Allianz Life công bố phần lớn dữ liệu cá nhân của khách hàng đã bị đánh cắp trong một cuộc tấn công mạng

 (techcrunch.com)
2 điểm bởi GN⁺ 2025-07-28 | 1 bình luận | Chia sẻ qua WhatsApp
  • Công ty bảo hiểm Mỹ Allianz Life đã bị tấn công mạng, khiến thông tin cá nhân của khách hàng, chuyên gia tài chính và một số nhân viên bị đánh cắp
  • Kẻ tấn công đã sử dụng kỹ thuật social engineering để lấy đi phần lớn dữ liệu từ hệ thống CRM trên nền tảng đám mây
  • Allianz Life cho biết đã hoàn tất quy trình báo cáo pháp lý và thông báo cho FBI, nhưng không công bố nhóm tin tặc bị nghi ngờ hay số lượng nạn nhân
  • Gần đây, nhiều vụ rò rỉ dữ liệu tương tự trong toàn ngành bảo hiểm liên tiếp xảy ra, với ngày càng nhiều trường hợp được cho là do nhóm hacker Scattered Spider thực hiện
  • Việc thông báo riêng cho từng nạn nhân dự kiến sẽ bắt đầu vào khoảng ngày 1 tháng 8

Tổng quan về vụ tấn công mạng vào Allianz Life

  • Allianz Life, một công ty bảo hiểm lớn của Mỹ, đã chính thức xác nhận với TechCrunch rằng trong vụ rò rỉ dữ liệu xảy ra vào giữa tháng 7 năm 2025, nhiều thông tin cá nhân, bao gồm cả của khách hàng, đã bị đánh cắp
  • Người phát ngôn của Allianz Life chính thức thừa nhận sự việc và xác định thời điểm bị tấn công là ngày 16 tháng 7 năm 2025
  • Kẻ tấn công đã truy cập vào hệ thống CRM (quản lý quan hệ khách hàng) đám mây của bên thứ ba và dùng kỹ thuật social engineering để đánh cắp thông tin nhận dạng cá nhân của phần lớn khách hàng, chuyên gia tài chính và một số nhân viên

Tình hình rò rỉ dữ liệu và ứng phó

  • Sự việc rò rỉ dữ liệu được công bố thông qua hồ sơ báo cáo pháp lý tại bang Maine, nhưng số lượng khách hàng bị ảnh hưởng chưa được tiết lộ ngay
  • Allianz Life hiện có khoảng 1,4 triệu khách hàng tại Mỹ, trong khi công ty mẹ Allianz phục vụ hơn 125 triệu khách hàng trên toàn cầu
  • Allianz Life đã thông báo vụ việc cho FBI, nhưng không công bố liệu tin tặc có đưa ra yêu cầu tiền chuộc hay có liên lạc trực tiếp hay không
  • Công ty nhấn mạnh rằng tin tặc chỉ truy cập thông qua hệ thống CRM và chưa có bằng chứng cho thấy các hệ thống khác trong mạng nội bộ bị xâm phạm

Các vụ tấn công tương tự trong ngành và bối cảnh

  • Trong tháng vừa qua, các vụ tấn công mạng quy mô lớn nhắm vào các công ty bảo hiểm như Aflac đã liên tiếp xảy ra
  • Các nhà nghiên cứu bảo mật của Google cho biết vào tháng 6 họ đã ghi nhận nhiều vụ xâm nhập trong ngành bảo hiểm, và cho rằng đây là hành vi của nhóm hacker Scattered Spider, vốn sử dụng social engineering
    • Kỹ thuật social engineering: các phương thức như gọi điện mạo danh để đánh lừa nhân viên helpdesk nhằm giành quyền truy cập vào mạng
  • Trước đây, Scattered Spider từng tấn công ngành bán lẻ tại Anh, hàng không - vận tải và các tập đoàn công nghệ lớn ở Thung lũng Silicon

Hướng xử lý tiếp theo và thông báo

  • Allianz Life có kế hoạch bắt đầu thông báo riêng cho các khách hàng và bên liên quan bị ảnh hưởng từ khoảng ngày 1 tháng 8
  • Công ty khuyến nghị sử dụng kênh mã hóa riêng cho các báo cáo bổ sung và thắc mắc liên quan đến bảo mật

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-07-28
Ý kiến trên Hacker News

