[비즈한국] Woori Bank đang vướng vào tranh cãi về việc rò rỉ dữ liệu cá nhân của khách hàng. Nơi làm rò rỉ dữ liệu là một đơn vị cung cấp dịch vụ bên ngoài tham gia dự án xây dựng nền tảng NFT của Woori Bank, khiến thông tin CI (Connecting Information - Thông tin liên kết) của 17.551 khách hàng bị lộ ra ngoài. Dù sự cố không xảy ra trực tiếp từ nội bộ ngân hàng, nhưng vì xảy ra tại đối tác được ủy quyền xử lý dữ liệu, Woori Bank khó có thể tránh khỏi những chỉ trích về trách nhiệm quản lý và giám sát.

Ngày 3 tháng này, thông tin về việc 17.551 khách hàng của Woori Bank bị rò rỉ dữ liệu cá nhân đã được công bố. Các nạn nhân là những khách hàng đã đồng ý cung cấp thông tin cá nhân trên dịch vụ nền tảng NFT của Woori Bank. Dữ liệu bị rò rỉ bao gồm biệt danh (nickname) và thông tin liên kết (CI) trong nền tảng NFT, không bao gồm các thông tin nhạy cảm như tên, số đăng ký cư trú hay địa chỉ. CI là giá trị nhận dạng cá nhân được cơ quan xác thực danh tính tạo ra dựa trên số đăng ký cư trú, được sử dụng để xác nhận xem người dùng có phải là cùng một cá nhân trên nhiều dịch vụ trực tuyến hay không.
Sự cố rò rỉ xảy ra do nhân viên của Blocko, công ty tái thầu phụ trách xây dựng nền tảng NFT cho Woori Bank vào năm 2024. Sau khi dự án kết thúc, một nhân viên của Blocko vẫn tự ý lưu giữ dữ liệu cá nhân và đã đăng liên kết tệp tin chứa dữ liệu lên một nền tảng dành cho nhà phát triển vào tháng 9 năm 2025.
Sau khi phát hiện vụ việc vào ngày 30 tháng 6, Woori Bank và Blocko đã thực hiện các biện pháp như báo cáo lên Ủy ban Bảo vệ Thông tin Cá nhân và chặn liên kết tệp tin chứa dữ liệu. Vào ngày 3, Blocko đã đăng thông báo hướng dẫn và thư xin lỗi về sự cố rò rỉ trên trang chủ. Blocko giải thích: “Là đơn vị tái thầu thực hiện dự án xây dựng nền tảng NFT cho Woori Bank từ tháng 9 năm 2024 đến tháng 2 năm 2025, chúng tôi đã xử lý thông tin cá nhân của người dùng dịch vụ. Do sơ suất của nhân viên công ty vào tháng 9 năm 2025, liên kết tệp chứa biệt danh và CI của người dùng đã bị rò rỉ.”
CI là giá trị mã hóa của số đăng ký cư trú được dùng để xác định danh tính cá nhân trên internet, thường được gọi là “số đăng ký cư trú trực tuyến”. Bản thân CI không thể xác định cụ thể một cá nhân hay chuyển đổi ngược lại thành số đăng ký cư trú. Tuy nhiên, nếu kết hợp với các dữ liệu cá nhân khác đã bị rò rỉ trước đó, nó có thể bị lợi dụng cho các mục đích xấu.
Woori Bank đã gửi thông báo riêng tới từng khách hàng bị ảnh hưởng. Ngân hàng cho biết: “Để phòng ngừa thiệt hại, xin hãy cẩn trọng với các cuộc gọi từ số lạ hoặc đường link URL trong tin nhắn. Nếu phát sinh thiệt hại từ vụ rò rỉ này, chúng tôi sẽ tiến hành kiểm tra và bồi thường.” Theo ngân hàng, hiện tại chưa ghi nhận trường hợp nào dữ liệu bị lợi dụng sau sự cố.

