Lazada gặp sự cố lớn về dữ liệu khách hàng: Tầm quan trọng việc tích hợp hệ thống

Thông tin về vụ việc đưa ra vào cuối ngày 30/10 cho biết dữ liệu của 1,1 triệu tài khoản RedMart đã bị xâm phạm, sau khi một cá nhân tuyên bố có quyền truy cập vào cơ sở dữ liệu (CSDL) có chứa thông tin cá nhân của khách hàng bao gồm tên, địa chỉ gửi thư, địa chỉ email, số điện thoại, mật khẩu được mã hóa và các số thẻ tín dụng thành phần.

Lazada, công ty mua lại RedMart vào tháng 11/2016, đã gửi một thông báo tới những khách hàng bị ảnh hưởng về "sự cố bảo mật dữ liệu RedMart". Khách hàng của RedMart đã tự động được đăng xuất khỏi tài khoản của họ và được khuyến cáo đặt lại mật khẩu trước khi đăng nhập lại.

Trong thông báo của mình, Lazada cho biết vụ xâm phạm đã dẫn đến việc truy cập trái phép vào "CSDL chỉ dành cho RedMart" được lưu trữ ở nhà cung cấp dịch vụ bên thứ ba và chứa dữ liệu khách hàng "cũ" được cập nhật lần cuối vào tháng 3/2019. Theo Lazada, công ty "lập tức đã có hành động" để chặn truy cập bất hợp pháp, do đó dữ liệu khách hàng của chính Lazada đã không bị ảnh hưởng bởi vụ xâm phạm.

Nhà khai thác TMĐT Đông Nam Á này vào tháng 1/2019 đã công bố kế hoạch tích hợp ứng dụng RedMart vào nền tảng của mình, hơn 2 năm sau khi mua lại RedMart. Bản thân Lazada đã được gã khổng lồ TMĐT Trung Quốc Alibaba mua lại vào tháng 4/2016. Các tài khoản RedMart chính thức được tích hợp vào ngày 15/3/2019 - cùng tháng CSDL bị xâm phạm được cập nhật lần cuối.

Động thái này đã vấp phải sự chỉ trích gay gắt từ những khách hàng cũ của RedMart ở Singapore, những người được hứa hẹn sẽ có "trải nghiệm mua sắm giống nhau - từ xem đến đặt hàng" trên nền tảng tích hợp, nhưng thực tế điều này khác xa sự thật khi đến thời điểm ngày 15/3.

Từng được yêu thích vì giao diện người dùng hợp lý và thân thiện, trải nghiệm RedMart tích hợp được khách hàng mô tả là lộn xộn, khó điều hướng và thiếu một số tính năng phổ biến như khả năng cập nhật đơn đặt hàng đã lên lịch và truy cập vào danh sách các mặt hàng yêu thích.

Hiện nay, hơn 1 năm sau khi chuyển đổi, trải nghiệm người dùng đối với RedMart - hiện có phần riêng trên Lazada - vẫn không nhất quán trên các nền tảng di động và trực tuyến. Trong khi các chức năng trên ứng dụng dành cho thiết bị di động phần lớn là hữu ích, ít nhất là về trải nghiệm trực tuyến. Trong khi khách hàng của RedMart trên trang web Lazada sẽ gặp phải tình trạng trang bị treo khi họ tìm cách truy xuất danh sách mặt hàng yêu thích của họ, việc thêm mặt hàng vào giỏ hàng của họ sẽ dẫn đến "lỗi mạng" hoặc trang bị lỗi.

Rõ ràng, còn một số vấn đề cần phải giải quyết kể từ khi sáp nhập và vụ việc xâm phạm chỉ là "khi nào".

Các vấn đề đặt ra về bảo mật của Lazada

Việc CSDL không được cập nhật là một vấn đề. Vụ xâm phạm chỉ ảnh hưởng đến CSDL "của RedMart" là một may mắn. Thông tin đăng nhập của khách hàng RedMart đã được chuyển đổi cùng với quá trình tích hợp và các mật khẩu của họ được sử dụng để đăng nhập vào nền tảng Lazada trước khi họ có thể truy cập vào phần RedMart. Vì vậy, tại sao dữ liệu Lazada của họ "không bị ảnh hưởng" cần được giải thích thêm.

Tiếp theo, CSDL được lưu trữ trên "nhà cung cấp dịch vụ bên thứ ba" cũng là một tranh luận. Dữ liệu khách hàng của bạn, CSDL của bạn, trách nhiệm là của bạn. Nếu được cập nhật lần cuối cách đây 18 tháng, thì hệ thống đáng lẽ đã phải được dừng và đưa vào chế độ ngoại tuyến, giảm thiểu rủi ro bị tấn công của các tin tặc.

Nếu CSDL được để trực tuyến vì các lý do vận hành, thì các chính sách và thủ tục nên được đưa ra để đảm bảo CSDL vẫn được cập nhật, thường xuyên kiểm tra xem có lỗ hổng tiềm ẩn nào và các bản vá bảo mật được triển khai kịp thời. Và còn nhiều câu hỏi khác cần được giải đáp.

Xâm phạm dữ liệu có thực sự được phát hiện trong quá trình "giám sát chủ động thường xuyên" hay chỉ được xác định sau khi tin tặc hoặc tin tặc tuyên bố công khai rằng chúng sở hữu CSDL và đã đưa các chi tiết để bán?

Nhóm an ninh mạng của Lazada có biết đây lần thứ hai CSDL bị xâm phạm và không chỉ khi các tin tặc thông báo có quyền truy cập vào dữ liệu? Chính xác thì vụ xâm phạm xảy ra khi nào? Các tin tặc đã thâm nhập và ẩn nấp trong hệ thống bao lâu rồi? Chúng có thể đã xâm phạm những gì nữa?

Với 1,1 triệu tài khoản bị xâm phạm, Lazada không chỉ phải đối mặt với hình phạt nghiêm khắc từ các cơ quan hữu quan của Singapore mà danh tiếng của Lazada đã bị ảnh hưởng đáng kể. Trên mạng xã hội của công ty này, khách hàng đã đưa ra các câu hỏi về bảo mật dữ liệu và chê trách việc thiếu tính bảo mật của nền tảng, bao gồm cả việc không có các tính năng cơ bản như xác thực hai yếu tố.

Đây là những vấn đề mà Lazada rất có thể tránh được nếu ngay từ đầu công ty này đã đưa ra một kế hoạch tích hợp phù hợp.

Một chiến lược chuyển đổi phù hợp cũng sẽ xác định các hệ thống cần được duy trì hoạt động và cách thức vận hành, cũng như vạch ra thời hạn ngừng các hệ thống không còn cần thiết

Bây giờ trong việc kiểm soát thiệt hại, vẫn còn phải xem Lazada sẽ hành động như thế nào để lấy lại thương hiệu của mình. Có một điều chắc chắn là với những sai lầm mà công ty đã mắc phải, nhiều "sự cố bảo mật" có thể sẽ xảy ra nếu Lazada không nhanh chóng có hành động xử lý phù hợp.