yếu tố, một phương pháp bảo mật yêu cầu người dùng cung cấp nhiều hơn một hình thức xác thực để truy cập tài khoản. Một trong những công ty liên quan đến vụ vi phạm dữ liệu lớn, một công ty con của United Health, đã thừa nhận điều đó trong một phiên điều trần của Quốc hội vào tháng 5 năm 2024.

Mỗi vụ vi phạm dữ liệu làm tăng khả năng xảy ra các vụ vi phạm khác. Khi tin tặc đánh cắp thông tin cá nhân, chúng có thể sử dụng thông tin đó để xâm nhập vào hệ thống của các công ty khác và gây ra nhiều vụ vi phạm dữ liệu hơn. Đó là một trong những lý do có thể khiến số vụ vi phạm dữ liệu tăng vọt. Nhưng nhiều công ty bị xâm phạm chỉ bị phạt nhẹ, nếu có.

Mặc dù các công ty đại chúng và các công ty khác do chính phủ liên bang quản lý phải đối mặt với các hình phạt về vi phạm dữ liệu, nhưng chỉ khoảng 7% tổng số vụ vi phạm đến từ các công ty niêm yết, theo ITRC. Không có luật quốc gia nào quy định những tổ chức khác nên làm gì nếu bị xâm phạm. James Lee, chủ tịch của ITRC, nói: “Chúng ta không có luật bảo vệ thông tin cá nhân thực sự, hoặc bất kỳ tiêu chuẩn tối thiểu thống nhất nào.”

Khi một công ty biết rằng dữ liệu của khách hàng của họ đã bị xâm phạm, họ thậm chí có thể không cần phải thông báo cho họ về vấn đề này. Luật tiểu bang xác định những gì một công ty cần làm khi thông tin của họ bị truy cập bởi một bên trái phép. Và ở hầu hết các tiểu bang, Lee nói, công ty bị xâm phạm có thể quyết định liệu có rủi ro gây hại cho cá nhân hay không. Nếu họ xác định không có rủi ro, họ không cần phải gửi thông báo. Ngay cả khi họ làm, ở nhiều tiểu bang, công ty quyết định nội dung của các thông báo đó. Họ có thể từ chối thông báo cho khách hàng cách thông tin bị xâm phạm hoặc thông tin cá nhân nào bị đánh cắp.

Tất nhiên, gửi thông báo cho khách hàng không giúp ích nhiều cho họ. Họ có thể đóng băng tín dụng hoặc theo dõi chặt chẽ các tài khoản của mình, nhưng họ sẽ không được bồi thường cho thời gian hoặc hoàn lại tiền vì thông tin của họ bị xâm phạm. Để làm được điều đó, họ phải kiện hoặc nhờ ai đó làm thay cho họ. Nhưng việc kiện thành công một công ty để được bồi thường tài chính sau khi vi phạm dữ liệu là cực kỳ khó khăn, Lee nói. Với rất nhiều cuộc tấn công khác nhau, gần như không thể biết được cuộc tấn công nào đã gây ra vấn đề cho khách hàng.

Kết quả là, rất ít công ty có thể bị buộc phải chịu trách nhiệm tài chính về các vi phạm dữ liệu. Florida thậm chí còn thông qua luật nói rằng các công ty không thể bị kiện vì vi phạm dữ liệu nếu họ chứng minh rằng họ đã thực hiện các quy trình bảo mật nhất định.

Tuy nhiên, các chuyên gia bảo mật cho biết có một số điều dễ dàng mà các công ty có thể làm để bảo vệ thông tin — và nhiều công ty không làm điều đó. Các bước này bao gồm sử dụng xác thực đa yếu tố, đảm bảo rằng nhân viên thường xuyên thay đổi mật khẩu của họ và đảm bảo rằng các nhà cung cấp và các công ty khác mà họ làm việc cùng có các biện pháp phù hợp.

Aaron Cookstra, giám đốc nhóm tình báo về mối đe dọa tại Aon Cyber Solutions, nói: “Đó là một vòng lặp mà các vụ vi phạm trước đó dẫn đến các vụ vi phạm trong tương lai. Nhưng chúng ta không thấy các công ty nhất thiết phải thực hiện các biện pháp cần thiết để tránh việc đó có thể trở thành vấn đề đối với họ trong tương lai.”

Lee của ITRC đang chờ đợi một luật bảo vệ thông tin cá nhân quốc gia sẽ thiết lập các tiêu chuẩn tối thiểu về các biện pháp bảo mật an ninh mạng mà các công ty cần phải có và những gì họ phải làm khi dữ liệu của họ bị xâm phạm. Việc thiết lập các tiêu chuẩn đó là khó khăn vì tin tặc ngày càng trở nên tinh vi hơn và các công ty cần phải liên tục thay đổi các quy trình bảo mật để giữ an toàn cho thông tin. Nhưng ngay cả việc nói rằng các công ty phải làm gì đó để bảo vệ thông tin của khách hàng, Lee nói, cũng sẽ là một bước tiến lớn đúng hướng.

Bài viết được cung cấp bởi nhà cung cấp nội dung bên thứ ba. SeaPRwire (https://www.seaprwire.com/) không đưa ra bảo đảm hoặc tuyên bố liên quan đến điều đó.

Lĩnh vực: Tin nổi bật, Tin tức hàng ngày

SeaPRwire cung cấp phát hành thông cáo báo chí thời gian thực cho các công ty và tổ chức, tiếp cận hơn 6.500 cửa hàng truyền thông, 86.000 biên tập viên và nhà báo, và 3,5 triệu máy tính để bàn chuyên nghiệp tại 90 quốc gia. SeaPRwire hỗ trợ phân phối thông cáo báo chí bằng tiếng Anh, tiếng Hàn, tiếng Nhật, tiếng Ả Rập, tiếng Trung Giản thể, tiếng Trung Truyền thống, tiếng Việt, tiếng Thái, tiếng Indonesia, tiếng Mã Lai, tiếng Đức, tiếng Nga, tiếng Pháp, tiếng Tây Ban Nha, tiếng Bồ Đào Nha và các ngôn ngữ khác.