Hơn một triệu khách hàng của Qantas bị lộ dữ liệu sau cuộc gọi giả danh
Vụ rò rỉ thông tin cá nhân của hơn một triệu khách hàng hãng hàng không Qantas (Australia) chỉ bắt nguồn từ một cuộc gọi điện thoại giả danh, không cần đột nhập hệ thống, không cần cài mã độc. Trong bối cảnh công nghệ giả giọng nói phát triển nhanh chóng, cảnh báo về “mặt trận mềm” của bảo mật đang trở nên cấp thiết hơn bao giờ hết.
Tấn công không cần đột nhập
Ngày 6/7/2025, một sự cố nghiêm trọng đã xảy ra tại hãng hàng không quốc gia Australia - Qantas. Theo đó, tin tặc đã gọi điện đến trung tâm chăm sóc khách hàng, giả danh nhân viên kỹ thuật và yêu cầu cấp quyền truy cập hệ thống nội bộ. Bằng cách thao túng tâm lý và đánh vào sự thiếu cảnh giác, đối tượng đã thành công thuyết phục một nhân viên cung cấp thông tin truy cập. Từ đó, lấy đi dữ liệu cá nhân của hàng triệu khách hàng.
Qantas xác nhận hơn một triệu hồ sơ khách hàng đã bị truy cập trái phép, trong đó khoảng 1,2 triệu người bị lộ thông tin như tên, địa chỉ email, số điện thoại, ngày sinh và số hội viên chương trình khách hàng thường xuyên. Ngoài ra, khoảng 4,5 triệu tài khoản khác cũng bị truy cập nhưng ở mức độ thấp hơn, như tên và email. Không có dữ liệu tài chính như số thẻ tín dụng hoặc hộ chiếu bị ảnh hưởng và hệ thống cốt lõi của hãng không bị xâm nhập.
Đây là một ví dụ tiêu biểu của hình thức tấn công mạng có tên gọi “vishing”, tức lừa đảo qua điện thoại bằng cách giả danh người có thẩm quyền hoặc tạo tình huống khẩn cấp nhằm đánh lừa nạn nhân cung cấp thông tin nhạy cảm. Điều đáng lo ngại là không một tường lửa hay phần mềm chống mã độc nào có thể ngăn chặn được kiểu tấn công này, nếu yếu tố con người không được đào tạo và cảnh giác đúng mức.
Không chỉ lừa bằng giọng thật, các chuyên gia an ninh mạng cảnh báo rằng trong thời đại trí tuệ nhân tạo (AI), công nghệ deepfake giọng nói có thể mô phỏng gần như hoàn hảo ngữ điệu, cách nói và thậm chí đặc trưng vùng miền của một người. Hacker có thể dùng vài đoạn ghi âm để huấn luyện AI và tạo ra giọng nói thuyết phục đến mức đánh lừa cả những người từng làm việc trực tiếp với nhân vật đó.
Sau khi sự việc xảy ra, Qantas đã nhanh chóng gửi email cảnh báo đến các khách hàng bị ảnh hưởng. Đồng thời, hãng khẳng định đã triển khai các biện pháp bảo mật bổ sung, trong đó có việc rà soát toàn bộ quy trình xác minh qua điện thoại, huấn luyện lại đội ngũ chăm sóc khách hàng và cập nhật công nghệ xác thực đa yếu tố. Theo giới chức Australia, cuộc gọi giả danh đến từ một đối tượng được cho là đã có sẵn thông tin cơ bản về hệ thống và quy trình nội bộ.
Hệ lụy dây chuyền
Tuy Qantas cho biết chưa phát hiện dấu hiệu dữ liệu bị công bố công khai hoặc bị sử dụng sai mục đích, nhưng giới chuyên gia an ninh mạng khẳng định, việc thông tin như ngày sinh, số điện thoại, địa chỉ email bị rò rỉ là điều kiện đủ để dẫn đến các vụ lừa đảo tinh vi hơn, như chiếm đoạt tài khoản ngân hàng, mạo danh công ty, giả lập dịch vụ khách hàng hay thậm chí thao túng thông tin cá nhân cho mục đích chính trị.
