Sự cố rò rỉ dữ liệu tại Marquis Software: Ý nghĩa với ngân hàng, quỹ tín dụng và khách hàng

Các cơ quan quản lý Mỹ và nhiều hãng tin đã xác nhận một vụ rò rỉ dữ liệu nghiêm trọng tại Marquis Software Solutions, một nhà cung cấp có trụ sở ở Texas, đang làm việc với hàng trăm ngân hàng cộng đồng và quỹ tín dụng trên khắp nước Mỹ. Gần như cùng thời điểm, chính nhà cung cấp phần mềm tài chính Marquis cũng bắt đầu cảnh báo rằng sự cố đã làm lộ dữ liệu gắn với hàng chục ngân hàng và quỹ tín dụng tại Mỹ.

Marquis Software Solutions cung cấp các dịch vụ phân tích dữ liệu, công cụ CRM, báo cáo tuân thủ và marketing số cho hơn 700+ ngân hàng, quỹ tín dụng và đơn vị cho vay thế chấp. Để cung cấp các dịch vụ này, Marquis lưu trữ và xử lý các bộ dữ liệu khách hàng rất lớn thay mặt cho khách hàng tổ chức của mình.

Khi các nhóm ransomware xâm nhập được vào các hệ thống chứa dữ liệu này, chúng không chỉ tấn công một ngân hàng. Chúng đã xâm nhập vào một nhà cung cấp chia sẻ đang ngồi giữa hệ sinh thái ngân hàng cộng đồng. Kết quả là, một điểm bị xâm nhập đã biến thành vấn đề toàn ngành, tác động cùng lúc tới nhiều tổ chức nhỏ hơn.

Marquis Software Solutions là ai?

Marquis Software Solutions cung cấp phần mềm phục vụ marketing, phân tích và tuân thủ cho các tổ chức tài chính. Các hồ sơ công khai và tin báo chí cho biết công ty đang làm việc với hơn 700 ngân hàng, quỹ tín dụng và đơn vị cho vay thế chấp trên khắp nước Mỹ. Những dịch vụ này thường dựa mạnh vào dữ liệu khách hàng giàu nội dung. Điều đó có nghĩa Marquis đang nắm giữ:

• Tên, thông tin liên hệ.
• Chi tiết tài khoản.
• Và trong nhiều trường hợp là số An sinh Xã hội (SSN) của khách hàng các tổ chức này.

Khi một kẻ tấn công xâm nhập vào một nhà cung cấp kiểu như vậy, chúng không chỉ đánh vào một ngân hàng – chúng đánh vào một “trung tâm dữ liệu” (data hub).

Chuyện gì đã xảy ra: Tấn công ransomware qua SonicWall

Theo các thông báo vi phạm dữ liệu được nộp cho nhiều văn phòng Tổng chưởng lý bang, Marquis đã chịu một cuộc tấn công ransomware vào ngày 14/8/2025. Một cuộc điều tra sau đó cho thấy kẻ tấn công xâm nhập vào hệ thống của Marquis thông qua tường lửa SonicWall dùng cho truy cập từ xa. Các điểm chính từ báo cáo công khai:

• Ngày tấn công: 14/8/2025.
• Loại tấn công: Ransomware, có đánh cắp dữ liệu trước khi mã hóa.
• Cách truy cập ban đầu: Thông qua một tường lửa SonicWall và tính năng VPN của nó.
• Môi trường bị ảnh hưởng: Các hệ thống lưu trữ file có chứa dữ liệu khách hàng của nhiều ngân hàng và quỹ tín dụng.

Trang BleepingComputer nhấn mạnh loạt tấn công gần đây nhắm vào VPN SonicWall bởi Akira Ransomware, vốn có mẫu hành vi đã biết là khai thác lỗ hổng CVE-2024-40766 để đánh cắp thông tin đăng nhập VPN. Các báo cáo công khai không nêu tên nhóm đã tấn công Marquis, nhưng đường đi tấn công trùng khớp với xu hướng này.

Quy mô sự cố: Hàng chục tổ chức, hàng trăm nghìn khách hàng

Vụ rò rỉ này không chỉ ảnh hưởng tới một ngân hàng. Vì Marquis hoạt động như một nhà cung cấp dịch vụ chia sẻ, cùng một cuộc tấn công sẽ đánh trúng dữ liệu từ nhiều tổ chức cùng lúc.