  • Tôi thường hay nói điều này, dù biết là ý kiến không phổ biến nhưng cũng không rõ vì sao lại vậy
    Các nhà nghiên cứu bảo mật, hacker mũ trắng và hacker mũ xám nên được bảo vệ pháp lý mạnh mẽ nếu họ chỉ báo cáo lỗ hổng khi phát hiện ra chúng
    Các hacker có ác ý vẫn liên tục tìm kiếm lỗ hổng bảo mật, nhưng chẳng có hệ thống nào ngăn được họ
    Trong khi đó, nếu hacker có thiện chí làm điều tương tự thì lại có thể bị truy tố trọng tội
    Thực tế đã cho thấy rõ ràng là chúng ta đã thất bại trong việc xây dựng các hệ thống an toàn
    Thật đáng xấu hổ, nhưng phần lớn các tập đoàn lớn hay tổ chức của chúng ta hầu như không có năng lực tạo ra hệ thống an toàn
    Một phần lý do người ta cứ phớt lờ sự thật này là vì họ thậm chí còn không cho phép cả nghiên cứu bảo mật red team nội bộ
    Kết quả là mọi thứ đều vận hành theo hướng có lợi cho doanh nghiệp và các tổ chức quyền lực
    Doanh nghiệp nói rằng: "Hệ thống của chúng tôi là trách nhiệm của chúng tôi, không được thử nghiệm nếu chưa được cho phép. Nhưng nếu dữ liệu bị rò rỉ thì chúng tôi không chịu trách nhiệm"
    Nói cách khác, thật mỉa mai khi các tổ chức tự chọn lúc nào mình có trách nhiệm và lúc nào không, tùy theo lợi ích của họ
    Doanh nghiệp có chịu trách nhiệm về an ninh hệ thống của mình hay không, hay đây là nhiệm vụ chung của tất cả chúng ta? Điểm này cần phải được làm rõ
    Khi dữ liệu của một nửa dân số cả nước thường xuyên bị rò rỉ, đây có cảm giác là vấn đề liên quan đến tất cả mọi người
    Và thực sự đây là vấn đề an ninh quốc gia
    Ví dụ, có cơ quan độc lập nào kiểm tra độ an toàn của lưới điện quốc gia không, hay tôi có thể tự mình hợp pháp thử kiểm tra?
    Không, bạn không được làm vậy. Chỉ cần thử thôi cũng đã là trọng tội
    Các tổ chức quyền lực như vậy có thể chẳng làm gì dù hệ thống bảo mật của họ đầy lỗ hổng, còn bên ngoài thì không ai có quyền nghiên cứu những lỗ hổng đó
    Rốt cuộc, chúng ta đang hy sinh an ninh quốc gia cho sự tiện lợi của doanh nghiệp và để doanh nghiệp khỏi bị mất mặt

    • Tôi phải tự hỏi lại xem cơ sở dữ liệu khách hàng của Google, facebook, Microsoft đã từng thực sự bị hack hay chưa
      Hiện nay gần như không có trách nhiệm nào dành cho các công ty tạo ra phần mềm quá cẩu thả
      Mỗi vụ rò rỉ dữ liệu đều phải gây thiệt hại tương xứng với quy mô của công ty đó
      Ví dụ, vụ Equifax lẽ ra gần như phải đủ để làm chính công ty đó sụp đổ
      Tiền phạt phải ở mức hàng chục tỷ USD thì họ mới biết sợ và kiểm toán nội bộ cho tử tế
      Còn bây giờ thì thực tế chẳng có lý do gì để họ quan tâm đến bảo mật cả

    • Nếu có cơ chế khiến doanh nghiệp thực sự bị trừng phạt nặng, ví dụ cơ quan quản lý có hệ thống tính toán thiệt hại và áp đặt các hình phạt dài hạn, thì giá cổ phiếu sẽ giảm và doanh nghiệp buộc phải nghiêm túc với bảo mật
      Thực tế thì ngược lại, rất nhiều công ty chỉ bị cảnh cáo nhẹ rồi mọi chuyện kết thúc

    • Lập luận này khá thú vị
      Nhưng nếu cả hacker mũ trắng lẫn mũ xám đều được bảo vệ hợp pháp, thì hacker mũ đen có thể thoải mái xâm nhập mọi hệ thống từ trước rồi viện cớ rằng "tôi chỉ đang tìm lỗ hổng thôi"
      Họ cũng có thể đơn giản là không báo cáo lỗ hổng, ghi nhớ toàn bộ cách thức rồi dùng chúng cho các cuộc tấn công thật bất cứ lúc nào
      Thậm chí có thể cả đời giả làm mũ trắng nhưng thực ra âm thầm bán thông tin đó đi
      Cơ chế hiện tại ngược lại còn đang kiềm chế kiểu hành vi đó

