Rò rỉ dữ liệu 3 triệu người, Lotte Card có thể bị đình chỉ kinh doanh

Vụ việc xuất phát từ một sự cố hack năm ngoái làm lộ dữ liệu của khoảng 2,97 triệu người dùng Lotte Card, chiếm gần một phần ba lượng khách hàng của công ty. Vụ rò rỉ đặc biệt nghiêm trọng vì bao gồm các thông tin nhạy cảm cao. Cụ thể, số đăng ký thường trú của 450.000 người và số thẻ, ngày hết hạn, mã bảo mật CVC của khoảng 280.000 khách hàng đã bị lộ. Các nhà điều tra phát hiện ra rằng cuộc tấn công mạng đã khai thác một lỗ hổng bảo mật đã biết nhưng không được vá từ năm 2017. Công ty cũng đã lưu trữ các thông tin quan trọng, bao gồm cả số đăng ký xã hội, dưới dạng văn bản thuần không mã hóa.

Đây là đòn giáng pháp lý lớn thứ hai đối với Lotte Card trong năm nay. Vào tháng 3, Ủy ban Bảo vệ Thông tin Cá nhân (PIPC) đã phạt công ty 9,62 tỷ won sau khi cuộc điều tra của họ kết luận rằng công ty đã vi phạm Đạo luật Bảo vệ Thông tin Cá nhân. Cuộc điều tra của FSS tập trung cụ thể hơn vào các vi phạm luật tài chính, bao gồm Đạo luật Thông tin Tín dụng và Đạo luật Giao dịch Tài chính Điện tử. FSS đã xem xét quy mô của vụ rò rỉ và các sai sót trong quy trình bảo mật. Các hình phạt được đề xuất hiện đang được xem xét, và quyết định cuối cùng sẽ được Ủy ban Dịch vụ Tài chính cấp cao hơn xác nhận.

Vụ việc và các hành động pháp lý sau đó đã đặt ban lãnh đạo và lịch sử hoạt động của Lotte Card vào tầm ngắm. Công ty trước đó đã bị FSS hạ bậc xuống mức "kém" về bảo vệ người tiêu dùng vào tháng 12 năm ngoái, với lý do là các vấn đề bảo vệ dữ liệu. Các báo cáo từ năm ngoái cũng chỉ ra các biện pháp an ninh không đầy đủ và việc có số lượng nhân viên IT thấp nhất trong ngành thẻ tín dụng. Điều này cho thấy vụ rò rỉ là một kết quả có thể đoán trước được từ những yếu kém hệ thống. Cổ đông lớn của công ty, công ty cổ phần tư nhân MBK Partners, cũng phải đối mặt với chỉ trích về các cáo buộc thiếu đầu tư vào cơ sở hạ tầng IT của công ty kể từ khi mua lại.

Nếu các biện pháp trừng phạt do FSS đề xuất được thông qua, Lotte Card sẽ bị cấm tìm kiếm khách hàng mới hoặc triển khai các hoạt động kinh doanh phụ mới trong thời gian bị đình chỉ. Đây sẽ là một đòn giáng mạnh vào hoạt động và vị thế trên thị trường của công ty. Động thái này được xem là một trong những biện pháp trừng phạt nghiêm khắc nhất kể từ sự kiện rò rỉ dữ liệu trên diện rộng làm rúng động ngành thẻ Hàn Quốc vào năm 2014. Nó cho thấy sức ép ngày càng tăng đối với các tổ chức tài chính trong việc bảo vệ dữ liệu người tiêu dùng, nếu không sẽ phải đối mặt với hậu quả đáng kể. Hiện tại, cả ngành đang theo dõi chặt chẽ vì quyết định cuối cùng của Ủy ban Dịch vụ Tài chính sẽ không chỉ định đoạt tương lai trước mắt của Lotte Card mà còn thiết lập một tiêu chuẩn mới về trách nhiệm giải trình của các cơ quan quản lý.