Uber đau đầu vì bê bối xâm phạm dữ liệu

“Chương cũ đã qua... và chương mới của Uber bắt đầu từ ngày hôm nay", ông đã tuyên bố với nhân viên trong cuộc họp cuối tháng 8 vừa qua như thế.

Giây phút đó được cho là đánh dấu một khởi đầu mới cho Uber, startup gọi xe trị giá 68 tỉ USD. Thế nhưng chỉ 3 tháng sau đó, chương mới của Uber lại chẳng khác gì chương cũ. Vụ xâm phạm thông tin nghiêm trọng vừa được tiết lộ chỉ là bê bối mới nhất trong hàng loạt vụ khủng hoảng khiến cho tân CEO Dara Khosrowshahi càng thêm chật vật trong nỗ lực lột xác Uber.

Danh sách các rắc rối cứ dài ra, như một lệnh cấm có thể sẽ được ban hành ở London, một vụ kiện về công nghệ xe không người lái do Waymo của Alphabet đệ đơn hay việc tin tặc tấn công dữ liệu của 57 triệu người sử dụng trên toàn thế giới.

Để giữ kín thông tin dữ liệu xâm phạm năm 2016, Uber đã trả tiền chuộc cho tin tặc. Khi vụ việc bị phanh phui, một số đã bắt đầu tự hỏi liệu Uber có bao giờ thoát khỏi “bóng ma” mang tên Travis Kalanick.

Khi Công ty chuẩn bị lên sàn vào năm 2019, những tin xấu tiếp tục xảy đến có thể khiến cho Uber phải trì hoãn kế hoạch lên sàn hoặc có thể khiến cho mức định giá Uber bị giảm mạnh. Erik Gordon, Giáo sư trường kinh doanh tại Đại học Michigan, cho rằng Uber đang rơi vào nguy cơ hứng chịu cái gọi là triệu chứng “phí rủi ro Kalanick”. Ông nói thêm: “Trước khi Uber có thể thực hiện IPO, họ phải đảm bảo được với nhà đầu tư rằng Kalanick không có chút ảnh hưởng nào ở công ty” (dù Kalanick không còn làm CEO nhưng ông vẫn có ghế trong Hội đồng Quản trị).

Việc chậm thông báo vụ dữ liệu bị tin tặc tấn công và vụ trả tiền chuộc cho nhóm tin tặc chỉ càng làm dấy lên nhiều câu hỏi về Uber trong thời gian Kalanick tại nhiệm. “Điều này ám chỉ rất rõ về văn hóa công ty”, Katie Moussouris, nhà sáng lập Luta Security, nhận xét. “Đây không phải là lần đầu tiên họ bị bắt quả tang làm việc gì thiếu đạo đức và bất hợp pháp... khi phá vỡ ranh giới luật pháp để thúc đẩy tăng trưởng”, Moussouris nói.

Di sản của Kalanick bao gồm việc xây dựng từ con số 0 một startup công nghệ lớn nhất mọi thời đại, huy động số tiền kỷ lục để biến tầm nhìn của ông thành hiện thực và thay đổi bản chất của ngành vận tải trên khắp thế giới. Đồng thời, thái độ hay gây hấn của ông, cùng với xu hướng coi thường quy định luật pháp, đã tạo ra quá nhiều “bãi mìn” cho Uber. Ông bị các nhà đầu tư hất cẳng vào tháng 6 trước những mối lo ngại về quan điểm của ông. Một trong những nhà đầu tư là Benchmark sau đó đã đi kiện buộc Kalanick ra khỏi Hội đồng Quản trị (vụ kiện vẫn còn bị treo và Kalanick vẫn ngồi trong Hội đồng Quản trị, bên cạnh việc sở hữu 10% cổ phần trong Uber).

Trong những tuần gần đây, những bất ổn dưới thời trị vì của Kalanick đã bắt đầu trở nên rõ ràng hơn. Mối thù hận giữa ông và Benchmark đã làm hoãn lại kế hoạch đầu tư của một nhóm các nhà đầu tư do SoftBank dẫn đầu, trong khi thương vụ này có thể trị giá lên tới 10 tỉ USD và sẽ là một mảnh ghép quan trọng trong kế hoạch IPO sắp tới của Uber. Kalanick cũng đóng vai trò trung tâm trong thương vụ thâu tóm một startup xe không người lái có tên là Otto, vốn là tâm điểm trong vụ kiện của Waymo.

Đối với Khosrowshahi, một trong những vai trò “đối ngoại” chủ yếu của ông trong những tháng đầu tiên tại nhiệm lại là thể hiện sự ăn năn đối với những vụ việc mà ông không hề làm, như mới đây Uber thừa nhận đã không thông báo cho các cơ quan quản lý hoặc người sử dụng về vụ xâm phạm dữ liệu năm 2016.

Vụ tấn công mạng là một ví dụ điển hình cho văn hóa “tự mình hại mình” của Uber. Sự cố này cũng không phải là hiếm lạ vì đã từng xảy ra với một số công ty khác, như gần đây Equifax bị tấn công mạng khiến cho hồ sơ của 143 triệu người Mỹ bị tiết lộ. Nhưng cách mà Uber che dấu có thể khiến Công ty phải trả giá đắt. Che dấu vụ xâm phạm đã khiến cho các nhà chức năng từ Mỹ cho đến châu Âu phẫn nộ và có thể dẫn đến nhiều vụ kiện tụng sau đó. “Họ đã tự khiến cho tình hình càng trở nên tồi tệ”, Moussouris nói.