    • Để tránh vấn đề này, web cần có mức độ ẩn danh nhất định, và việc vô tình phát hiện lỗ hổng bảo mật hoặc gây ra sự cố trong quá trình xử lý theo cách thông thường không nên bị xem là tội phạm
      Ngoài ra, nếu trong cơ sở dữ liệu không lưu chuỗi ký tự mà lưu token dùng mã hóa bất đối xứng, để khi bị lộ thì người dùng có thể nhận bồi thường từ dịch vụ, mọi thứ có thể sẽ dễ giải quyết hơn
      Nhưng chẳng có công ty nào thật sự muốn bảo đảm việc bảo vệ người dùng theo cách như vậy
      Cuối cùng phần lớn hoạt động bảo mật chỉ là làm cho có

    • Điều quan trọng là không phải mọi nghiên cứu bảo mật đều giống nhau
      Những nghiên cứu hợp lý mà nhiều người có thể đồng ý—chẳng hạn như tình cờ phát hiện lỗ hổng rồi báo cáo—thì chắc chắn nên được bảo vệ
      Ngược lại, kiểm thử xâm nhập khi chưa có sự cho phép rõ ràng thực sự có thể gây xáo trộn cho hệ thống
      Nếu cho phép bừa bãi với tất cả mọi người thì ngay cả các hệ thống được xây dựng đàng hoàng cũng có thể bị cản trở
      Có những lĩnh vực có thể giải quyết bằng kỹ thuật như thuật toán mã hóa, nhưng an ninh mạng thì vẫn phải dựa vào pháp luật và sự tin cậy

  • Những vụ rò rỉ dữ liệu bất tận như thế này có thể giảm nếu thay đổi cấu trúc khuyến khích, nhưng tôi nghĩ trên thực tế điều đó rất khó
    Chúng ta phải nhận thức rằng không thể ngăn chặn hoàn toàn—con người sẽ mắc sai lầm, và quy mô càng lớn thì sai lầm càng nhiều
    Nhưng như vậy cũng không có nghĩa là được phép không cố gắng
    Một hướng khác là song song triển khai vài cách để giảm thiểu thiệt hại từ rò rỉ thông tin cá nhân
    Đừng giả định rằng ngày sinh, họ tên, địa chỉ, số điện thoại, email, SSN và những thông tin tương tự là bí mật; thay vào đó, phải chặn các con đường thực sự có thể bị lợi dụng để thực hiện ‘đánh cắp danh tính’
    Tôi ghét chính cụm từ identity theft—nghe như thể nạn nhân đã làm gì sai vậy
    Thực tế là doanh nghiệp xác minh danh tính phía bên kia quá qua loa rồi vẫn giao dịch nên mới sinh ra vấn đề
    Gánh nặng trách nhiệm phải thuộc về doanh nghiệp
    Ví dụ, nếu ngân hàng cho ai đó vay tiền dưới tên tôi thì trách nhiệm phải thuộc về ngân hàng, chứ không phải tôi
    Chỉ cần thay đổi cấu trúc này thì doanh nghiệp sẽ xác minh danh tính cẩn thận hơn và động lực cũng sẽ đúng hơn
    Tất nhiên vấn đề của rò rỉ dữ liệu không chỉ là đánh cắp danh tính, nhưng riêng phần này thôi tôi nghĩ cũng giải quyết được khá nhiều

    • Nếu bạn cũng đồng ý với tôi rằng tôi ghét cụm từ identity theft, thì tôi muốn giới thiệu video phác thảo này
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • Liên quan đến lập luận rằng ‘sửa lại incentive thì rò rỉ sẽ giảm’, tôi băn khoăn không biết chi phí ứng phó với thiệt hại từ rò rỉ trên thực tế có cao hơn chi phí để ngăn chặn tận gốc hay không
      Trừ những trường hợp liên quan đến an ninh quốc gia, cũng hơi khó để khẳng định chắc rằng thiệt hại lớn hơn chi phí triển khai biện pháp đối phó

    • Cụm từ ‘đánh cắp danh tính’ chưa chắc đã mang sắc thái rằng nạn nhân có lỗi
      Nếu ai đó bị lấy cắp thứ gì đó thì đâu phải vì thế mà nói người đó sai
      Cũng như tiền của tôi bị lấy khỏi két của ngân hàng thì đó không phải lỗi của tôi
      Chỉ là trong an ninh mạng, kẻ tấn công có thể đang ở đâu đó phía bên kia thế giới nên rất khó bảo vệ nạn nhân
      Cuối cùng thì nạn nhân vẫn chỉ là nạn nhân

