Hãng hàng không lớn nhất nước Úc – Qantas – vừa xác nhận rằng tội phạm mạng đã truy cập trái phép vào một nền tảng dịch vụ khách hàng do bên thứ ba vận hành, trong đó chứa tới 6 triệu bản ghi dịch vụ khách hàng.
Qantas cho biết vụ vi phạm xảy ra sau khi một đối tượng tấn công mạng nhắm mục tiêu vào trung tâm chăm sóc khách hàng, và đã thành công trong việc truy cập hệ thống của bên thứ ba – nhiều khả năng thông qua tấn công kỹ nghệ xã hội (social engineering).
Hãng hàng không trấn an khách hàng rằng tất cả hệ thống nội bộ của Qantas vẫn an toàn, và không có bất kỳ ảnh hưởng nào tới hoạt động vận hành hay an toàn bay của hãng. Tuy nhiên, Qantas cũng thừa nhận rằng một lượng lớn dữ liệu có thể đã bị đánh cắp:
“Chúng tôi vẫn đang tiếp tục điều tra tỷ lệ dữ liệu bị đánh cắp, tuy nhiên nhiều khả năng đó sẽ là một con số đáng kể.”
Qua đánh giá ban đầu, dữ liệu bị ảnh hưởng bao gồm:
- Họ và tên khách hàng
- Địa chỉ email
- Số điện thoại
- Số hội viên chương trình khách hàng thường xuyên (Frequent flyer)
May mắn thay, thông tin thẻ tín dụng, dữ liệu tài chính cá nhân và hộ chiếu không nằm trong hệ thống bị xâm nhập.
Ngay sau khi phát hiện sự cố, Qantas đã nhanh chóng cách ly hệ thống bị ảnh hưởng, thông báo cho khách hàng, và phối hợp với Trung tâm An ninh mạng Úc (Australian Cyber Security Centre), Cảnh sát Liên bang Úc (AFP), cùng các chuyên gia an ninh mạng độc lập để xử lý và khắc phục.
Đáng lưu ý, vụ việc lần này xảy ra tại một nhà cung cấp bên thứ ba, trong khi Qantas mới hoàn tất nâng cấp quy trình quản trị rủi ro an ninh mạng với bên thứ ba và thứ tư vào năm 2024. Trong báo cáo phát hành thời điểm đó, hãng từng nêu rõ:
“Rủi ro an ninh mạng từ bên thứ ba và thứ tư là việc quản lý rủi ro phát sinh từ các nhà cung cấp trực tiếp (bên thứ ba) và cả nhà cung cấp của họ (bên thứ tư), những đối tượng có thể ảnh hưởng trực tiếp hoặc gián tiếp đến chuỗi cung ứng của chúng tôi thông qua các sự cố mạng.”
Hiện chưa có nhóm nào đứng ra nhận trách nhiệm cho cuộc tấn công, điều này phổ biến trong các cuộc tấn công ransomware, đặc biệt khi dữ liệu bị đánh cắp đang được dùng để tống tiền. Tuy nhiên, cần lưu ý rằng vào cuối tuần qua, FBI đã phát cảnh báo trên mạng xã hội về việc các cuộc tấn công ransomware đang nhắm vào lĩnh vực hàng không.
“FBI gần đây đã ghi nhận nhóm tội phạm mạng Scattered Spider mở rộng phạm vi tấn công sang ngành hàng không. Nhóm này thường sử dụng các kỹ thuật kỹ nghệ xã hội, đóng giả nhân viên hoặc nhà thầu để lừa bộ phận hỗ trợ CNTT cung cấp quyền truy cập. Một trong các chiêu thức phổ biến là vượt qua xác thực đa yếu tố (MFA) bằng cách thuyết phục bộ phận kỹ thuật thêm thiết bị MFA trái phép vào tài khoản đã bị xâm nhập.
Chúng nhắm tới các tập đoàn lớn và nhà cung cấp dịch vụ CNTT bên thứ ba, đồng nghĩa với việc bất kỳ đối tượng nào trong hệ sinh thái hàng không – bao gồm cả nhà cung cấp đáng tin cậy và nhà thầu – đều có thể trở thành mục tiêu.
Sau khi xâm nhập, nhóm Scattered Spider thường đánh cắp dữ liệu nhạy cảm để tống tiền và triển khai ransomware. FBI đang tích cực phối hợp với các đối tác trong ngành hàng không để ứng phó, hỗ trợ nạn nhân, và khuyến khích báo cáo sớm để có thể chia sẻ thông tin tình báo kịp thời và giảm thiểu thiệt hại lan rộng. Nếu nghi ngờ tổ chức của bạn là mục tiêu, hãy liên hệ văn phòng FBI địa phương.”
Để hỗ trợ khách hàng, Qantas đã thiết lập đường dây nóng chuyên biệt và trang web riêng, đồng thời liên tục cập nhật thông tin mới thông qua các kênh mạng xã hội chính thức.
Cách bảo vệ bản thân sau một sự cố rò rỉ dữ liệu
Nếu bạn là nạn nhân hoặc nghi ngờ mình có thể đã bị ảnh hưởng bởi vụ rò rỉ hãy thực hiện các bước sau để hạn chế rủi ro:
- Kiểm tra hướng dẫn từ nhà cung cấp: Mỗi sự cố đều khác nhau, vì vậy bạn nên kiểm tra thông báo chính thức từ Qantas hoặc đơn vị liên quan để làm theo các chỉ dẫn cụ thể.
- Đổi mật khẩu ngay lập tức: Mật khẩu cũ nếu bị rò rỉ sẽ trở nên vô dụng nếu bạn thay đổi. Hãy chọn mật khẩu mạnh, không trùng lặp với các tài khoản khác. Sử dụng trình quản lý mật khẩu để tạo và lưu trữ mật khẩu an toàn.
- Kích hoạt xác thực hai yếu tố (2FA): Nếu có thể, hãy sử dụng thiết bị hỗ trợ chuẩn FIDO2 như khóa bảo mật phần cứng, laptop hoặc điện thoại. Một số phương pháp 2FA (ví dụ: mã SMS) vẫn có thể bị lừa đảo. FIDO2 là tiêu chuẩn chống phishing hiệu quả nhất hiện nay.
- Cảnh giác với mạo danh: Tin tặc có thể giả danh Qantas hoặc đơn vị liên quan để liên hệ với bạn. Luôn xác minh danh tính qua kênh liên lạc chính thức trước khi phản hồi.
- Đừng vội vàng: Nhiều cuộc tấn công phishing sử dụng các nội dung giả mạo khẩn cấp như đơn hàng bị hủy, tài khoản bị khóa hay cảnh báo bảo mật. Luôn bình tĩnh và kiểm tra kỹ thông tin.
- Hạn chế lưu trữ thông tin thẻ thanh toán: Dù tiện lợi, nhưng việc lưu thông tin thẻ tín dụng trên các website luôn tiềm ẩn rủi ro. Hãy cân nhắc nhập tay khi cần thay vì lưu trữ.
- Cài đặt dịch vụ giám sát danh tính: Các dịch vụ này sẽ cảnh báo khi phát hiện thông tin cá nhân của bạn bị rao bán trên chợ đen và hỗ trợ phục hồi danh tính.
