Bạn có bao giờ tự hỏi khi mua một chiếc áo trên website Zara, thông tin cá nhân của mình sẽ đi về đâu không? Câu trả lời đáng lo ngại vừa được công bố: hacker đã thành công chiếm đoạt dữ liệu cá nhân của 197.000 khách hàng từ cơ sở dữ liệu của thương hiệu thời trang Tây Ban Nha này. Theo báo cáo từ dịch vụ giám sát vi phạm dữ liệu Have I Been Pwned, đây là một trong những vụ tấn công nghiêm trọng nhất vào ngành thời trang trong năm qua. Vụ việc một lần nữa đặt ra câu hỏi lớn về khả năng bảo vệ thông tin khách hàng của các tập đoàn đa quốc gia.

Cuộc tấn công vào "đế chế" thời trang toàn cầu

Zara, thuộc tập đoàn Inditex với doanh thu hàng chục tỷ USD, được coi là một trong những gã khổng lồ thời trang có hệ thống công nghệ hiện đại nhất thế giới. Thế nhưng, ngay cả với nguồn lực khổng lồ, họ vẫn không thể ngăn chặn được cuộc tấn công tinh vi này. Hacker đã xâm nhập vào nhiều cơ sở dữ liệu quan trọng, thu thập thông tin từ các tài khoản người dùng trên nhiều thị trường khác nhau.

Theo phân tích của chúng tôi, vụ tấn công này không phải là hành động ngẫu nhiên mà thể hiện xu hướng gia tăng các cuộc tấn công có chủ đích vào ngành bán lẻ thời trang. Trong 6 tháng qua, ít nhất 5 thương hiệu thời trang lớn khác cũng đã trở thành nạn nhân của các vụ tấn công tương tự. Điều này cho thấy ngành thời trang đang trở thành mục tiêu béo bở trong mắt tội phạm mạng.

Kỹ thuật tấn công và lỗ hổng bảo mật chết người

Mặc dù Zara chưa công bố chi tiết về phương thức tấn công, các chuyên gia bảo mật cho rằng hacker có thể đã khai thác lỗ hổng SQL Injection hoặc thực hiện tấn công APT (Advanced Persistent Threat - tấn công dai dẳng có chủ đích) để duy trì quyền truy cập lâu dài vào hệ thống. SQL Injection là kỹ thuật tấn công cho phép hacker chèn mã độc vào các truy vấn cơ sở dữ liệu, từ đó chiếm quyền kiểm soát toàn bộ database.

Đáng lo ngại hơn, thời gian hacker lưu trú trong hệ thống có thể kéo dài hàng tháng mà không bị phát hiện. Đây là đặc điểm điển hình của các cuộc tấn công APT, khi tội phạm mạng âm thầm thu thập dữ liệu và mở rộng quyền truy cập trước khi thực hiện hành động cuối cùng. Chúng tôi đánh giá đây là một chiến dịch tấn công có tổ chức, không phải hành động của hacker nghiệp dư.

197.000 nạn nhân - con số đáng sợ phía sau

Con số 197.000 khách hàng bị ảnh hưởng không chỉ là thống kê khô khan. Mỗi nạn nhân có thể phải đối mặt với nguy cơ lạm dụng danh tính, gian lận thẻ tín dụng, và quan trọng hơn là các cuộc tấn công phishing (lừa đảo qua email) được cá nhân hóa. Với thông tin cá nhân chi tiết, tội phạm mạng có thể tạo ra những email lừa đảo cực kỳ tinh vi, khó phân biệt với thông tin chính thức từ Zara.

Tại Việt Nam, mặc dù Zara chưa có store chính thức nhưng rất nhiều người Việt mua hàng qua website quốc tế hoặc các dịch vụ ship hàng. Theo thống kê của Cục An toàn thông tin, năm 2023 có hơn 15.000 người Việt Nam trở thành nạn nhân của các vụ lừa đảo trực tuyến liên quan đến mua sắm quốc tế, với tổng thiệt hại lên đến 45 tỷ đồng.

Cách bảo vệ bản thân trước "sóng thần" tấn công tiếp theo

Người dùng từng mua hàng trên Zara cần thực hiện ngay các bước sau: Đầu tiên, truy cập haveibeenpwned.com và kiểm tra email của bạn có nằm trong danh sách bị rò rỉ hay không. Tiếp theo, đổi ngay mật khẩu tài khoản Zara và tất cả các tài khoản khác sử dụng chung mật khẩu này. Kích hoạt xác thực hai yếu tố (2FA) cho tất cả tài khoản quan trọng, đặc biệt là email và ngân hàng.

Chúng tôi khuyến cáo mạnh mẽ: trong 3-6 tháng tới, hãy đặc biệt cảnh giác với mọi email tự xưng từ Zara hoặc các thương hiệu thời trang khác. Không click vào bất kỳ link nào trong email, thay vào đó hãy truy cập trực tiếp website chính thức để kiểm tra thông tin. Đối với doanh nghiệp Việt Nam, đây là lời cảnh tỉnh về tầm quan trọng của việc đầu tư vào an ninh mạng - không phải chi phí mà là khoản đầu tư sinh tồn.