Sai lầm trong thương vụ 13.6 tỷ USD làm lộ thông tin hơn 300 triệu khách hàng của Marriott
Khi Marriott International hoàn tất thương vụ thâu tóm Starwood Hotels & Resorts trị giá 13.6 tỷ USD vào tháng 9/2016, ban lãnh đạo Marriott không biết mình đang tiếp nhận cả hệ thống công nghệ thông tin đã bị tin tặc kiểm soát từ năm 2014. Quyết định sa thải đội ngũ an ninh mạng của Starwood ngay sau sáp nhập đã biến một lỗ hổng kỹ thuật thành vụ bê bối kéo dài một thập kỷ.
Ảnh: Getty Image.
|
Ngày 03/06/2025, Tòa án Phúc thẩm Liên bang Khu vực 4 của Mỹ ra phán quyết trong vụ kiện Maldini v. Marriott International với nội dung: điều khoản từ bỏ quyền kiện tập thể mà khách hàng đã ký khi tham gia chương trình thành viên Starwood Preferred Guest (SPG) là hoàn toàn có hiệu lực.
Phán quyết chặn đứng nỗ lực đòi bồi thường dân sự từ hàng chục triệu khách hàng bị ảnh hưởng, giúp Marriott gỡ bỏ rủi ro tài chính lớn nhất còn lại sau chuỗi dàn xếp pháp lý kéo dài từ năm 2018.
Trước đó, tháng 10/2024, Marriott đã đạt thỏa thuận bồi thường 52 triệu USD với liên minh 49 tiểu bang và Ủy ban Thương mại Liên bang Mỹ (FTC). Nhìn lại toàn bộ diễn biến, nguyên nhân cốt lõi dẫn tới vụ bê bối này không phải một cuộc tấn công mạng tinh vi vượt khả năng phòng thủ, mà là chuỗi quyết định kinh doanh sai lầm có thể tránh được.
Trộm dữ liệu nhưng không bán lấy tiền
Cuộc xâm nhập vào hệ thống Starwood bắt đầu vào giữa năm 2014 khi tin tặc cài đặt phần mềm truy cập ẩn (web shell) trên máy chủ của tập đoàn thông qua một đường dẫn (link) trong email. Từ điểm khởi đầu đó, tin tặc triển khai thêm mã độc điều khiển từ xa và một công cụ VPN mã nguồn mở để kết nối trực tiếp vào mạng nội bộ bằng thiết bị cá nhân. Cuộc xâm nhập tiếp diễn mà không bị phát hiện cho đến tháng 9/2018, tổng cộng hơn 4 năm.
Kết quả điều tra kỹ thuật do FTC thực hiện xác nhận có từ 339 đến 383 triệu hồ sơ bị đánh cắp, trong đó 327 đến 339 triệu hồ sơ thông tin cá nhân (PII) được lưu toàn bộ dạng văn bản thuần, không mã hóa.
Về hộ chiếu, có 5.25 triệu số hộ chiếu hoàn toàn không mã hóa; 20.3 triệu số còn lại tuy có mã hóa nhưng khóa giải mã lại được lưu trên cùng máy chủ vật lý với cơ sở dữ liệu, khiến lớp mã hóa trở nên vô nghĩa.
Đặc điểm bất thường nhất của vụ tấn công mạng này là khối thông tin khổng lồ mà tin tặc lấy được đã không bao giờ được rao bán trên các chợ đen trực tuyến (dark web) hay các diễn đàn hacker trong nhiều năm sau vụ rò rỉ - khác biệt hoàn toàn với đặc trưng của các vụ tấn công mạng thương mại thông thường.
Bộ Tư pháp Mỹ (DOJ), Cục Điều tra Liên bang (FBI) và Bộ An ninh Nội địa (DHS) đã cáo buộc rằng chiến dịch này do các nhóm tin tặc được chính phủ Trung Quốc bảo trợ thực hiện. Phía Trung Quốc phủ nhận mọi cáo buộc liên quan tới tấn công mạng.
