Chi nhánh Singapore của chuỗi nhà hàng cà phê nổi tiếng Starbucks vừa lên tiếng thừa nhận gặp phải sự cố vi phạm dữ liệu cực kỳ nghiêm trọng, ảnh hưởng trực tiếp đến dữ liệu cá nhân của hơn 219.000 khách hàng.
Kết quả điều tra sơ bộ cho thấy vụ vi phạm chỉ được phát hiện ra vào ngày 10 tháng 9, khi một kẻ giấu mặt công khai rao bán cơ sở dữ liệu chứa hàng loạt thông tin cá nhân nhạy cảm của 219.675 khách hàng Starbucks trên một diễn đàn hack phổ biến có tên BreachForums. Do đó, khả năng cao hành vi xâm nhập và đánh cắp dữ liệu của hacker đã diễn ra từ trường đó khá lâu, nhưng phía Starbucks hoàn toàn không hề hay biết.
Đáng chú ý, chủ sở hữu của BreachForums, "pompompurin", cũng đã tham gia cuộc thảo luận để ủng hộ tính hợp lệ của dữ liệu bị đánh cắp. Người này cho rằng các mẫu được cung cấp chứa bằng chứng xác thực “đáng kể và có giá trị sử dụng cao”.
Đến ngày 17/9, Starbucks Singapore mới có động thái gửi thư thông báo cho khách hàng của mình về vụ vi phạm dữ liệu, trong đó giải thích rằng tin tặc có thể đã đánh cắp những loại thông tin chi tiết sau:
- Tên
- Giới tính
- Ngày sinh
- Số điện thoại
- Địa chỉ email
- Địa chỉ cư trú
Được biết, dữ liệu bị đánh cắp chỉ liên quan đến những khách hàng đã sử dụng ứng dụng Starbucks dành cho thiết bị di động để đặt hàng, hoặc sử dụng website trực tuyến của Starbucks để mua hàng từ một trong 125 cửa hàng thuộc chuỗi hoạt động ở Singapore. Điều này đã được người phát ngôn của Starbucks làm rõ trên các phương tiện truyền thông địa phương.
Ngoài ra, phía Starbucks Singapore cũng khẳng định không có chất cứ thông tin tài chính nào, chẳng hạn như thông tin thẻ tín dụng, của người dùng bị xâm phạm, vì Starbucks không lưu trữ dữ liệu dạng này. Người dùng được khuyến cáo cài đặt lại mật khẩu tài khoản của mình và cảnh giác trước các thông tin liên lạc đáng ngờ.
Về phía hacker, kẻ này tuyên bố đã bán được một bản sao dữ liệu bị đánh cắp với giá 3.500 USD, và sẵn sàng cung cấp thêm ít nhất bốn bản sao nữa cho những người quan tâm. Tuy nhiên, cũng cần lưu ý rằng ban đầu, tin tặc cung cấp quyền truy cập vào gói dữ liệu bị xâm phạm với giá 25.000 đô la, cho phép tạo mã khuyến mãi, thay đổi cấp độ thành viên và hơn thế nữa. Tuy nhiên, những “đặc quyền” này đã bị hạn chế, do đó, giá bán gói dữ liệu cũng giảm đi đáng kể.