Người dùng thường kỳ vọng ngân hàng và các tổ chức tài chính sẽ sử dụng các biện pháp bảo mật cao hơn do liên quan tới dữ liệu nhạy cảm. Các công ty này thường xử lý lượng thông tin khổng lồ và có giá trị như số căn cước, số thẻ tín dụng, ngày sinh, địa chỉ, số điện thoại, chỉ số tín dụng… Nếu kẻ xấu có được thông tin này, chúng hoàn toàn có khả năng truy cập tài khoản của nạn nhân và tiêu đến đồng xu cuối cùng của họ.
Tuy nhiên, thực tế chứng minh qua nhiều năm rằng các vụ rò rỉ dữ liệu lớn nhất lại có sự góp mặt của nhà cung cấp dịch vụ tài chính, từ ngân hàng, trung gian thanh toán tới công ty báo cáo tín dụng. Gần đây nhất, sự cố tại hãng Equifax ảnh hưởng hơn 100 triệu người.
Bên dưới là 10 vụ rò rỉ dữ liệu lớn nhất trong ngành tài chính, ngân hàng toàn cầu, xếp theo thứ tự số người bị ảnh hưởng.
10. EDUCATIONAL CREDIT MANAGEMENT: 3,3 triệu tài khoản
Công ty cho vay sinh viên Educational Credit Management là nạn nhân của vụ rò rỉ dữ liệu năm 2010 khi bị mất trộm thiết bị di động. Họ cho biết vụ trộm ảnh hưởng tới 3,3 triệu người. Dù không liên quan tới thông tin tài chính hay ngân hàng, nó lại chứa mã số an sinh xã hội.
9. CITIFINANCIAL: 3,9 triệu tài khoản
Năm 2005, CitiFinancial, một nhánh của Citigroup, thông báo thất lạc kiện hàng chứa các cuộn băng máy tính gửi qua UPS. Cuộn băng ghi lại thông tin nhạy cảm, bao gồm tên, số an sinh xã hội, địa chỉ, lịch sử thanh toán, số tài khoản của 3,9 triệu tài khoản của cả khách hàng cũ và mới.
8. CHECKFREE: 5 triệu tài khoản
Năm 2009, nhà cung cấp dịch vụ thanh toán hóa đơn điện CheckFree bị tội phạm mạng tấn công, điều hướng traffic website sang trang web độc hại. Ít nhất 5 triệu khách hàng đã đăng nhập bằng tài khoản của họ trên website lừa đảo để cố gắng trả tiền điện. Con số thật sự có thể cao hơn do tại thời điểm ấy, CheckFree đang có 42 triệu người dùng.
7. DATA PROCESSORS INTERNATIONAL: 8 triệu thẻ tín dụng
Năm 2003, Data Processors International phải nhờ đến sự hỗ trợ từ FBI và Cơ quan mật vụ Mỹ sau khi một tin tặc xâm nhập hệ thống an ninh và đánh cắp 8 triệu số thẻ tín dụng. Khoảng 2,2 triệu là thẻ tín dụng của MasterCard, 3,4 triệu của Visa. Tuy nhiên, hacker không thể đánh cắp thông tin cá nhân như số an ninh xã hội, số điện thoại, tên, địa chỉ.
6. KOREA CREDIT BUREAU: 20 triệu người
Korea Credit Bureau (KCB) là công ty cung cấp dịch vụ quản trị rủi ro và phát hiện lừa đảo. Một nhân viên KCB đã bí mật sao chép cơ sở dữ liệu chứa thông tin khách hàng năm 2014. Phần lớn nạn nhân là khách hàng của KB Kookmin Bank, Nonghyup Bank, Lotte Card và các quản lý cao cấp tại ba công ty này đều phải từ chức vì vụ việc. Mã số định danh, số thẻ tín dụng, địa chỉ của 20 triệu nạn nhân, tương đương 40% dân số Hàn Quốc thời điểm ấy, bị đánh cắp.
