Ngày 23/11/2025, hãng Reuters đưa tin, JPMorgan Chase, Citi và Morgan Stanley nằm trong số các ngân hàng lớn của Mỹ đã trở thành mục tiêu trong vụ tấn công mạng vào SitusAMC, nhà cung cấp bên thứ ba chuyên xử lý dữ liệu thế chấp nhà ở cho hàng trăm tổ chức tài chính. Vụ việc này làm nổi bật rủi ro an ninh mạng từ các đối tác bên ngoài trong lĩnh vực tài chính, khi các sự cố liên quan đến nhà cung cấp tăng 15% so với cùng kỳ năm trước.
SitusAMC cho biết trong tuyên bố đăng trên trang web ngày 22/11 rằng, công ty đã trở thành mục tiêu của một cuộc tấn công mạng diễn ra vào 12/11. Theo nguồn tin, tin tặc đã truy cập vào hệ thống nội bộ của doanh nghiệp. Dữ liệu bị ảnh hưởng bao gồm thông tin doanh nghiệp như hồ sơ kế toán, các thỏa thuận pháp lý và một số dữ liệu liên quan đến khách hàng của một số đối tác cũng có thể đã bị xâm phạm.
Thông báo cho biết, phạm vi và mức độ tác động của sự cố vẫn đang được SitusAMC phối hợp cùng các cố vấn bên thứ ba điều tra. “Chúng tôi đang tập trung phân tích mọi dữ liệu có khả năng bị ảnh hưởng”, Giám đốc điều hành SitusAMC Michael Franco cho biết trong tuyên bố với The New York Times, đồng thời khẳng định công ty đã thông báo cho cơ quan thực thi pháp luật.
FBI: Chưa ghi nhận tác động đến hoạt động ngân hàng.
Giám đốc Cục Điều tra Liên bang Mỹ (FBI), ông Kash Patel, cho biết với tờ The New York Times rằng cơ quan này đang phối hợp với các tổ chức bị ảnh hưởng để đánh giá vụ tấn công mạng nhằm vào SitusAMC. Ông Patel khẳng định, chưa phát hiện bất kỳ tác động hoạt động nào đối với các dịch vụ ngân hàng, song cuộc điều tra vẫn đang được tiến hành.
“Mặc dù chúng tôi đang làm việc chặt chẽ với các tổ chức bị ảnh hưởng và các đối tác để xác định mức độ tác động tiềm ẩn, nhưng cho đến nay, chưa có bằng chứng cho thấy hoạt động của các dịch vụ ngân hàng bị ảnh hưởng,” ông Patel nói.
SitusAMC, doanh nghiệp có khoảng 5.000 nhân viên và thuộc sở hữu của một số quỹ đầu tư cổ phần tư nhân, cung cấp các dịch vụ khởi tạo khoản vay, quản lý và tuân thủ quy định cho các tổ chức cho vay lớn. Công ty đóng vai trò trung gian trong xử lý dữ liệu thế chấp, bao gồm thông tin cá nhân nhạy cảm như số An sinh Xã hội, chi tiết tài khoản tài chính và hồ sơ việc làm từ các đơn vay.
SitusAMC cho biết sự cố đã được kiểm soát và các dịch vụ vẫn hoạt động bình thường. Báo cáo nội bộ cũng xác nhận không có phần mềm độc hại mã hóa (ransomware) được sử dụng, cho thấy mục tiêu của tin tặc là đánh cắp dữ liệu, không phải phá hoại hệ thống.
Hiện quy mô thiệt hại vẫn đang được điều tra, trong khi công ty đã triển khai một loạt biện pháp bảo mật bổ sung, bao gồm đặt lại thông tin đăng nhập, vô hiệu hóa công cụ truy cập từ xa, cập nhật quy tắc tường lửa và tăng cường thiết lập an ninh hệ thống.
Sự cố SitusAMC và xu hướng gia tăng tấn công mạng vào nhà cung cấp bên thứ ba trong lĩnh vực tài chính.
