Friday, 22/12/2017 - 08:09:46

Vụ ăn cắp lý lịch tại Equifax: Công ty có đáp ứng xứng đáng không?

Bài ERIC TRẦN

Vụ kẻ gian đột nhập tổng hành dinh (hacking) của công ty tín dụng Equifax, vào một ngày cuối tháng Bảy, 2017, có thể đưa đến nhiều hậu quả tai hại lâu dài cho giới tiêu thụ, ít nhất cho 143 triệu người mà Equifax đã công bố rằng hồ sơ cá nhận - bao gồm các chi tiết như tên tuổi, an sinh xã hội, ngày tháng năm sinh, địa chỉ nhà ở, địa chỉ nơi làm việc, số bằng lái xe… bị xâm phạm.


Tổng hành dinh Equifax, nơi giữ lý lịch tín dụng của giới tiêu thụ, đã bị kẻ gian đột nhập, xâm phạm 143 triệu hồ sơ.

Xin đừng lơ là, rất có thể hồ sơ cá nhân của bạn cũng đã bị xâm phạm rồi. Nếu không phản ứng, rất có thể một lúc nào đó trong tương lai, bạn nhận được một cái giấy đòi nợ, $10,000, $20,000... mà không thể xác nhận được mình đã vay mượn lúc nào. Lần trước chúng ta đã nói đến những biện pháp để tự bảo vệ mình. Hôm nay, chúng ta sẽ thử phân tích xem phản ứng của Equifax sau vụ việc này có thích đáng không?
Mặc dầu đây không phải là vụ hacking lớn nhất, một vụ hacking khác,xảy ra với công ty Yahoo.com trước đây, ảnh hưởng tới 500 triệu người, thực ra mới xứng đáng chiếm vương miện. Nhưng những chi tiết cá nhân mà Yahoo thâu thập không quan trọng như những gì chúng ta đã trao cho Equifax. Tiếc thay, phản ứng của Equifax cho chúng ta thấy họ chỉ quan tâm thâu thập lý lịch giới tiêu thụ. Còn bảo vệ nó? Đó không phải là ưu tiên.

Sau đây là một vài nhận xét cụ thể, theo ghi nhận của nhà báo Michael Hillzik:

1. Equifax đã chờ đợi 6 tuần lễ trước khi tiết lộ vụ xâm phạm: Hôm 8 tháng Chín, công ty đã chính thức tiết lộ về vụ Hacking xảy ra tại tổng hành dinh của họ từ 29 tháng Bảy, 2017. Trong 6 tuần lễ đó, kẻ gian có thừa thì giờ múa gậy vườn hoang, mà 143 triệu nạn nhân không hề hay biết gì cả.
Là người tiêu thụ, chúng ta có quyền đặt dấu hỏi với Equifax về sự chậm trễ này. Công ty không đưa ra câu trả lời chính thức, nhưng chúng ta có thể đoán biết được lý do qua sự kiện thứ hai sau đây:

2. Ba ông lớn (executives) Equifax đã vội bán cổ phiếu của mình ngay sau khi khám phá ra vụ xâm phạm, và trước khi công bố cho khách hàng.
Bản tin Bloomberg cho biết, ba ông lớn này đã bán cổ phiếu của mình vào ngày 1 và ngày 2 tháng Tám, thâu về $1.8 triệu đô la. Một nữ phát ngôn viên của công ty biện giải rằng các ông lớn không biết gì về vụ Hacking, và rằng không thể nói là họ dùng tin mật để bán cổ phiếu trước khi sụp giá.

Thật là một lời biện bạch vô lý! Bởi vì, những người bán cổ phiếu đó không phải là nhân viên quèn. Một trong ba người là ông John Gamble, tổng giám đốc tài chánh (CFO) của công ty. Nếu bề thế như ông Gamble, nhân vật thứ 2 trong hệ thống quyền lực của công ty, mà không được thông báo về vụ Hacking, thì ai mới xứng đáng nhận tin tức này.