Có bao nhiêu ngân hàng và quỹ tín dụng bị ảnh hưởng?

Các thông báo nộp tại bang Maine và Iowa hiện liệt kê hơn 400.000 người liên quan đến 74 ngân hàng và quỹ tín dụng bị ảnh hưởng cho đến nay. Danh sách bao gồm nhiều ngân hàng cộng đồng và quỹ tín dụng trên khắp nước Mỹ. Một vài ví dụ:

• Maine State Credit Union
• Capital City Bank Group
• CoVantage Credit Union
• Suncoast Credit Union

Có bao nhiêu người dùng cá nhân?

Các cơ quan quản lý và hãng luật đưa ra số liệu hơi khác nhau – điều bình thường trong giai đoạn đầu của một sự cố lớn:

• Hồ sơ bang và tin tức hiện cho thấy ít nhất 400.000 khách hàng bị ảnh hưởng.
• Một hãng luật theo dõi riêng ảnh hưởng với CoVantage Credit Union đề cập tới khoảng 160.000 thành viên CoVantage và khoảng 354.000 cá nhân trên toàn bộ khách hàng Marquis bị ảnh hưởng trong phân tích của họ.
• Một số báo cáo trong ngành gợi ý tổng số có thể tiếp tục tăng khi nhiều tổ chức hoàn tất rà soát và nộp thông báo.

Cổng thông tin vi phạm của Tổng chưởng lý bang Maine hiện liệt kê Marquis Software Solutions là đơn vị báo cáo cho một sự cố được ghi nhận ngày 2/12/2025, xác nhận giai đoạn thông báo hiện tại. Bạn nên kỳ vọng các con số này sẽ được điều chỉnh theo thời gian khi nhiều khách hàng tổ chức của Marquis hoàn tất việc đếm và xác nhận của riêng họ.

Dữ liệu nào đã bị lộ?

Marquis và các hồ sơ nộp ở cấp bang cho biết kẻ tấn công đã sao chép các file chứa thông tin cá nhân không công khai (non‑public personal information) của khách hàng ngân hàng và quỹ tín dụng.

Tùy từng tổ chức và kiểu tài khoản, dữ liệu bị lộ có thể bao gồm một phần hoặc toàn bộ:

• Họ tên đầy đủ.
• Địa chỉ liên hệ (địa chỉ bưu chính, số điện thoại).
• Ngày sinh.
• Số An sinh Xã hội (SSN) hoặc Mã số người nộp thuế (TIN).
• Số tài khoản ngân hàng.
• Số thẻ ghi nợ hoặc thẻ tín dụng.
• Các thông tin tài khoản tài chính khác (trong một số trường hợp không bao gồm mã bảo mật hoặc PIN).

Tổ hợp dữ liệu này đủ để thực hiện đánh cắp danh tính và nhiều dạng gian lận khác nhau. Ngay cả khi không có mã bảo mật thẻ, kẻ tấn công vẫn có thể sử dụng dữ liệu nhận dạng để:

• Mở tài khoản mới trái phép.
• Nộp hồ sơ thuế giả.
• Thực hiện các chiến dịch lừa đảo (phishing) nhắm mục tiêu cao.

Tại thời điểm hiện tại, Marquis cho biết chưa thấy bằng chứng rằng dữ liệu bị đánh cắp đã được sử dụng sai mục đích hoặc đăng lên các trang rò rỉ. Tuy nhiên, ít nhất một thông báo trước đó từ một quỹ tín dụng bị ảnh hưởng – sau đó đã bị gỡ xuống – khẳng định rằng Marquis đã trả tiền chuộc, điều thường xảy ra khi nạn nhân cố gắng ngăn dữ liệu bị rò rỉ công khai.

Marquis nói họ đã phản ứng như thế nào?

Các thông báo công khai và báo cáo thứ cấp mô tả một số bước mà Marquis đã thực hiện kể từ sau vụ tấn công:

Điều tra và thông báo

• Thuê các chuyên gia an ninh mạng bên ngoài hỗ trợ điều tra.
• Thông báo cho cơ quan thực thi pháp luật và các văn phòng Tổng chưởng lý bang.
• Phối hợp với các ngân hàng và quỹ tín dụng bị ảnh hưởng để gửi thông báo tới người tiêu dùng.

