28/12/2024

Hàng triệu thông tin người Việt bị rao bán

Hàng triệu thông tin người Việt bị rao bán

Những ngày qua, nhiều người dùng lại hoang mang khi trên diễn đàn Raidforum – diễn đàn dành cho hacker và chuyên mua bán dữ liệu – công khai rao bán danh sách cá nhân gồm tên đầy đủ, địa chỉ, số điện thoại của 300.000 người Việt.
 /// MINH HỌA: DAD
MINH HỌA: DAD

Bán dữ liệu cá nhân… cập nhật hằng tháng

Trong vụ rao bán thông tin trên diễn đàn Raidforum, những ai muốn có đầy đủ danh sách này phải liên hệ cá nhân rao bán dữ liệu này để thương lượng giá. Trong bài viết của mình, hacker này còn tuyên bố “dữ liệu sẽ được cập nhật hằng tháng”. Một số chuyên gia bảo mật phân tích sơ bộ cho thấy phần lớn người bị lộ thông tin trong danh sách này là thường xuyên sử dụng Facebook để đăng nhập các trang mua bán hàng online.
Thông tin tài khoản ngân hàng, Facebook bị lộ sẽ có nhiều nguy hại ẢNH: Đ.N.THẠCH

Thông tin tài khoản ngân hàng, Facebook bị lộ sẽ có nhiều nguy hại  ẢNH: Đ.N.THẠCH

Đây không phải lần đầu tiên hàng trăm ngàn tài khoản, thông tin cá nhân được rao bán trên Raidforum. Dữ liệu của hàng triệu người dùng Facebook tại Việt Nam cũng được chia sẻ miễn phí tại diễn đàn này vào giữa tháng 11.2020. Dữ liệu rò rỉ bao gồm dòng mã hiển thị tên người dùng, địa chỉ, email, số điện thoại… của hàng triệu tài khoản Facebook tại Việt Nam.
Trước đó, sự việc khiến nhiều người quan tâm nhất đã diễn ra cách nay gần 2 năm, vào đầu tháng 11.2018, hơn 5,4 triệu địa chỉ email của khách hàng được một hacker tung lên diễn đàn này và cho biết đó là danh sách khách hàng và cả nhân viên của Thế Giới Di Động. Sau đó hacker còn công khai hơn 31.000 giao dịch cửa hàng. Điều này khiến các khách hàng phải vội vã thay đổi mật khẩu địa chỉ email, đổi thẻ ngân hàng.
Cuối tháng 7.2016, hacker cũng công bố trên mạng 4 tập tin bao gồm danh sách hơn 400.000 tài khoản khách hàng thành viên của Vietnam Airlines, trong đó bao gồm họ tên, ngày sinh, địa chỉ; một số thành viên còn bị lộ chức vụ, cơ quan công tác, số điện thoại…. Đầu năm 2017, thông tin về quê quán, nơi làm việc, ngày sinh… được cho là của 41 triệu người dùng Facebook tại Việt Nam cũng bị chia sẻ trên một diễn đàn trực tuyến.
Dù đã có nhiều cảnh báo, nhưng suốt bao năm qua, hàng loạt câu chuyện bị lộ thông tin khách hàng vẫn diễn ra thường xuyên. Nhiều khách hàng tại TP.HCM cho hay liên tục cứ khi nào họ đặt vé đi chặng TP.HCM – Hà Nội là ngay sau đó sẽ nhận được nhiều tin nhắn chào mời dịch vụ xe đưa đón từ sân bay Nội Bài về Hà Nội. Đỉnh điểm là cuối năm 2017, Cục Hàng không Việt Nam vào cuộc và công bố kết quả điều tra cho thấy thông tin của hành khách mua vé máy bay có nguy cơ bị lộ từ hai nguồn. Thứ nhất, thông tin hành khách chuyến bay đã bị lộ từ cán bộ, nhân viên của hãng hàng không, nhân viên phòng bán vé của các hãng hàng không hoặc nhân viên phục vụ mặt đất tại sân bay. Nguồn làm lộ thông tin thứ hai là nhân viên đại lý bán vé máy bay có thể cung cấp thông tin hành khách đi máy bay cho tổ chức, cá nhân bên ngoài (đối với hành khách được đại lý đó đặt chỗ, giữ chỗ, bán vé).