Cách tin tặc tấn công cũng quá thông dụng. Nhóm tin tặc không hề sử dụng các phương pháp phức tạp để tiếp cận dữ liệu. Họ đã tìm thấy username và password của một tài khoản đám mây chứa các dữ liệu bằng cách thâm nhập vào một tài khoản cá nhân trên Github được sử dụng bởi các kỹ sư Uber. Tên tuổi, email và số điện thoại của 50 triệu hành khách đã bị đánh cắp. Các thông tin bị đánh cắp này lại không phải là những thông tin nhạy cảm nhất. Tuy nhiên, vụ đánh cắp số giấy phép lái xe của 600.000 tài xế Mỹ có thể nghiêm trọng hơn vì chúng có thể được sử dụng để lừa đảo nhân dạng. Vụ tin tặc được phát hiện vào tháng 10.2016 và Kalanick đã biết chuyện khoảng 1 tháng sau đó, theo nguồn tin thân cận với vụ việc, nhưng ông đã không báo cáo lên Hội đồng Quản trị.

Hơn nữa, thay vì thông báo cho các nhà chức trách và những người bị xâm phạm dữ liệu, theo như quy định pháp luật, nhưng Uber đã chọn cách che dấu và trả cho nhóm tin tặc 100.000USD để hủy những thông tin bị đánh cắp. Vụ việc có lẽ đã bị ém nhẹm nếu không có một cuộc điều tra riêng lẻ do Hội đồng Quản trị Uber nhờ thực hiện nhằm điều tra các hoạt động của đội ngũ an ninh công ty. Người đứng đầu nhóm an ninh là Joe Sullivan, Giám đốc An ninh thông tin của Uber và phó cố vấn pháp lý, đã gia nhập Uber từ Facebook vào năm 2015. Sullivan báo cáo trực tiếp cho Kalanick và cho trưởng cố vấn pháp lý. Kalanick chỉ đạo vụ tiền chuộc, theo những nguồn tin thân cận với vụ việc. Mới đây Uber cho biết đã sa thải Sullivan và một thành viên trong bộ phận pháp chế sau cuộc điều tra của Công ty về vụ tấn công mạng.

Trả tiền cho tin tặc không phải là bất hợp pháp nhưng lại không phải là cách làm được nhiều người đồng tình vì nó có thể khuyến khích bọn tội phạm được nước lấn tới. “Khi trả tiền chuộc, bạn đã tự làm mình trở thành mục tiêu một lần nữa”, Michael Farrell, đồng đứng đầu Viện An Ninh Thông tin và Quyền riêng tư tại Georgia Tech, nhận định.

Che dấu vụ xâm phạm dữ liệu cũng có thể khuyến khích các tin tặc hoặc những nhóm khác áp dụng cùng chiêu bài này đối với các mục tiêu khác. “Uber đã cho các tin tặc chính xác điều mà họ muốn: rất nhiều tiền và một lý do để tiếp tục việc làm sai trái đó”, Mark Orlando, Giám đốc Công nghệ phụ trách các dịch vụ mạng tại Raytheon, nhận định.

Vụ xâm phạm dữ liệu chắc chắn sẽ còn gây ra nhiều xáo trộn cho Công ty, nhất là khi các nhà chức trách ở Mỹ và châu Âu cho biết họ sẽ tiến hành điều tra. Tổng chi phí cho Uber có thể từ 200-250 triệu USD, theo tính toán của Larry Ponemon, Giám đốc hãng nghiên cứu Ponemon Institute. Mức chi phí này tương đương 7% doanh thu 6 tháng đầu năm 2017 của Uber. “Sự kiện này chắc chắn sẽ gây ảnh hưởng đến vốn hóa thị trường của Uber và có thể sẽ trì hoãn kế hoạch lên sàn của Công ty. Có thể sẽ có những nghĩa vụ nợ sau đó”, ông nói.

Uber sẽ bị ảnh hưởng như thế nào? Có thể nhìn từ trường hợp của Equifax và Yahoo!. Cổ phiếu của Equifax đã giảm hơn 20% kể từ khi công ty này công bố vụ xâm phạm dữ liệu vào tháng 9, trong khi Verizon đã giảm giá mua lại đối với Yahoo! tới 300 triệu USD sau khi hãng internet này tiết lộ 2 vụ xâm phạm dữ liệu lớn, ảnh hưởng đến 3 tỉ tài khoản.

Vụ bê bối xâm phạm dữ liệu xảy ra vào một thời điểm cực kỳ quan trọng đối với Uber khi công ty này đang sắp sửa ký kết thương vụ với nhóm nhà đầu tư SoftBank. SoftBank sẽ sớm công bố giá mua lại số lượng lớn cổ phần từ các cổ đông hiện hữu. Mức giá này sẽ cho thấy Uber hiện tại “đáng giá” bao nhiêu. Uber cũng đang chuẩn bị cho phiên tòa Waymo (bắt đầu vào ngày 4.12). Waymo có thể đòi mức bồi thường thiệt hại lên tới 1,8 tỉ USD đối với cáo buộc ăn cắp bí mật thương mại (Uber phủ nhận những cáo buộc này). Đây quả là khoảng thời gian không hề dễ chịu cho Uber và vị tân CEO Dara Khosrowshahi.

Nguồn FT