Kết quả điều tra vừa công bố cho thấy quy mô vụ vi phạm dữ liệu tại "gã khổng lồ" thương mại điện tử Coupang nghiêm trọng hơn gấp nhiều lần so với những công bố ít ỏi ban đầu từ phía doanh nghiệp. Không chỉ dừng lại ở lỗi kỹ thuật, đây được xác định là một sai phạm nghiêm trọng trong công tác quản lý nội bộ.
Ảnh: Yonhap.

Ngày 10/2, nhóm điều tra liên ngành giữa cơ quan nhà nước và khu vực tư nhân của Hàn Quốc đã chính thức công bố báo cáo về sự cố an ninh mạng xảy ra vào năm 2025 tại tập đoàn Coupang. Theo Bộ Khoa học và Công nghệ Thông tin Hàn Quốc, đơn vị chủ trì cuộc điều tra, tổng cộng đã có 33,67 triệu bản ghi dữ liệu người dùng bị rò rỉ trái phép. Các thông tin bị đánh cắp bao gồm tên khách hàng và địa chỉ thư điện tử cá nhân.

Đáng chú ý, cuộc điều tra còn phát hiện một con số gây sốc khác: trang danh sách giao hàng của Coupang đã bị truy cập bất hợp pháp tới 148 triệu lượt. Các thông tin nhạy cảm như tên, số điện thoại, địa chỉ nhận hàng và thậm chí là mật khẩu vào sảnh chung cư (dưới dạng ẩn danh) đều đã bị các đối tượng xấu tiếp cận.

Quy mô thực sự của vụ việc đã khiến dư luận ngỡ ngàng khi đặt cạnh những tuyên bố trước đó của Coupang. Ban đầu, tập đoàn này chỉ báo cáo khoảng 3.000 hồ sơ bị ảnh hưởng, sau đó điều chỉnh lên 165.000. Tuy nhiên, ông Choi Woo-hyuk, Cục trưởng Cục Chính sách An ninh mạng thuộc Bộ Khoa học và CNTT, khẳng định nhóm điều tra đã phải trực tiếp kiểm tra hệ thống máy chủ của Coupang để xác minh độc lập, vì những con số doanh nghiệp tự đưa ra không phản ánh đúng thực trạng mức độ nghiêm trọng của vụ vi phạm.

Bộ Khoa học và Công nghệ Thông tin Hàn Quốc tổ chức họp báo về vụ Coupang tại Seoul, ngày 10/2/2026. Ảnh: Yonhap.

Nguyên nhân của thảm họa an ninh này được xác định bắt nguồn từ "người trong nhà". Đối tượng thực hiện vụ tấn công là một cựu nhân viên từng tham gia phát triển phần mềm xác thực người dùng của công ty. Người này đã đánh cắp khóa ký từ hệ thống, sử dụng các công cụ tự động để sao chép dữ liệu quy mô lớn. Thậm chí, sau khi nghỉ việc, đối tượng vẫn có thể duy trì quyền truy cập vào hệ thống nội bộ và gửi thư điện tử đe dọa đến trụ sở doanh nghiệp.

Dù quy định của Coupang yêu cầu các khóa ký phải được lưu trữ trong hệ thống quản lý chuyên biệt, nhưng trên thực tế, nhiều lập trình viên đã lưu trực tiếp chúng trên máy tính xách tay cá nhân. Sai sót mang tính hệ thống này đã tạo điều kiện cho kẻ gian dễ dàng xâm nhập. Cơ quan chức năng nhấn mạnh đây là một sai phạm rõ ràng trong quản lý hành chính chứ không phải là một cuộc tấn công mạng quá tinh vi từ bên ngoài.

Bên cạnh lỗ hổng bảo mật, Coupang còn đối mặt với các biện pháp xử phạt hành chính do hành vi báo cáo sự cố chậm trễ và không bảo toàn đầy đủ các bằng chứng quan trọng theo yêu cầu của cơ quan quản lý. Trước những nghi vấn cho rằng quá trình điều tra bị trì hoãn do sức ép thương mại từ phía Mỹ (nơi Coupang đặt trụ sở chính), đại diện nhóm điều tra khẳng định vụ việc được xử lý hoàn toàn dựa trên tinh thần thượng tôn pháp luật và tính minh bạch, không có bất kỳ sự ưu ái hay phân biệt đối xử nào.

QT (SHTT)