Hai quyết định sai lầm của Marriott biến lỗ hổng biến thành thảm
Trong quá trình đàm phán thâu tóm Starwood, Marriott đã nhầm lẫn thẩm định an ninh mạng với thẩm định công nghệ thông tin thông thường. Thay vì rà soát trực tiếp cấu hình hệ thống và kiểm tra lỗ hổng bảo mật thực tế, tập đoàn hoàn toàn tin tưởng vào các Báo cáo Tuân thủ theo tiêu chuẩn PCI DSS do bên thứ ba cung cấp cho Starwood từ năm 2015 đến 2017.
Có những dấu hiệu cảnh báo rõ ràng đã bị bỏ qua. Chỉ 4 ngày sau khi Marriott công bố thỏa thuận mua lại Starwood vào cuối năm 2015, Starwood thông báo một vụ rò rỉ dữ liệu thẻ thanh toán nghiêm trọng tại hệ thống điểm bán hàng (POS). Marriott không dừng thương vụ để điều tra sâu hơn về tình trạng bảo mật tổng thể của công ty mục tiêu.
Theo kết luận của các cơ quan sau này, việc thẩm định an ninh mạng độc lập, tức là kiểm tra trực tiếp cấu hình kỹ thuật thay vì chỉ đọc báo cáo tuân thủ, đã không được thực hiện.
Sai lầm thứ hai diễn ra ngay sau khi tiếp quản vào tháng 9/2016. Để tối ưu hóa chi phí và loại bỏ các vị trí trùng lặp, Marriott sa thải gần như toàn bộ đội ngũ IT và an ninh mạng cũ của Starwood. Hệ thống của Starwood có đặc tính phức tạp và cũ kỹ, chỉ có những nhân viên cũ mới thực sự hiểu rõ cấu trúc vận hành. Khi đội ngũ đó bị sa thải, không ai tại Marriott còn đủ năng lực giám sát và phát hiện các hoạt động bất thường.
Việc tích hợp hệ thống giám sát an ninh thông tin (SIEM) của Marriott vào mạng lưới Starwood bị trì hoãn kéo dài, cho phép tin tặc tiếp tục ẩn náu và đánh cắp dữ liệu thêm hơn hai năm sau khi sáp nhập hoàn tất.
Về mặt kỹ thuật, tin tặc sử dụng công cụ mã nguồn mở Mimikatz để quét bộ nhớ hệ thống, trích xuất thông tin đăng nhập dạng văn bản thuần từ các tài khoản quản trị viên không yêu cầu xác thực đa yếu tố (Multi-Factor Authentication - MFA), rồi di chuyển tự do qua các phân vùng mạng khác nhau mà không kích hoạt bất kỳ cảnh báo nào.
Khi dữ liệu khách sạn trở thành nguyên liệu tình báo
Sở dĩ khối dữ liệu của Starwood (và sau này là Marriott) không xuất hiện trên dark web là bởi giá trị thực sự của chúng không đến từ việc bán thông tin tài khoản hay thẻ tín dụng, mà là khả năng định danh và theo dõi con người. Đặc điểm này phù hợp với đặc trưng của các chiến dịch thu thập tình báo có tổ chức với mục tiêu là xây dựng cơ sở dữ liệu dài hạn thay vì kiếm lợi tức thì. Theo đánh giá của các cơ quan tình báo Mỹ, dữ liệu Starwood là một mắt xích trong một chiến lược thu thập thông tin lớn hơn.
Bộ Tư pháp và FBI cáo buộc tin tặc có thể đã tham chiếu chéo thông tin từ nhiều vụ tấn công: vụ hack Văn phòng Quản lý Nhân sự Mỹ (OPM, năm 2015) lấy 21.5 triệu hồ sơ lý lịch công chức; vụ hack hãng bảo hiểm sức khỏe Anthem (2015) với 78 triệu hồ sơ y tế; vụ hack hãng hàng không United Airlines (2015) lấy lịch trình bay; vụ hack Equifax (2017) lấy dữ liệu tài chính của 145 triệu người Mỹ. Vụ hack Starwood (và sau này là cả Marriott) bổ sung lịch sử lưu trú và hơn 25 triệu số hộ chiếu.
