Hãng luật Maurice Blackburn đã nộp đơn khiếu nại lên Văn phòng Ủy viên Thông tin Úc (OAIC) thay mặt cho hàng triệu khách hàng bị ảnh hưởng từ vụ tấn công mạng. Luật sư Lizzie O'Shea thay mặt hãng, nói về luật bảo mật dữ liệu hiện hành tại Úc và nói rằng Qantas đã không thực hiện đầy đủ nghĩa vụ trong việc bảo vệ thông tin cá nhân khách hàng.
"Tôi nghĩ cũng giống như nhiều người Úc, tôi cho rằng luật bảo mật hiện nay chưa đủ mạnh, và các công ty chưa hành xử đúng như kỳ vọng trong việc bảo vệ thông tin cá nhân của khách hàng.
“Chúng tôi khiếu nại vì OAIC có thẩm quyền điều tra các vi phạm Đạo luật Bảo mật. Chúng tôi cho rằng Qantas đã không thực hiện đầy đủ nghĩa vụ trong việc bảo vệ thông tin cá nhân khỏi việc tiết lộ và sử dụng trái phép. Hiện cuộc điều tra vẫn đang diễn ra nên chúng tôi vẫn tiếp tục tìm hiểu về cách thức việc này xảy ra.”
Các chuyên gia pháp lý nhận định vụ này có thể dẫn đến một vụ kiện tập thể, tương tự các trường hợp của Optus và Medibank sau các sự cố dữ liệu nghiêm trọng năm 2022.
Luật sư O’Shea cũng nhấn mạnh sự cần thiết của việc cải cách luật bảo mật, trong đó người bị ảnh hưởng nên được quyền khởi kiện trực tiếp tại tòa khi quyền riêng tư bị xâm phạm, thay vì phải thông qua Ủy viên Thông tin.
“Sau vụ này, nhiều người đã tìm đến chúng tôi. Họ tức giận, thất vọng vì dữ liệu của họ bị đánh cắp. Rất nhiều người Úc mong muốn luật bảo mật cá nhân mạnh mẽ hơn – điều này đã được thể hiện qua nhiều cuộc khảo sát.
Họ cảm thấy các quy định hiện hành không phản ánh đúng kỳ vọng, trong khi chính họ lại là người phải gánh chịu hậu quả khi doanh nghiệp để mất quyền kiểm soát dữ liệu.
Trong tuyên bố gửi đến SBS, Qantas xác nhận đã nhận được đơn khiếu nại từ hãng luật Maurice Blackburn thay mặt một số khách hàng bị ảnh hưởng.
Hãng cho biết họ đang phối hợp chặt chẽ với Cảnh sát Liên bang Úc (AFP), Điều phối viên An ninh mạng Quốc gia, và Trung tâm An ninh mạng Úc để điều tra toàn diện sự việc.
Đồng thời, Qantas cũng đã nộp đơn và được Tòa án Tối cao NSW cấp lệnh cấm tạm thời, ngăn chặn việc truy cập hoặc công bố dữ liệu bị đánh cắp.
Chuyên gia Daswin De Silva từ Đại học La Trobe chia sẻ với podcast SBS On the Money rằng Qantas có các quy trình và ủy ban giám sát bảo mật dữ liệu khá tiên tiến. Tuy nhiên, cần đánh giá liệu các nhà cung cấp dịch vụ bên thứ ba của họ có tuân thủ đầy đủ các tiêu chuẩn bảo mật như công ty mẹ không. Việc thuê ngoài có thể tiết kiệm chi phí, nhưng cũng làm tăng rủi ro nếu đối tác không tuân thủ tốt.
Ông cho biết nhóm tin tặc có tên Scattered Spider – được cho là hoạt động tại Mỹ và Anh – là thủ phạm đứng sau vụ tấn công. Nhóm này sử dụng các kỹ thuật tấn công đơn giản nhưng hiệu quả, như giả mạo danh tính, lừa đảo qua email (phishing), đánh cắp SIM, hoặc tấn công làm mỏi xác thực đa yếu tố (MFA fatigue).
Chúng nhắm vào bộ phận trợ giúp kỹ thuật (help desk) – nơi có KPI về tốc độ phục vụ, thường đặt ưu tiên là hỗ trợ đặt lại mật khẩu nhanh chóng. Điều này có thể bị các tin tặc lợi dụng.
Ông De Silva cho biết các vụ tấn công tương tự tại Mỹ trong năm 2024 đã dẫn đến một số vụ bắt giữ, nhưng nhóm tin tặc này vẫn tiếp tục điều chỉnh chiến thuật và tấn công sang Anh, rồi đến Úc.
READ MORE

SBS Việt ngữ
Đồng hành cùng chúng tôi, Follow & Like SBS Vietnamese Facebook Cập nhật tin tức mọi lúc mọi nơi tại sbs.com.au/vietnamese