5. CARDSYSTEMS SOLUTIONS: 40 triệu tài khoản thẻ tín dụng
Năm 2005, MasterCard thông báo tin tặc đã truy cập vào mạng máy tính của CardSystems Solutions và làm ảnh hưởng tới 40 triệu số thẻ tín dụng, 14 triệu do MasterCard cấp.
CardSystems Solutions là công ty trung gian thanh toán, xác nhận "sự cố bảo mật" là do hacker đưa mã độc lên mạng lưới và truy cập file của họ. Khi ấy, công ty xử lý ít nhất 15 tỷ USD giao dịch thẻ tín dụng mỗi năm và có ít nhất 100.000 khách hàng là doanh nghiệp nhỏ.
4. JPMORGAN CHASE: 76 triệu hộ gia đình và 7 triệu doanh nghiệp nhỏ
Năm 2014, JPMorgan Chase, ngân hàng lớn nhất nước Mỹ, thông báo vụ rò rỉ dữ liệu ảnh hưởng tới 7 triệu doanh nghiệp nhỏ và 76 triệu hộ gia đình. Ban đầu, công ty khẳng định chỉ có 1 triệu tài khoản bị ảnh hưởng và được phát hiện một tháng sau vụ xâm nhập đầu tiên. Quan chức ngân hàng cũng trấn an khách hàng không có dữ liệu tài chính bị xâm phạm, chỉ có tên, số điện thoại, email và địa chỉ chủ tài khoản.
Dù không bị lộ thông tin tài chính, hacker có thể đột nhập hệ thống ngân hàng và lấy đi danh sách ứng dụng, chương trình mà ngân hàng đang sử dụng. Nó giúp chúng khai thác về sau này vì mỗi ứng dụng đều có lỗ hổng riêng.
3. TRW INFORMATION SYSTEMS AND SEARS: 90 triệu cá nhân
Năm 1984, ai đó đã đánh cắp mật khẩu hệ thống TRW Information Systems và truy cập lịch sử tín dụng của 90 triệu người. Mật khẩu bị đánh cắp từ Sears và đăng trên diễn đàn trên mạng, ai cũng có thể đọc được. File chứa tên, địa chỉ, ngày sinh, hạn mức tín dụng, mã số an sinh xã hội. Mất một tháng để TRW vá lỗ hổng.
2. HEARTLAND PAYMENT SYSTEMS: 130 triệu khách hàng
Heartland Payment Systems là công ty thanh toán, xử lý ít nhất 11 triệu giao dịch mỗi ngày từ hơn 275.000 doanh nghiệp và 80 tỷ USD giao dịch mỗi năm. Đây là công ty thanh toán lớn thứ 6 tại Mỹ, theo báo cáo của Nilson năm 2014.
Năm 2008, Heartland Payment Systems cho biết hệ thống của họ bị tấn công, ảnh hưởng đến 130 triệu khách hàng và nhiều loại thẻ tín dụng. Theo ComputerWorld, công ty đã phải chi tới 140 triệu USD để xử lý vụ việc: 60 triệu USD dàn xếp với Visa, 3,5 triệu USD dàn xếp với American Express và chi phí pháp lý tốn khoảng 26 triệu USD. Ngoài ra, 42,8 triệu USD dành cho các thỏa thuận trong tương lai.
1. EQUIFAX: 143 triệu tài khoản tại Mỹ và 400.000 tại Anh
Năm nay, Equifax cho biết 400.000 tài khoản tại Anh và 143 triệu tài khoản tại Mỹ bị xâm phạm trong vụ rò rỉ dữ liệu. Công ty tiết lộ dữ liệu bị rò rỉ bao gồm tên, mã số an sinh xã hội, ngày sinh, số điện thoại và địa chỉ email. Ngoài ra, hacker còn đánh cắp số thẻ tín dụng của hơn 209.000 khách hàng. Sự cố gây ra do lỗ hổng Apache Struts chưa được vá, bắt đầu từ giữa tháng 5/2019 nhưng đến ngày 29/7 mới được phát hiện.
Sự cố khiến CEO, CSO (Giám đốc an ninh) và CIO (Giám đốc công nghệ) của Equifax phải từ chức. Nhiều người dùng đâm đơn kiện công ty.