Danh tính ba ông lớn Equifax đã kịp thời bán gần $2 triệu đô cổ phiếu, trước khi công bố vụ tai nạn cho công chúng, khiến cổ phiếu giảm 13% trong ngày.

Dù thế nào chăng nữa, việc ông Gamble căn giờ để bán cổ phiếu vào thời điểm đó đã đưa lại những lợi nhuận lớn lao: Với 6,500 cổ phiếu Equifax bán trước khi công bố vụ tai nạn, ông Gamble bán được với giá $145.60 một share, thu về khoảng $946,400. Trong khi đó, vào giữa ngày thứ Sáu, sau khi Equifax tiết lộ vụ Hacking, giá cổ phiếu giảm xuống ngay 13%, xuống còn $123 một share.

3. Equifax đang khai thác vụ tai nạn này để mang thêm lợi nhuận về cho mình:
Những gì Equifax làm sau đó có vẻ như đang khai thác tai nạn để vơ thêm lợi nhuận cho mình từ nạn nhân. Nếu bạn sợ rằng mình có thể là nạn nhân, bạn phải vào một website riêng

Gọi là đột nhập, nhưng kẻ trộm không hề phải rời nhà, mà tấn công bằng “Hacking” qua mạng Internet.

(www.trustedid.com/premier/myaccount.php) rồi cung cấp tên họ, và bốn số cuối An Sinh Xã Hội của mình, trước khi có được câu trả lời: Tôi có phải nạn nhân không?

Cách hành xử như vậy buộc chúng ta phải thắc mắc: Làm sao Equifax có thể bảo đảm sự an ninh tối đa khi tôi cung cấp chi tiết cá nhân của mình cho Website này.

Trâng tráo nhất là họ mời chúng ta ghi tên gia nhập chương trình “TrustedID Premier” của Equifax, với lệ phí là: Năm đầu miễn phí, bắt đầu từ năm thứ hai, khách hàng trả $19.95 một tháng.
Ông Brian Krebs, một chuyên viên an ninh mạng, nhận xét: “Ngay sự kiện đơn vị vi phạm (Equifax) đề nghị với khách hàng về dịch vụ bảo vệ TrustedID Premier làm nhiều người ghen tương khi nghĩ tới những lợi nhuận họ sẽ thâu thập được từ đó.”

Tệ hơn nữa, một khi nạn nhân ghi tên và sử dụng dịch vụ bảo vệ của TrustedID Premier trong một năm, họ sẽ tự động từ bỏ quyền khiếu nại, kiện cáo sau này. Vì thế, nếu bạn ghi tên TrustedID Premier, bạn phải nhớ rút tên trong vòng 30 ngày đầu.

Bài học mà giới tiêu thụ nhận được qua vụ này là: Equifax không hề coi chúng ta là khách hàng, mà chỉ là những sản phẩm để kinh doanh.

Chính quyền có biện pháp gì để bảo vệ người dân?
Không trông cậy gì được. Luật pháp về việc bảo vệ lý lịch cá nhân dường như không có gì. Tám tiểu bang - Connecticut, Florida, Maine, New Mexico, Ohio, Rhode Island, Tennessee and Vermont — có luật đòi công ty giữ lý lịch phải thông báo trong thời hạn 30 tới 90 ngày sau khi khám phá. Còn California thì chỉ nói chung chung: Phải có sự thông báo đúng giờ (timely), mà không xác nhận một hạn kỳ cụ thể.
Các nước Âu Châu đòi buộc phải thông báo trong 72 tiếng đồng hồ. Thời hạn này xem ra hợp lý, nhưng mãi tới tháng Năm năm sau mới áp dụng.
Trong tình hình này, giới tiêu thụ chỉ biết trông cậy vào chính mình!
Erictran216@yahoo.com

Viết bình luận đầu tiên
Advertising
Advertising
Bình luận trên Facebook

Bình luận trực tiếp