Sự cố tại SitusAMC phản ánh một xu hướng đáng lo ngại: các cuộc tấn công mạng nhắm vào nhà cung cấp bên thứ ba trong ngành dịch vụ tài chính ngày càng gia tăng. Theo khảo sát “Tình hình Quản lý Rủi ro của Bên thứ ba năm 2025” của Venminder, các nhà cung cấp bên thứ ba chiếm tới 30% tổng số vụ vi phạm dữ liệu trong năm 2024, tăng 15% so với năm 2023. Đáng chú ý, 49% tổ chức được khảo sát cho biết đã từng trải qua sự cố an ninh mạng liên quan đến bên thứ ba trong năm qua.
Ngành dịch vụ tài chính đang trở thành mục tiêu tấn công đặc biệt nghiêm trọng, khi các tác nhân đe dọa tập trung khai thác lỗ hổng trong công cụ quản lý hệ thống và các sản phẩm công nghệ do nhà cung cấp bên thứ ba vận hành. Trong năm 2024, những sự cố nổi bật bao gồm các vụ vi phạm dữ liệu tại Microsoft, Snowflake và Dropbox, gây ảnh hưởng lan rộng đến nhiều doanh nghiệp tài chính toàn cầu.
Để ứng phó với xu hướng này, Sở Dịch vụ Tài chính New York (NYDFS) vào tháng 10 đã ban hành hướng dẫn mới, nhấn mạnh rằng các tổ chức được quản lý vẫn phải chịu trách nhiệm hoàn toàn về an ninh mạng, ngay cả khi thuê ngoài dịch vụ cho các nhà cung cấp bên thứ ba.
Cùng thời điểm, Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã sửa đổi Quy định S-P (Regulation S-P), yêu cầu các công ty tài chính phải có chính sách bằng văn bản để giám sát nhà cung cấp dịch vụ, bao gồm cả quy trình thẩm định và giám sát thường xuyên.
Ngoài ra, Cơ quan Quản lý Ngành Tài chính (FINRA) cũng nhắc nhở các công ty thành viên về nghĩa vụ giám sát việc thuê ngoài, khẳng định rằng mỗi doanh nghiệp phải thiết lập và duy trì hệ thống kiểm soát đầy đủ đối với mọi hoạt động hoặc chức năng được giao cho bên thứ ba thực hiện.
Hiện cuộc điều tra về sự cố tại SitusAMC vẫn đang được tiến hành. Công ty cho biết đã thiết lập một địa chỉ email chuyên dụng để tiếp nhận các yêu cầu liên quan và cam kết cung cấp thông tin cập nhật cho khách hàng khi có tiến triển mới.
Trong thông báo, SitusAMC không nêu rõ số lượng tổ chức hoặc khách hàng có thể bị ảnh hưởng, cũng như không xác định thời điểm hoàn tất cuộc điều tra.
“Chúng tôi đang liên hệ trực tiếp và thường xuyên với khách hàng về vấn đề này,” SitusAMC cho biết trong tuyên bố. “Chúng tôi tiếp tục tập trung phân tích mọi dữ liệu có khả năng bị ảnh hưởng và sẽ cung cấp thông tin cập nhật kịp thời khi quá trình điều tra tiến triển.”
Sự cố tại SitusAMC một lần nữa nhấn mạnh mức độ rủi ro ngày càng cao trong chuỗi cung ứng kỹ thuật số của ngành dịch vụ tài chính. Khi các tổ chức tài chính tiếp tục phụ thuộc nhiều hơn vào các nhà cung cấp bên thứ ba để vận hành hạ tầng và dịch vụ, mức độ phức tạp của rủi ro an ninh mạng cũng gia tăng tương ứng.
Những thay đổi về quy định từ NYDFS, SEC và FINRA cho thấy cơ quan quản lý đang chuyển hướng mạnh mẽ sang yêu cầu tăng cường giám sát và trách nhiệm của tổ chức thuê ngoài. Điều này đồng nghĩa các doanh nghiệp cần xây dựng khung quản trị rủi ro bên thứ ba toàn diện hơn, bao gồm việc đánh giá định kỳ, giám sát liên tục và lập kế hoạch ứng phó sự cố chi tiết.
Vụ việc cũng là lời nhắc nhở quan trọng về tính minh bạch và khả năng phục hồi dữ liệu, hai yếu tố then chốt để duy trì niềm tin của khách hàng và bảo đảm tính bền vững trong môi trường tài chính số hóa ngày càng phức tạp.
Thế Nguyễn