Dù sự cố không xảy ra trực tiếp trong nội bộ ngân hàng, nhưng vì cuối cùng khách hàng phải chịu rủi ro, Woori Bank không thể tránh khỏi tranh cãi về trách nhiệm. Đặc biệt, có ý kiến chỉ trích rằng thông tin cá nhân được giao cho các đơn vị bên ngoài đang nằm trong "điểm mù" của việc quản lý và giám sát. Việc Woori Bank và Blocko chỉ phát hiện rò rỉ sau hơn 9 tháng kể từ khi sự cố xảy ra cũng là một vấn đề đáng bàn. Các cơ quan tài chính sau khi nhận báo cáo được cho là đã yêu cầu Woori Bank thực hiện kiểm tra nội bộ liên quan đến vụ việc.
Woori Bank giải thích rằng họ thực hiện các biện pháp quản lý bảo mật qua nhiều giai đoạn khi hợp tác với đơn vị bên ngoài. Ở giai đoạn bắt đầu dự án, họ yêu cầu đơn vị bên ngoài ký cam kết bảo mật không sử dụng trái phép hoặc làm rò rỉ thông tin dự án. Trong quá trình thực hiện, bộ phận bảo mật của ngân hàng tổ chức đào tạo bảo mật mỗi tháng một lần cho các nhân viên bên ngoài tham gia. Sau khi dự án kết thúc, họ thu hồi xác nhận rút lui và thu gom toàn bộ thiết bị lưu trữ dữ liệu để định dạng (format) lại.
Dù Woori Bank và Blocko nhấn mạnh rằng: “Thông tin bị lộ không phải là ID thành viên hay thông tin đăng nhập, và bản thân CI không thể xác định danh tính cụ thể,” nhưng khi các sự cố rò rỉ dữ liệu cá nhân xảy ra liên tục trong mọi ngành nghề gần đây, sự lo lắng của người dùng ngày càng gia tăng. Đặc biệt, sau sự cố vào tháng 6 khi dữ liệu nhạy cảm của hơn 19 triệu người dùng TVING bao gồm CI, tên, ngày sinh, số điện thoại, ID và email bị rò rỉ hàng loạt, không thể loại trừ khả năng thông tin của Woori Bank bị kết hợp để trục lợi.
Sau sự cố, Woori Bank tuyên bố qua thông báo: “Chúng tôi sẽ lấy vụ việc này làm bài học để rà soát toàn bộ hiện trạng quản lý thông tin cá nhân của các đơn vị phát triển và khắc phục những điểm yếu.”
Trong khi đó, trước tình trạng các sự cố rò rỉ CI của khách hàng liên tục xảy ra tại các doanh nghiệp trong nước, làn sóng yêu cầu dừng thu thập CI không cần thiết và xóa bỏ CI đang lan rộng. Các tổ chức như Mạng lưới Công lý Kỹ thuật số, Ủy ban Thông tin Kỹ thuật số của Luật sư vì Xã hội Dân chủ, Viện Nghiên cứu Nhân quyền Thông tin và Đoàn kết Dân chủ Nhân dân đã lên tiếng trong một chiến dịch hồi tháng 6: “Các doanh nghiệp đang coi CI là dữ liệu thiết yếu để thu thập, nhưng thực tế CI hoàn toàn không phải thông tin bắt buộc để cung cấp dịch vụ. Các doanh nghiệp trong nước chỉ thu thập vì sự thuận tiện của riêng họ.”
Họ yêu cầu các biện pháp đối phó: “Khó có thể dự đoán trước những thiệt hại gì sẽ đến từ các vụ rò rỉ CI quy mô lớn. Doanh nghiệp phải xóa hoặc đình chỉ CI của nạn nhân bị rò rỉ. Chính phủ phải điều tra thực trạng thu thập và rò rỉ CI của các doanh nghiệp, đồng thời cho phép những ai muốn thay đổi CI được quyền thay đổi.”