Nhiều chuyên gia an ninh mạng cảnh báo, dữ liệu cá nhân sau khi bị đánh cắp thường không được sử dụng ngay lập tức, mà có thể được lưu trữ để phục vụ cho các chiến dịch tấn công mạng có tổ chức hoặc bán lại trên thị trường chợ đen, đặc biệt nếu thông tin liên quan đến nhóm khách hàng có giá trị cao như người nổi tiếng, doanh nhân hoặc cá nhân có sức ảnh hưởng.
Tại Australia, vụ việc Qantas gợi nhắc hai sự cố lớn năm 2022: Optus - nhà mạng lớn thứ hai nước này làm rò rỉ thông tin của gần 10 triệu khách hàng và Medibank - hãng bảo hiểm y tế lớn bị đánh cắp dữ liệu y tế của hơn 9 triệu người. Cả hai sự cố đã thúc đẩy chính phủ sửa đổi khung pháp lý, nâng mức phạt tối đa lên tới 50 triệu đôla Australia đối với các doanh nghiệp không bảo vệ được dữ liệu người dùng một cách hiệu quả.
Với Qantas, dù chưa có dấu hiệu bị tin tặc tống tiền nhưng sự cố lần này đã làm tổn hại nghiêm trọng đến uy tín thương hiệu. Đây là hãng hàng không quốc gia, được coi là “biểu tượng quốc gia” của Australia, đồng thời sở hữu lượng khách thường xuyên lên tới gần 15 triệu người. Nhiều người dùng bày tỏ lo ngại về mức độ bảo vệ dữ liệu của Qantas, đồng thời kêu gọi hãng minh bạch quy trình xử lý sự cố và bổ sung các phương thức xác thực mạnh hơn để ngăn chặn nguy cơ bị mạo danh trong tương lai.
Bộ Nội vụ Australia cùng Cơ quan Tình báo tín hiệu quốc gia (ASD) đã khẩn trương phối hợp điều tra sự cố an ninh mạng tại Qantas, đồng thời khuyến nghị toàn ngành hàng không và dịch vụ khách hàng đánh giá lại các quy trình vận hành có nguy cơ bị khai thác.
Theo giới chuyên gia, vụ việc cho thấy rõ khoảng trống trong quản trị rủi ro nội bộ. Trong môi trường số hóa nhanh và sự phát triển mạnh của trí tuệ nhân tạo, các doanh nghiệp cần mở rộng khái niệm an ninh mạng vượt ra ngoài phạm vi kỹ thuật, hướng đến một chiến lược toàn diện với con người là mắt xích đầu tiên cần củng cố. Điều này đòi hỏi không chỉ đào tạo kỹ năng ứng phó, mà còn cần xây dựng môi trường làm việc đề cao nhận thức an toàn thông tin, thường xuyên kiểm tra khả năng phản ứng và nâng cao cảnh giác trước các hành vi giả mạo tinh vi.
Trong bối cảnh công nghệ giả giọng và mạo danh đang ngày càng tinh vi, năng lực phòng thủ mạng không còn chỉ dựa vào tường lửa hay mã hóa, mà phụ thuộc vào sự cảnh giác trong từng thao tác, từng cuộc gọi, từng con người trong hệ thống.
Câu hỏi đặt ra cho mọi tổ chức không phải là “liệu có bị tấn công hay không”, mà là “chúng ta đã chuẩn bị đến đâu để phát hiện, ứng phó và phục hồi”. Vụ việc tại Qantas chính là một lời nhắc nhở toàn ngành về tính cấp thiết của chiến lược an ninh toàn diện, bắt đầu từ chính con người.