“Thế giới ngầm” mua bán thông tin cá nhân

Ông Vũ Ngọc Sơn, Phó chủ tịch phụ trách mảng mã độc – Tập đoàn Bkav, cho rằng quy định pháp luật hiện nay cấm việc mua bán dữ liệu thông tin cá nhân nhưng đây là một ngành công nghiệp trong thế giới ngầm. Các hacker thường xuyên đánh cắp thông tin rồi tung lên mạng hoặc mua bán chúng. Có nhiều nguồn để hacker thu thập thông tin, đó là trực tiếp vào các dữ liệu của nhà cung cấp dịch vụ để lấy dữ liệu; hoặc phát tán mã độc đi và tự động gửi về máy chủ cho hacker; hoặc dựng lên những website lừa đảo giống như Facebook, ngân hàng… rồi gửi qua mail hay chat. Nếu người dùng không kiểm tra kỹ mà đăng nhập thông tin vào thì mọi dữ liệu đều bị đánh cắp.
Bên cạnh đó, thông tin của người dùng cũng có thể bị rò rỉ trực tiếp từ máy tính, từ các dịch vụ trung gian (không phải nơi thanh toán trực tiếp), hay từ người bán hàng trực tiếp cuối cùng. Chỉ cần 1 trong 3 nơi này bị tấn công thì dữ liệu có thể bị lấy đi. Để tránh bị lộ thông tin, đặc biệt trong giao dịch trực tuyến ngân hàng, các bên tham gia cần có trách nhiệm chung.
Người dùng cần có ý thức trang bị cho máy tính của mình những phần mềm chống xâm nhập, chống bị ăn cắp thông tin; Hệ thống trung gian cũng phải thiết lập những hệ thống an ninh, an toàn cho hoạt động. Cuối cùng những hệ thống cung cấp dịch vụ cũng cần được đánh giá về an toàn, an ninh thường xuyên, định kỳ bởi đơn vị độc lập.
Theo TS Võ Văn Khang, Phó chủ tịch Chi hội An toàn thông tin phía nam, quy định cấm mua bán, tiết lộ thông tin cá nhân của người khác cũng như các doanh nghiệp phải bảo mật thông tin khách hàng. Tuy nhiên việc chế tài, xử phạt lại chưa nghiêm nên thông tin của người dùng bị lộ, bị rò rỉ và rao bán thường xuyên nhưng chưa có trường hợp nào bị xử lý.
Trong khi đó, quy định bồi thường nếu doanh nghiệp để lộ thông tin khách hàng cũng có nhưng khách hàng rất khó chứng minh thiệt hại. Vì vậy ở Việt Nam hầu như cũng chưa có trường hợp nào khách hàng được bồi thường. Trong khi ở nhiều nước phát triển quy định này đã được áp dụng từ lâu.
Ví dụ, tháng 9.2014, nước Mỹ chấn động khi 56 triệu số thẻ tín dụng đã bị lấy cắp từ hệ thống của chuỗi bán lẻ đồ gia dụng, vật liệu xây dựng Home Depot. Ngoài ra, hơn 53 triệu địa chỉ email của khách hàng cũng bị hacker nắm giữ. Sau khi bị kiện ra tòa, năm 2016 và 2017, Home Depot đã bồi thường cho những khách hàng bị ảnh hưởng cùng các công ty thẻ tín dụng và ngân hàng lên đến 179 triệu USD. Hay cuối năm 2013, hơn 40 triệu thông tin thẻ tín dụng và thông tin cá nhân của 70 triệu khách hàng mua sắm tại hệ thống siêu thị Target bị tin tặc đánh cắp và tập đoàn này cũng phải chi 18,5 triệu USD để bồi thường…

Khó lường hết nguy hại

Ông Võ Đỗ Thắng, Giám đốc Trung tâm an ninh mạng Athena, dẫn ví dụ ở nhiều nước châu Âu, chính phủ đã đưa ra quy định cụ thể về bảo vệ quyền riêng tư của khách hàng, trong đó yêu cầu các doanh nghiệp phải mã hóa dữ liệu thông tin cá nhân. Nếu doanh nghiệp nào không thực hiện điều này thì có thể không được phép hoạt động. Khi dữ liệu đã được mã hóa và trường hợp bị đánh cắp thì người bên ngoài cũng khó biết được nội dung cụ thể. Nhưng ở Việt Nam, hiện chưa có quy định chi tiết về điều này nên dữ liệu dễ dàng bị rò rỉ, mua bán. Vì vậy cần phải bổ sung thêm quy định tương tự.
TS Võ Văn Khang cũng nhấn mạnh hiện nay thông tin cá nhân ở Việt Nam dù chưa được khai thác sâu nhưng sẽ rất nguy hiểm khi bị kẻ xấu lợi dụng. Chẳng hạn chỉ cần biết số điện thoại, địa chỉ email thì nhiều kẻ xấu đã có thể sử dụng để giả mạo cuộc gọi lừa đảo giả danh công an, viện kiểm sát để yêu cầu nộp tiền mà ngành công an đã nhiều lần cảnh báo. Hay chỉ cần bị lộ tài khoản Facebook thì những cuộc gọi, tin nhắn lừa đảo cho người thân, bạn bè trong danh sách này để mượn tiền, lừa hàng trăm triệu đồng. Thậm chí kẻ xấu có thể sử dụng các thông tin cá nhân để đe dọa, tống tiền người thân, gia đình.
“Bản thân người dùng cần nâng cao ý thức bảo vệ thông tin của mình. Khi cung cấp thông tin cho một đơn vị nào khác thì phải biết rõ sử dụng cho mục đích gì. Cung cấp những thông tin nào là phù hợp. Quan trọng hơn là Chính phủ cần phải nâng cao mức chế tài, xử phạt cá nhân và tổ chức nếu để lộ thông tin hay mua bán dữ liệu cá nhân. Đồng thời yêu cầu doanh nghiệp phải tăng cường đầu tư cho hệ thống bảo mật, an toàn an ninh mạng trong hoạt động, theo đúng trách nhiệm là bảo vệ bí mật thông tin của người dùng”, TS Võ Văn Khang chia sẻ thêm.
Cần quy định cụ thể hơn về trách nhiệm của các doanh nghiệp, nhà cung cấp dịch vụ. Bởi khi bị hacker tấn công, nhiều doanh nghiệp đều cho rằng mình cũng là nạn nhân nên bỏ qua chuyện bồi thường cho khách hàng. Tuy nhiên, doanh nghiệp phải có trách nhiệm bảo vệ thông tin khách hàng nên phải tăng cường đầu tư cho hệ thống bảo mật, an ninh mạng để hạn chế thấp nhất việc bị tấn công hay bị rò rỉ dữ liệu. Thậm chí, Chính phủ cần có quy định doanh nghiệp phải áp dụng chính sách bảo mật theo một tiêu chuẩn nhất định để đảm bảo quyền lợi cho người tiêu dùng.
Ông Nguyễn Minh Đức (Giám đốc Công ty bảo mật CyRadar)
MAI PHƯƠNG – THANH XUÂN
TNO