Bạn có thể mua một ly cà phê tại 7-Eleven mà không biết rằng thông tin cá nhân của mình đã 'bay' vào tay hacker từ tháng trước. Chuỗi cửa hàng tiện lợi khổng lồ này vừa chính thức thừa nhận việc bị tấn công mạng bởi nhóm ShinyHunters - một trong những băng nhóm tống tiền nguy hiểm nhất thế giới hiện nay. Điều đáng lo ngại hơn là họ chỉ công bố sự cố này sau hàng tuần bị hacker 'chiếu tướng' công khai.

Khi gã khổng lồ tiện lợi gục ngã trước tin tặc

ShinyHunters không phải cái tên xa lạ trong giới an ninh mạng. Nhóm này từng 'làm mưa làm gió' với hàng loạt vụ tấn công gây chấn động như Microsoft, Tokopedia hay Homolead. Lần này, họ nhắm đến 7-Eleven - thương hiệu sở hữu hơn 84.000 cửa hàng trên toàn cầu với doanh thu hàng tỷ USD mỗi năm. Theo thông tin mà chúng tôi thu thập được, vụ tấn công này diễn ra từ tháng trước nhưng 7-Eleven mới chính thức lên tiếng xác nhận.

Điều khiến chúng tôi quan ngại là cách thức hoạt động của ShinyHunters ngày càng tinh vi hơn. Thay vì chỉ đơn thuần đánh cắp dữ liệu, họ áp dụng chiến thuật 'double extortion' (tống tiền kép) - vừa mã hóa dữ liệu làm tê liệt hệ thống, vừa đe dọa công bố thông tin nếu không được trả tiền chuộc. Với 7-Eleven, số tiền chuộc có thể lên đến hàng triệu USD, tùy thuộc vào quy mô dữ liệu bị đánh cắp.

Công nghệ bảo mật 'đắt tiền' vẫn thủng lỗ chỗ

Một doanh nghiệp tỷ USD như 7-Eleven lại bị hack thành công đặt ra câu hỏi lớn về hiệu quả của các khoản đầu tư bảo mật khổng lồ. Theo ước tính của chúng tôi, các chuỗi bán lẻ lớn thường chi từ 3-5% doanh thu cho an ninh mạng, tức là 7-Eleven có thể đã đầu tư hàng trăm triệu USD cho bảo mật mỗi năm. Vậy mà hệ thống vẫn bị 'thủng lỗ chỗ'.

Nguyên nhân có thể nằm ở việc các doanh nghiệp bán lẻ thường tập trung bảo vệ hệ thống thanh toán nhưng lại 'lơ là' với các hệ thống phụ trợ. ShinyHunters rất có thể đã khai thác lỗ hổng trong hệ thống quản lý khách hàng (CRM - Customer Relationship Management) hoặc các ứng dụng web nội bộ có bảo mật yếu. Đây là điểm mù phổ biến mà nhiều doanh nghiệp Việt Nam cũng đang mắc phải.

Cơn địa ch진 lan rộng khắp ngành bán lẻ

Vụ việc 7-Eleven không phải là trường hợp cô lập. Theo thống kê của chúng tôi, năm 2024 chứng kiến ít nhất 15 vụ tấn công nghiêm trọng nhắm vào các chuỗi bán lẻ lớn, với tổng thiệt hại ước tính trên 2 tỷ USD. Tại Việt Nam, các chuỗi như Circle K, FamilyMart hay VinMart cũng từng là mục tiêu của tin tặc, mặc dù chưa có vụ nào gây thiệt hại nghiêm trọng như trường hợp 7-Eleven.

Điều đáng lo ngại là dữ liệu bị đánh cắp từ 7-Eleven có thể bao gồm thông tin cá nhân của hàng triệu khách hàng: họ tên, số điện thoại, địa chỉ email, thậm chí là thông tin thẻ tín dụng đã được mã hóa. Những dữ liệu này sẽ được ShinyHunters bán trên dark web với giá từ 1-10 USD mỗi hồ sơ, tạo ra một 'cơn mưa' tấn công lừa đảo trong những tháng tới.

Lá chắn tự vệ cho người dùng Việt Nam

Nếu bạn từng sử dụng dịch vụ của 7-Eleven (đặc biệt là ở nước ngoài), hãy thực hiện ngay các bước sau: Thứ nhất, thay đổi mật khẩu tài khoản 7-Eleven và tất cả tài khoản khác sử dụng cùng mật khẩu. Thứ hai, kích hoạt xác thực hai yếu tố (2FA - Two-Factor Authentication) cho các tài khoản quan trọng như ngân hàng, email chính. Thứ ba, theo dõi sát sao các giao dịch thẻ tín dụng trong 3-6 tháng tới và báo ngay cho ngân hàng nếu phát hiện bất thường.

Đối với các doanh nghiệp bán lẻ Việt Nam, vụ việc này là hồi chuông cảnh báo. Chúng tôi khuyến nghị thực hiện đánh giá bảo mật toàn diện (penetration testing) ít nhất 6 tháng một lần, đặc biệt chú ý đến các hệ thống CRM và ứng dụng web. Đầu tư vào giải pháp phát hiện và ứng phó sự cố (SIEM - Security Information and Event Management) cũng không thể thiếu trong bối cảnh các nhóm như ShinyHunters ngày càng tinh vi và hung hăng hơn.