0
Trước buổi họp báo liên quan đến vụ rò rỉ thông tin cá nhân của ứng dụng Ttareungi diễn ra ngày 6 tại phòng họp báo Tòa thị chính Seoul, ông Han Jeong-hoon, Cục trưởng Cục điều hành giao thông TP Seoul, đang cúi đầu xin lỗi./Yonhap.

Việc Tổng công ty Cơ sở hạ tầng Seoul che giấu và bỏ mặc sự cố rò rỉ thông tin cá nhân trên ứng dụng xe đạp công cộng Ddareungi trong gần hai năm đã bị phát hiện, khiến việc thông báo cho cơ quan điều tra trở nên không thể tránh khỏi.

Ngày 6, tại buổi họp báo ở Tòa thị chính, ông Han Jeong-hoon, Cục trưởng Cục điều hành giao thông TP Seoul, cho biết: “Kết quả điều tra nội bộ cho thấy Tổng công ty Cơ sở hạ tầng Seoul đã nhận thức được việc rò rỉ thông tin cá nhân trong vụ tấn công mạng vào ứng dụng Ttareungi hồi tháng 6 năm 2024 nhưng lại không có bất kỳ biện pháp nào, khiến công tác ứng phó ban đầu hoàn toàn không được thực hiện”.

Ông nói thêm: “Chúng tôi chân thành xin lỗi người dân vì đã gây ra sự lo lắng liên quan đến sự cố rò rỉ thông tin cá nhân”, đồng thời cúi đầu xin lỗi.

Theo TP Seoul, ứng dụng Ddareungi đã bị tê liệt hệ thống trong khoảng thời gian từ ngày 28 đến 30 tháng 6 năm 2024 do một cuộc tấn công mạng được cho là tấn công từ chối dịch vụ phân tán (DDoS). Khi đó, phía công ty chỉ báo cáo với các cơ quan liên quan về việc xảy ra sự cố kỹ thuật.

Ngày 18 tháng 7 cùng năm, một công ty an ninh mạng đã gửi báo cáo phân tích cuộc tấn công cho Tổng công ty Cơ sở hạ tầng Seoul, trong đó nêu rõ việc thông tin cá nhân đã bị rò rỉ. Tuy nhiên, công ty này chỉ tiến hành mở rộng máy chủ và tăng cường bảo mật, mà không có bất kỳ biện pháp nào liên quan đến xử lý rò rỉ dữ liệu, đồng thời cũng không báo cáo sự việc lên thành phố.

Sự việc chỉ bị phát hiện muộn khi gần đây, trong quá trình điều tra một vụ án tội phạm mạng khác, cảnh sát tìm thấy thông tin liên quan đến Ttareungi trong máy tính của nghi phạm.

Ông Han cho biết: “Sau khi cảnh sát thông báo cho Tổng công ty vào ngày 27 tháng trước, trong quá trình TP Seoul xác minh sự việc, chúng tôi mới biết muộn rằng báo cáo từ tháng 7 năm 2024 đã từng được tiếp nhận”.

TP Seoul dự kiến sẽ tiến hành thanh tra để xác định những cá nhân trong công ty đã biết về việc rò rỉ thông tin cá nhân cũng như nguyên nhân không báo cáo, sau đó đình chỉ công tác các cá nhân liên quan, tiến hành xem xét pháp lý và chuyển hồ sơ cho cảnh sát để điều tra.

Đồng thời, thành phố sẽ báo cáo vụ việc lên Ủy ban Bảo vệ Thông tin Cá nhân và Cơ quan An ninh Internet Hàn Quốc (KISA), đồng thời căn cứ vào kết quả điều tra của cảnh sát và cơ quan bảo vệ dữ liệu để tăng cường toàn diện hệ thống quản lý, giám sát nhằm ngăn chặn tái diễn.

Về quy mô rò rỉ, số người đăng ký sử dụng Ddareungi hiện vào khoảng 5 triệu người. Xét việc đến tháng 6 năm 2024, tổng số thành viên là 4,55 triệu người, khả năng tối đa số lượng dữ liệu bị rò rỉ có thể lên tới mức này.

Thông tin bắt buộc thu thập gồm ID và số điện thoại di động; thông tin tùy chọn gồm email, ngày sinh, giới tính, cân nặng… Hiện cảnh sát đang điều tra đường rò rỉ và phạm vi chính xác của vụ việc.

Một quan chức thành phố cho biết: “Từ sau tháng 7 năm 2024 đến nay, chưa tiếp nhận trường hợp thiệt hại cụ thể nào do rò rỉ thông tin cá nhân”, đồng thời nói thêm rằng “số lượng chính xác người dùng bị ảnh hưởng và việc có rò rỉ thêm dữ liệu hay không sẽ được xác định trong quá trình điều tra của cảnh sát”.

Trong thời gian tới, TP Seoul dự kiến đặt hàng dịch vụ tư vấn tăng cường bảo mật cho ứng dụng Ddareungi để xây dựng các biện pháp phòng ngừa tái diễn. Tuy nhiên, dù trách nhiệm trực tiếp thuộc về việc không báo cáo và ứng phó ban đầu yếu kém của Tổng công ty, vẫn có ý kiến cho rằng TP Seoul cũng không thể tránh khỏi trách nhiệm quản lý khi không nắm bắt được một sự việc nghiêm trọng tại cơ quan trực thuộc trong gần hai năm.

Về vấn đề này, ông Han cho biết: “Với tư cách là cơ quan giám sát, thành phố cũng ý thức được rằng mình có trách nhiệm quản lý, giám sát”, đồng thời nói rằng “trách nhiệm pháp lý là vấn đề cần được xem xét thêm”.

Park Ji-suk