Công ty bán lẻ và dịch vụ viễn thông tại Anh bị phạt 500.000 bảng vì để lộ dữ liệu khách hàng

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Công ty bán lẻ và dịch vụ điện – viễn thông Dixons Carphone gần đây phải đối mặt với án phạt 500.000 bảng đến từ Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) vì không đảm bảo an toàn cho dữ liệu khách hàng. Được biết, Dixons Carphone đã để xảy ra một cuộc tấn công phần mềm độc hại và vi phạm dữ liệu vào năm 2018.

Tổng quan về sự cố dữ liệu của Dixons Carphone

Tháng 6 năm 2018, Dixons Carphone tiết lộ một sự cố dữ liệu liên quan đến thẻ thanh toán của khách hàng. Họ thông báo rằng các hệ thống xử lý thanh toán của các cửa hàng Currys PC World và Dixons Travel đã bị xâm phạm bởi tội phạm mạng. Vào thời điểm đó, họ nghi ngờ có khoảng 1,2 triệu dữ liệu phi tài chính của khách hàng bị lộ.

Sau hơn một tháng, Dixons Carphone đã chia sẻ các thông tin mới về vụ việc. Trên mạng đồn rằng số lượng khách hàng bị ảnh hưởng có thể lên tới 10 triệu. Dixons Carphone cũng nhấn mạnh rằng các thông tin tài chính của khách hàng vẫn không bị ảnh hưởng.

ICO xử phạt Dixons Carphone

Sau khi tiếp tục điều tra và thưa kiện, công ty đã phải chịu một khoản tiền phạt khổng lồ từ ICO.

Theo bài đăng của ICO, các cuộc điều tra cho thấy có ít nhất 14 triệu người bị ảnh hưởng. Sự cố xảy ra do một cuộc tấn công malware tại 5.390 máy POS của Dixons Carphone và đã đánh cắp dữ liệu của khách hàng trong hơn 9 tháng.

“Cuộc điều tra của ICO cho thấy kẻ tấn công đã cài đặt phần mềm độc hại trên 5.390 máy tính tại các cửa hàng Currys PC World và Dixons Travel trong khoảng thời gian từ tháng 7 năm 2017 đến tháng 4 năm 2018. Chúng thu thập dữ liệu cá nhân của khách hàng trong 9 tháng trước khi phát hiện.

Những kẻ tấn công có thể đánh cắp dữ liệu cá nhân của 14 triệu khách hàng, cũng như thông tin của 5,6 triệu thẻ thanh toán.

Do vi phạm Đạo luật Bảo vệ Dữ liệu 1998 và khả năng bảo mật kém, ICO đã đưa ra mức phạt nửa triệu bảng.

Đây là mức phạt tối đa theo Đạo luật bảo vệ dữ liệu 1998. Tuy nhiên nó cũng là một điều may mắn cho Dixons Carphone vì theo Đạo luật bảo vệ dữ liệu mới năm 2018 và Quy định bảo vệ dữ liệu chung (GDPR) của EU, họ có thể đã phải đối mặt với mức phạt thậm chí còn nặng hơn.