Sự kết hợp của các nguồn dữ liệu này có thể tạo ra năng lực định danh mà không nguồn đơn lẻ nào có được. Lịch sử lưu trú tiết lộ cách thức di chuyển của một cá nhân đi đâu, vào thời điểm nào, ở lại bao lâu, ở với ai. Hộ chiếu cho phép theo dõi ai đi qua cửa khẩu quốc tế nào. Kết hợp với dữ liệu tài chính từ Equifax, một nhà phân tích tình báo có thể xác định các điểm yếu cá nhân như nợ nần, lối sống xa hoa, quan hệ mờ ám,… và dùng thông tin đó làm đòn bẩy trong quá trình tiếp cận và tuyển dụng gián điệp.
Marriott là thương hiệu khách sạn hạng sang, với nhiều khách hàng là doanh nhân tỷ phú, quan chức cấp cao hay thậm chí là nguyên thủ các nước, như hai tổng thống Mỹ là Barack Obama (năm 2016) và Donald Trump (năm 2019) đều lưu trú tại khách sạn JW Marriott khi tới Hà Nội. Vì vậy, thông tin cá nhân của hàng trăm triệu khách hàng ẩn chứa nhiều giá trị cho giới phân tích tình báo.
Trong thời gian tham dự Hội nghị Thượng đỉnh Mỹ - Triều năm 2019, Tổng thống Mỹ Donald Trump ở tại khách sạn JW Marriott nhờ đáp ứng nhiều yêu cầu về an ninh - Ảnh: JW Marriott Hotel Hanoi
|
Hậu quả và bài học đắt giá
Hậu quả tài chính và pháp lý của vụ việc kéo dài suốt nhiều năm. Ngày 30/11/2018, ngay sau khi Marriott công bố sự cố, cổ phiếu tập đoàn giảm 5.6% trong một ngày giao dịch, làm giảm hơn 4 tỷ USD vốn hóa thị trường. Đến năm 2023, tổng thiệt hại trực tiếp vượt 280 triệu USD, bao gồm chi phí điều tra kỹ thuật, nâng cấp hệ thống an ninh mạng, vận hành tổng đài hỗ trợ và các khoản phạt hành chính tại Anh và Mỹ.
Vụ bê bối của Marriott định hình lại các tiêu chuẩn quản trị rủi ro, đặc biệt trong các hoạt động mua bán và sáp nhập doanh nghiệp.
Thứ nhất, quy trình M&A cần một sự cải tổ toàn diện. Thẩm định an ninh mạng phải là một quy trình độc lập, tách rời hoàn toàn khỏi đánh giá khả năng tương thích công nghệ thông tin. Quá trình này tập trung rà soát cấu hình kỹ thuật thực tế, kiểm tra mã độc và đánh giá kiến trúc bảo mật thay vì chỉ dựa vào các danh sách kiểm tra định kỳ. Việc hoàn thành các yêu cầu tuân thủ trên giấy tờ không bảo đảm hệ thống an toàn trước các mối đe dọa thực tế đang hiện hữu.
Thứ hai, doanh nghiệp phải bảo toàn tri thức hệ thống trong quá trình chuyển giao công nghệ. Việc cắt giảm nhân sự IT của công ty mục tiêu nhằm tối ưu hóa chi phí tạo ra các rủi ro dài hạn trong vận hành. Các hệ thống kế thừa mang tính phức tạp cao luôn cần một lực lượng lao động nắm giữ chuyên môn về cấu trúc để duy trì và giám sát.
Thứ ba, chính sách lưu trữ vòng đời dữ liệu cần được tuân thủ nghiêm ngặt. Hệ thống Starwood lưu trữ lượng lớn hồ sơ khách hàng từ tận năm 2002 với lý do đáp ứng các yêu cầu về luật thuế, hành động này trực tiếp làm phình to khối lượng dữ liệu bị đánh cắp. Việc xóa hoặc ẩn danh dữ liệu đúng hạn sau khi hoàn thành mục đích kinh doanh là biện pháp cơ bản để giới hạn phạm vi rủi ro.
Cuối cùng là sự chuyển đổi chiến lược phòng thủ sang hướng chủ động. Các giao thức xác thực đa yếu tố (MFA) phải được áp dụng triệt để cho toàn bộ mọi cấp độ truy cập, đặc biệt ưu tiên đối với các tài khoản quản trị hệ thống và truy cập từ xa.
* Marriott thu hàng chục tỷ USD từ mô hình nhượng quyền, toan tính gì khi mở rộng tại Việt Nam?
Đức Quyền
