Kaspersky đã theo dõi tin tức về sự cố vi phạm dữ liệu trên “Get” – một ứng dụng cung cấp thông tin và bán vé sự kiện – có thể ảnh hưởng đến hàng ngàn người dùng ở Singapore và một số khu vực ở APAC, cũng như Ấn Độ, Hồng Kông, và Úc.
Trang Asiaone mới đây đã thông tin một ứng dụng phổ biến chuyên bán và thanh toán vé sự kiện dành cho sinh viên đại học trên khắp châu Á, được hỗ trợ bởi quỹ đầu tư mạo hiểm của Temasek – công ty đầu tư nhà nước Singapore đã bị vi phạm dữ liệu lần thứ hai, có khả năng tiết lộ thông tin cá nhân của hơn 30.000 người dùng.
Lỗi này được một người dùng trên trang Reddit phát hiện ra rằng bằng cách thao túng giao diện lập trình ứng dụng (API) của Get, đây là mã lệnh giúp hai ứng dụng nói chuyện với nhau. Và chỉ cần thông qua việc tìm kiếm với tên của các sự kiện trong trường, anh ta có thể truy cập tên, số điện thoại, địa chỉ email, ngày của người dùng sinh, và thậm chí địa chỉ nhà.
Theo ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky khu vực Đông Nam Á: “Với sự tăng trưởng theo cấp số nhân của thương mại điện tử trong khu vực, sự cố vi phạm dữ liệu mới nhất này sẽ không phải là sự cố cuối cùng. Điều quan trọng là chúng ta cần chủ động nâng cao nhận thức về bảo mật dữ liệu. Theo Báo cáo bảo mật toàn cầu mới nhất của Kaspersky, 53,6% người tham gia khảo sát tại châu Á – Thái Bình Dương cho biết dữ liệu riêng tư của họ đã bị truy cập bởi một người khác mà không có sự đồng ý của họ. Đây là thách thức bảo mật mà rất nhiều người dùng internet đối mặt hết này đến lần khác.
Người dùng có thể giảm thiểu rủi ro bị vi phạm dữ liệu bằng cách hạn chế quyền truy cập với bên thứ ba, hoặc chỉ cho phép khi điều đó thực sự cần thiết. Ví dụ: mặc dù người dùng phải đăng ký thông tin cần thiết trong quá trình sử dụng ứng dụng bán vé và thanh toán, họ nên cẩn trọng khi đăng ký bất kỳ chương trình khuyến mãi nào được cung cấp bởi các nhà quảng cáo bên thứ ba vì nguồn gốc của quảng cáo có thể không rõ ràng.
Luôn cân nhắc kỹ càng, đặc biệt là khi giải quyết các vấn đề tài chính trên ứng dụng di động. Ngoài ra, người dùng nên dùng thẻ tín dụng hoặc thẻ ghi nợ với số dư tài khoản được đặt hạn mức thấp hơn để sử dụng trực tuyến.
Ngoài ra, sự cố này cũng cho thấy sự cần thiết của các tổ chức, bất kể lớn hay nhỏ, về sự cấp bách khi xử lý các vi phạm dữ liệu. Dù dữ liệu bị đánh cắp có bản chất tài chính hay cá nhân, chúng luôn có thể bị thao túng để gây tổn thất tài chính hoặc danh tiếng của cá nhân hay doanh nghiệp. Do đó, trang bị giao thức phản ứng sự cố thích hợp là rất quan trọng. Thay vì thực hiện phản ứng sau khi đã xảy ra, chúng ta nên triển khai các công cụ bảo mật để đánh giá các dấu hiệu của một cuộc tấn công trước khi nó leo thang hoặc xảy ra lần nữa.”