Tăng cường bảo mật

Marquis báo cáo một loạt thay đổi tập trung vào bảo mật truy cập từ xa và tài khoản, bao gồm:

• Vá lỗi và cập nhật tất cả thiết bị tường lửa.
• Đổi mật khẩu cho các tài khoản cục bộ và xóa tài khoản không sử dụng.
• Bật xác thực đa yếu tố (MFA) cho toàn bộ tài khoản firewall và VPN.
• Tăng thời gian lưu log cho thiết bị tường lửa.
• Thiết lập khóa tài khoản sau một số lần đăng nhập VPN thất bại.
• Hạn chế truy cập VPN theo địa chỉ IP địa lý.
• Chặn kết nối tới các server điều khiển botnet đã biết ngay tại lớp tường lửa.

Vì sao vụ rò rỉ này quan trọng với rủi ro nhà cung cấp (vendor risk)?

Sự cố Marquis là một ví dụ điển hình của tấn công chuỗi cung ứng / bên thứ ba trong lĩnh vực tài chính:

• Marquis nắm dữ liệu của hàng trăm tổ chức.
• Kẻ tấn công chỉ cần xâm nhập một “chu vi” của nhà cung cấp để tiếp cận dữ liệu từ nhiều ngân hàng/quỹ tín dụng.
• Điểm vào là một thiết bị truy cập từ xa – vốn phải chịu các kiểm soát mạnh và được giám sát liên tục.

Đối với các tổ chức tài chính, các rủi ro chính bao gồm:

• Rủi ro tập trung (concentration risk): Khi nhiều tổ chức cùng phụ thuộc vào một nhà cung cấp, một sự cố ở nhà cung cấp đó trở thành vấn đề toàn ngành.
• Khoảng trống tầm nhìn (visibility gaps): Ngân hàng thường có ít khả năng quan sát trực tiếp hơn về:
• • Kiểm soát an ninh nội bộ của vendor.
  • Trạng thái vá lỗi.
  • Cách quản lý và sử dụng VPN, truy cập từ xa.
• Thiệt hại danh tiếng chia sẻ: Ngay cả khi hệ thống nội bộ ngân hàng vẫn an toàn, khách hàng vẫn sẽ quy trách nhiệm cho ngân hàng/quỹ tín dụng khi dữ liệu cá nhân gắn với thương hiệu đó bị lộ.

Các cơ quan quản lý từ lâu đã yêu cầu ngân hàng, quỹ tín dụng quản lý rủi ro bên thứ ba nghiêm ngặt không kém rủi ro nội bộ. Vụ việc Marquis rất có thể sẽ khiến các đoàn thanh tra đặt thêm nhiều câu hỏi về nhà cung cấp mà các tổ chức tài chính đang sử dụng.

Kiến nghị:

Sự cố rò rỉ dữ liệu tại Marquis Software Solutions không chỉ là “một câu chuyện ransomware nữa”. Nó cho thấy mức độ phụ thuộc sâu sắc của ngành tài chính vào các nhà cung cấp trung gian, những đơn vị nắm giữ lượng lớn dữ liệu nhạy cảm giữa khách hàng và ngân hàng. Khi một vendor kiểu này bị đánh gục, dư chấn lan ra hàng chục tổ chức cùng lúc.

Ngân hàng và quỹ tín dụng không thể tránh hoàn toàn việc sử dụng nhà cung cấp như Marquis, nhưng họ có thể:

• Yêu cầu kiểm soát mạnh hơn, bao gồm MFA bắt buộc, giám sát thiết bị truy cập từ xa, và minh bạch về vá lỗi.
• Đòi hỏi tầm nhìn tốt hơn: báo cáo bảo mật định kỳ, kiểm tra độc lập, quyền audit ở mức hợp lý.
• Thiết lập kịch bản ứng phó sự cố với nhà cung cấp: quy trình thông tin cho khách hàng, theo dõi gian lận, hỗ trợ giám sát tín dụng.

Về phía khách hàng, họ không thể trực tiếp quyết định vendor nào mà ngân hàng dùng, nhưng vẫn có thể:

• Thường xuyên kiểm tra tài khoản, sao kê.
• Tận dụng dịch vụ cảnh báo giao dịch, khóa thẻ, hoặc giám sát tín dụng được cung cấp.
• Cảnh giác với các email, cuộc gọi, tin nhắn lừa đảo có thể lợi dụng dữ liệu vừa bị lộ.