    • Giải pháp thực ra đã có rồi—MFA (xác thực đa yếu tố) và liên kết IdP (nhà cung cấp danh tính)
      Một bên là thứ bạn biết (dữ liệu), bên còn lại là thứ bạn sở hữu hoặc sinh trắc học (như vân tay)
      IdP xử lý việc xác thực ở cả hai phía và trách nhiệm xác thực cũng được phân tán
      Giống như bằng lái xe chẳng hạn, tôi đang giữ nó và đồng thời cũng có thể xác minh trong hệ thống của chính phủ
      Vấn đề là nhiều nơi dùng nhận diện khuôn mặt làm yếu tố xác thực thứ hai nên rủi ro xâm phạm quyền riêng tư rất lớn
      Về lâu dài, có thể chính phủ sẽ trở thành IdP duy nhất
      Các phương thức phi sinh trắc học có khó khăn thực tế khi mở rộng quy mô, nhưng vân tay và các phương thức tương tự thực tế đã được nhiều quốc gia quản lý, nên tôi nghĩ vẫn tốt hơn nhận diện khuôn mặt

  • Tình trạng này sẽ không bao giờ, không bao giờ biến mất cho đến khi ban lãnh đạo phá sản hoặc thậm chí vào tù vì cẩu thả
    Kể cả có như vậy thì cùng lắm cũng chỉ giảm tần suất và mức độ nghiêm trọng

    • Nếu không phải do cẩu thả có chủ đích hay hành vi ác ý, tôi không nghĩ bỏ tù ai đó là câu trả lời
      Phần lớn sự cố bảo mật bắt nguồn từ sai lầm
      Gây thiệt hại tài chính cho doanh nghiệp có thể có tác dụng răn đe, nhưng nếu công ty sụp đổ thì hàng trăm đến hàng nghìn người có thể mất việc chỉ trong chốc lát
      Chỉ một lỗi cấu hình tường lửa hay một nhân viên bị social engineering lừa cũng có thể gây thiệt hại khổng lồ cho doanh nghiệp
      Thay vào đó, có lẽ thực tế hơn là thừa nhận rằng các hệ thống kết nối Internet như cloud, SaaS về bản chất không an toàn, và hạn chế mạnh việc sử dụng chúng
      Hoặc cũng có thể thay đổi cấu trúc xã hội sao cho việc lộ tên, SSN, ngày sinh, địa chỉ, họ thời con gái của mẹ và các thông tin tương tự trở nên vô nghĩa

    • Đây là ý kiến muốn xóa bỏ trách nhiệm hữu hạn
      Cổ đông phải chịu trách nhiệm bằng toàn bộ tài sản của mình cho toàn bộ thiệt hại của nạn nhân
      Nếu muốn hưởng lợi nhuận thì đương nhiên cũng phải gánh toàn bộ rủi ro của chính mình

    • Tôi nhớ khi GDPR được đưa vào áp dụng, người ta quảng bá rằng cuối cùng ban lãnh đạo cũng sẽ phải trực tiếp chịu trách nhiệm về các sự cố hack, khiến nhiều người kỳ vọng rất lớn
      Khi đó tôi đã nghĩ đó là lời nói nhảm, và thực tế đúng là như vậy
      Muốn buộc họ chịu trách nhiệm pháp lý thì phải chứng minh được sự cẩu thả nghiêm trọng, mà ở tòa thì có rất nhiều khe hở để thoát
      Sẽ không có chuyện xuất hiện một thời đại mà giám đốc phải chịu trách nhiệm cho mọi thứ mình làm trong nhiệm kỳ đâu

  • Theo tôi cần có một cơ chế phạt mặc định £1,000 cho mỗi hồ sơ khách hàng bị lộ
    Với các công ty có hàng triệu khách hàng thì điều đó có thể kết liễu cả doanh nghiệp
    Thực tế là họ chẳng thèm quan tâm, và khi một ngày nào đó bị lộ thì chỉ cần gửi một email xin lỗi hờ hững là xong
    Ở Anh, ICO (Văn phòng Ủy viên Thông tin) là một cơ quan vô nghĩa và nguy hiểm theo kiểu vô dụng chẳng khác gì Ofwat (cơ quan giám sát ngành nước)
    (Đã sửa lỗi gõ)

    • Tiền phạt nên được trả trực tiếp cho khách hàng
      Hiện nay cấu trúc là chờ kết quả kiện tập thể khoảng một năm rồi mỗi người chỉ nhận được vài xu, hoàn toàn không giúp ích gì thực tế cho khách hàng

    • Bạn nói công ty sẽ trở nên "không thể cứu nổi", vậy trong trường hợp đó các khách hàng của công ty sẽ ra sao?
      Chẳng phải như thế lại là thêm một lần nữa nạn nhân bị thiệt hại sao?

