Tập đoàn thể thao Nike đang tích cực điều tra một sự cố an ninh mạng tiềm tàng sau khi WorldLeaks, một nhóm ransomware hoạt động vì lợi nhuận, đã công khai nhận trách nhiệm về một vụ rò rỉ dữ liệu quy mô lớn ảnh hưởng đến công ty. Sự kiện này một lần nữa nhấn mạnh tầm quan trọng của các biện pháp bảo mật chặt chẽ trong môi trường kỹ thuật số hiện nay.
Nhóm này đã thông báo về vụ tấn công trên trang rò rỉ dữ liệu darknet của mình vào ngày 22 tháng 1 năm 2026. Họ tuyên bố đã đánh cắp hơn 1.4 terabyte dữ liệu nội bộ và đe dọa sẽ công bố thông tin bị đánh cắp nếu yêu cầu tiền chuộc không được đáp ứng. Sự cố này đặt ra những câu hỏi nghiêm trọng về khả năng phòng thủ và ứng phó của các tổ chức lớn trước các mối đe dọa dai dẳng.
Chi tiết về vụ rò rỉ dữ liệu tại Nike
Xác nhận ban đầu từ Nike và tuyên bố của WorldLeaks
Nike đã xác nhận nhận thức về sự cố bị cáo buộc trong một tuyên bố chính thức. Công ty lưu ý rằng họ đang “tích cực đánh giá tình hình” và rất coi trọng quyền riêng tư của người tiêu dùng cũng như bảo mật dữ liệu.
Tuy nhiên, nhà sản xuất giày thể thao này chỉ cung cấp rất ít thông tin chi tiết về phạm vi của vụ việc. Nike cũng không làm rõ liệu thông tin khách hàng có bị ảnh hưởng trong cuộc tấn công hay không.
Theo những tuyên bố từ WorldLeaks, dữ liệu bị đánh cắp bao gồm:
- Tài liệu nội bộ của công ty.
- Thông tin khách hàng.
- Thông tin xác thực của nhân viên.
- Hồ sơ chuỗi cung ứng.
- Kho lưu trữ hoạt động sản xuất kéo dài trong năm năm qua.
Các nhà phân tích trong ngành ước tính rằng tập dữ liệu bị xâm nhập có thể lên tới vài terabyte. Ước tính này dựa trên các mô hình tấn công trong lịch sử của nhóm. Điều này cho thấy quy mô và mức độ nghiêm trọng của sự cố.
Dữ liệu người dùng và nhân viên bị ảnh hưởng
Các báo cáo ban đầu chỉ ra rằng khoảng 481.183 tài khoản người dùng bị xâm phạm đã có thể bị lộ. Ngoài ra, 220 hồ sơ nhân viên và 444 thông tin xác thực của nhân viên bên thứ ba cũng có nguy cơ bị phơi bày. Những con số này nhấn mạnh tác động sâu rộng của vụ rò rỉ dữ liệu đối với cả khách hàng và nội bộ công ty.
Hồ sơ nhóm mã độc ransomware WorldLeaks
Nguồn gốc và mô hình hoạt động
WorldLeaks xuất hiện vào tháng 1 năm 2025 như một sự tái cấu trúc chiến lược của hoạt động Hunters International đã ngừng hoạt động. Nhóm này vận hành theo mô hình chỉ tống tiền (extortion-only).
WorldLeaks tập trung độc quyền vào việc đánh cắp dữ liệu thay vì mã hóa tệp tin. Phương pháp này cho phép thực hiện tấn công nhanh hơn và giảm nguy cơ bị phát hiện. Đây là một chiến thuật ngày càng phổ biến trong giới mã độc ransomware hiện nay.
Mối liên hệ với các nhóm ransomware khác
Các nhà nghiên cứu an ninh mạng tin rằng một số quản trị viên của WorldLeaks vẫn duy trì mối liên hệ với hoạt động ransomware Hive. Hoạt động này đã bị cơ quan thực thi pháp luật triệt phá vào năm 2023. Mối liên hệ này cho thấy sự liên tục và tiến hóa của các nhóm tội phạm mạng.
Kể từ khi thành lập, WorldLeaks đã tuyên bố tấn công hơn 116 nạn nhân. Trong số đó có các mục tiêu lớn như Dell Technologies, nơi nhóm này được cho là đã đánh cắp 1.3 terabyte dữ liệu. Điều này chứng tỏ khả năng và tham vọng của WorldLeaks trong việc nhắm mục tiêu vào các tổ chức có giá trị cao.
Các phương thức truy cập ban đầu
Các báo cáo tình báo chỉ ra rằng nhóm thường giành được quyền truy cập ban đầu thông qua nhiều phương thức. Các phương thức phổ biến bao gồm:
- Các trang web hợp pháp bị xâm phạm.
- Các chiến dịch lừa đảo (phishing campaigns) với tệp đính kèm độc hại.
- Các ứng dụng lộ ra internet chưa được vá lỗi.
- Các VPN thiếu xác thực đa yếu tố (MFA).
Hiểu rõ các vector tấn công này là rất quan trọng để xây dựng một chiến lược an ninh mạng hiệu quả.
Bối cảnh rộng hơn và các khuyến nghị bảo mật
Chuỗi các cuộc tấn công nhắm vào ngành bán lẻ
Sự cố tại Nike đánh dấu sự tiếp nối của các cuộc tấn công mạng phối hợp nhắm vào ngành bán lẻ và may mặc thể thao. Gần đây, Under Armour cũng đã tiết lộ rằng tin tặc đã đăng hàng triệu hồ sơ khách hàng lên một diễn đàn trực tuyến.
Những sự kiện này đặt ra câu hỏi về khả năng liên kết giữa các vụ việc của Nike và Under Armour. Điều này cho thấy một mối đe dọa có hệ thống đối với lĩnh vực này.
Khuyến nghị tăng cường an ninh mạng
Các chuyên gia bảo mật khuyến nghị các tổ chức nên thực hiện xác thực đa yếu tố (MFA) bắt buộc trên tất cả các điểm truy cập từ xa. Biện pháp này giúp tăng cường đáng kể khả năng phòng thủ chống lại các nỗ lực truy cập trái phép. Tham khảo thêm về các chiến lược phòng chống ransomware tại CISA Stop Ransomware.
Sự cố này một lần nữa nhấn mạnh mối đe dọa dai dẳng từ các nhóm ransomware tinh vi. Chúng nhắm mục tiêu vào các tổ chức giá trị cao với khối tài sản sở hữu trí tuệ đáng kể. Các doanh nghiệp cần không ngừng nâng cao cảnh giác và đầu tư vào các giải pháp an ninh mạng toàn diện để bảo vệ tài sản và thông tin khách hàng của mình trước nguy cơ rò rỉ dữ liệu.
