Con Cưng sẽ làm gì khi máy chủ bị tấn công dẫn tới mất mát dữ liệu khách hàng?
Con Cưng có lưu trữ địa chỉ IP, loại trình duyệt, ngôn ngữ sử dụng, thời gian và những địa chỉ mà trình duyệt truy xuất đến,...
Chiều 10/11, thành viên herasvn có tài khoản VIP trên một diễn đàn hacker đã phát tán tập tin dữ liệu dạng *.txt được cho là của 2.272 nhân viên tại Con Cưng - một công ty chuyên về ngành hàng dành cho trẻ em. Ngoài dữ liệu về nhân viên, herasvn còn tuyên bố sẽ tiếp tục tung ra cơ sở dữ liệu về thông tin khách hàng của doanh nghiệp này.
Các thông tin xuất hiện trong tập tin rò rỉ gồm mã số nhân viên, họ tên, ngày sinh, số chứng minh nhân dân/thẻ căn cước công dân, nơi cấp, số điện thoại di động, email, bộ phận làm việc,... Xác nhận với PV, nhiều nhân viên đang làm việc ở các bộ phận như bán hàng, quản lý kho, lập trình web,… của Con Cưng đều khẳng định thông tin rò rỉ liên quan tới cá nhân họ là chính xác.
Bài đăng của herasvn trên diễn đàn hacker, bán dữ liệu với giá 8 credit.
Cục An toàn thông tin (thuộc Bộ Thông tin và Truyền thông) đã vào cuộc xác minh vụ việc nhưng chưa có thông tin chính thức. Về phía Con Cưng, doanh nghiệp này cũng chưa có phát ngôn gì liên quan.
Trong khi đó, theo tìm hiểu của PV, website chính thức của Con Cưng có đăng tải công khai chính sách bảo mật và cách thức thu thập, lưu trữ và xử lý thông tin hoặc dữ liệu cá nhân của các khách hàng. Theo đó, việc thu thập dữ liệu của khách hàng trên website Con Cưng tại địa chỉ concung.com gồm email, điện thoại, tên đăng nhập, mật khẩu đăng nhập, địa chỉ khách hàng.
"Đây là các thông tin mà Con Cưng cần khách hàng cung cấp bắt buộc khi đăng ký sử dụng dịch vụ, và Con Cưng sử dụng nhằm liên hệ xác nhận khi khách hàng đăng ký sử dụng dịch vụ, đảm bảo quyền lợi cho khách hàng. Bên cạnh đó, chúng tôi cũng có thể thu thập thông tin về số lần viếng thăm, bao gồm số trang bạn xem, số links (liên kết) bạn click và những thông tin khác liên quan đến việc kết nối đến site của Con Cưng. Chúng tôi cũng thu thập các thông tin mà trình duyệt web (browser) bạn sử dụng mỗi khi truy cập vào concung.com, bao gồm: Địa chỉ IP, loại trình duyệt, ngôn ngữ sử dụng, thời gian và những địa chỉ mà trình duyệt truy xuất đến nhằm nâng cao chất lượng phục vụ khách hàng", trích chính sách bảo mật trên website của Con Cưng.
Một phần chính sách bảo mật của Con Cưng. (Ảnh chụp màn hình)
Con Cưng cho biết, họ sẽ không sử dụng thông tin cá nhân của khách hàng ngoài mục đích xác nhận và liên hệ có liên quan tới dịch vụ do Con Cưng cung cấp, nhưng sẽ có trách nhiệm hợp tác cung cấp thông tin cá nhân khách hàng khi có yêu cầu từ cơ quan nhà nước có thẩm quyền. Các dữ liệu này sẽ được lưu trữ cho đến khi có yêu cầu hủy bỏ từ khách hàng; còn lại trong mọi trường hợp, thông tin cá nhân Khách hàng sẽ được bảo mật trên máy chủ của họ.
Đồng thời, Con Cưng cũng cam kết, thông tin cá nhân của khách hàng trên website được Con Cưng bảo mật tuyệt đối theo chính sách bảo vệ thông tin cá nhân của Con Cưng. Việc thu thập và sử dụng thông tin của mỗi khách hàng chỉ được thực hiện khi có sự đồng ý của khách hàng đó, trừ những trường hợp pháp luật có quy định khác.
Trong một số trường hợp, Con Cưng có thể thuê một đơn vị độc lập để thực hiện các dự án nghiên cứu thị trường, và khi đó thông tin của khách hàng sẽ được cung cấp cho đơn vị này. Bên thứ ba này sẽ bị ràng buộc bởi một thỏa thuận về bảo mật mà theo đó, họ chỉ được phép sử dụng những thông tin được cung cấp cho mục đích hoàn thành dự án. Không có thông tin cá nhân nào của khách hàng bị tiết lộ cho bên thứ ba, tất cả đều khách hàng ẩn danh.
Trong trường hợp máy chủ lưu trữ thông tin bị tấn công dẫn đến mất mát dữ liệu cá nhân khách hàng, Con Cưng sẽ có trách nhiệm thông báo vụ việc cho cơ quan chức năng điều tra xử lý kịp thời và thông báo cho khách hàng được biết. Đồng thời, Con Cưng khẳng định bảo mật tuyệt đối mọi thông tin giao dịch trực tuyến của khách hàng, bao gồm thông tin hóa đơn, chứng từ kế toán số hóa tại khu vực dữ liệu trung tâm an toàn cấp 1 của Con Cưng.
Theo một nguồn tin, các thông tin xuất hiện trong tập tin rò rỉ gồm mã số nhân viên, họ tên, ngày sinh, số chứng minh nhân...