    • Tôi lo rằng nếu mức phạt quá lớn thì cả nền kinh tế quốc gia có thể bị ảnh hưởng

  • Allianz thực sự đang cung cấp bảo hiểm cho kiểu tấn công mạng này
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • Bản thân bảo hiểm là một phần của vấn đề
      Vì với doanh nghiệp, phớt lờ việc phát triển phần mềm an toàn và đầu tư nghiên cứu rồi chỉ mua bảo hiểm lại rẻ hơn
      Chừng nào cấu trúc này còn tồn tại thì sẽ chẳng có gì thay đổi

    • Ít nhất thì cũng may là biện pháp bảo vệ endpoint theo yêu cầu hợp đồng có vẻ đã hoạt động đúng

  • Một phần nguyên nhân là các lập trình viên Salesforce cũng không hiểu rõ sản phẩm của mình, và bản thân Salesforce dường như cũng không quá coi trọng bảo mật
    Trong các môi trường cấu hình sai, chỉ với 2 yêu cầu web không cần xác thực là có thể xem toàn bộ dữ liệu có thể lấy được
    Hệ thống giám sát cũng rất kém, đến mức phải tự thiết kế toàn bộ lớp giám sát bảo mật từ bên ngoài dựa trên log nghèo nàn của Salesforce
    Có một hướng dẫn khá đáng tham khảo nên để lại ở đây
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    Có thể tự động hóa việc này để sau khi hoàn tất recon thì tìm ra luôn cả các site Salesforce
    Tôi thực sự đã từng làm việc đó

  • Bài báo viết rằng: "Vào ngày 16 tháng 7 năm 2025, một hacker có ác ý đã truy cập vào hệ thống CRM trên nền tảng cloud của bên thứ ba mà Allianz Life sử dụng"
    Tôi tò mò không biết chính xác cái 'CRM cloud của bên thứ ba' này là gì

    • Bài viết gần đây của Google về Salesforce cũng đáng tham khảo
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • Một bài khác có nhắc đến Salesforce, và thường chính bên sở hữu dữ liệu mới là nơi cấu hình bảo mật lỏng lẻo
      Có rất nhiều tenant Salesforce cấu hình sai đang phơi ra trên Internet

    • Dù là hệ thống nào thì có lẽ cũng không khác biệt nhiều
      Nguyên nhân không phải hack theo nghĩa kỹ thuật mà là social engineering, tức tấn công bằng cách lừa con người

    • Tôi thắc mắc liệu tùy vào CRM đang dùng, chuyện này có thể còn là vi phạm HIPAA hay không

  • Ngay cả khi quản lý bảo mật dữ liệu rất lỏng lẻo, các tập đoàn lớn gần như cũng không phải chịu hình phạt thực chất nào
    Chính phủ gần như khiến việc đổi SSN là bất khả thi, vậy mà vẫn tiếp tục dùng SSN để xác minh danh tính
    Vì thế phần lớn mọi người thực chất đã ở trong trạng thái bị lộ từ lâu rồi

  • Đúng như bài báo đề cập, ngoài các cuộc social engineering qua call center và những kênh tương tự, thông tin doanh nghiệp còn bị phơi bày quá nhiều trên Internet
    Ví dụ, LinkedIn là kho báu cho social engineering
    Hồ sơ người dùng có thể bị bất kỳ ai đã đăng nhập xem được, bất kể có kết nối hay không, nên thật lạ là không có nhiều công ty chủ động rà soát hồ sơ nhân viên hơn

  • Đây vừa là bất tiện lớn cho khách hàng, vừa là thiệt hại cho công ty, nên đến một thời điểm nào đó tôi tự hỏi liệu có nên xem đây là một thất bại mang tính hệ thống xã hội kiểu 'bi kịch của tài sản chung' hay không
    Về mặt pháp lý, nếu ngân hàng chỉ dùng những thông tin công khai rất dễ bị lạm dụng cho xác thực, như SSN hay họ thời con gái của mẹ, thì khi xảy ra sự cố thật sự ngân hàng phải là bên chịu trách nhiệm mới đúng chứ?