Tên tuổi, địa chỉ nhà… phơi bày công khai
Sự việc bắt nguồn từ ngày 13.5, trên diễn đàn RaidForums – một địa chỉ quen thuộc của giới tin tặc – tài khoản tên Ox1337xO đã đăng bài
rao bán tệp tin 17 GB dữ liệu chứa ảnh chụp chứng minh nhân dân (CMND), căn cước công dân (CCCD), ảnh và video của khoảng 10.000
người Việt Nam. Tài khoản này đưa giá bán 9.000 USD và yêu cầu người mua phải thanh toán bằng đồng bitcoin hay litecoin.
Trong bài đăng, tài khoản Ox1337xO đã chia sẻ hình ảnh minh họa về dữ liệu mà tin tặc này đang nắm giữ, trong đó chứa nhiều thông tin cá nhân như họ tên, số điện thoại, địa chỉ, ảnh chụp CMND, sổ hộ khẩu… và cho biết dữ liệu được lấy từ nguồn Pi Network. Trước đó, vào ngày 9.5, tài khoản này còn rao bán một cơ sở dữ liệu khác có dung lượng 4 GB gồm ảnh chụp CMND và thông tin cá nhân của khoảng 3.600 người tại Việt Nam.
Tất cả những dịch vụ yêu cầu người dùng xác thực bằng phương pháp chụp hình CMND, CCCD đều có khả năng là nguồn rò rỉ thông tin ra bên ngoài. Hacker có thể xâm nhập vào chính hệ thống các đơn vị này để lấy thông tin của người dùng. Vì vậy, trách nhiệm bảo mật thông tin khách hàng là của các công ty, doanh nghiệp cung cấp dịch vụ có yêu cầu xác thực bằng CMND.
Ông Võ Đỗ Thắng (Giám đốc Trung tâm đào tạo an ninh mạng Athena)
Việc rao bán dữ liệu khách hàng như số điện thoại, địa chỉ email… từng được nhiều thành viên trên diễn đàn này đưa ra, nhưng có lẽ đây là vụ rao bán thông tin hình ảnh CMND, CCCD lớn nhất tại Việt Nam. Trung tâm giám sát an toàn không gian mạng quốc gia (NCSC) cho biết các đơn vị chức năng đang tiến hành xác minh dữ liệu để đánh giá mức độ và nguồn lộ thông tin. Qua cấu trúc dữ liệu, đơn vị này nhận định chúng có thể xuất phát từ những dịch vụ có yêu cầu cung cấp thông tin KYC (bao gồm họ tên, địa chỉ, số điện thoại, ảnh chụp hai mặt CMND/CCCD), như dịch vụ cho vay tiền trực tuyến, dịch vụ tài khoản tiền ảo. Hiện Bộ Công an cũng đang vào cuộc xác minh thông tin liên quan vụ việc trên. Nguồn lộ ra có thể từ rất nhiều nơi vì hiện có nhiều dịch vụ yêu cầu người dân cung cấp giấy tờ cá nhân, CMND.
Trên thực tế, rất nhiều dịch vụ, ứng dụng yêu cầu người dùng phải chụp ảnh CMND, CCCD hay hộ chiếu hai mặt nếu muốn tham gia. Chẳng hạn, để mở tài khoản giao dịch trên sàn tiền số Remitano, người dùng phải thực hiện các bước để hoàn tất xác minh tài khoản là tải ảnh người dùng có thể là CMND, hộ chiếu hoặc giấy phép lái xe. Đặt những giấy tờ này trên tờ giấy có dòng chữ “Mua tiền điện tử trên remitano.com
[email protected]” và nhập mã xác minh rồi chụp lại. Bước cuối cùng là ảnh nhà đầu tư được đưa lên ngang với 1 tờ giấy có nội dung “Mua tiền điện tử trên remitano.com
[email protected]”. Hình ảnh phải rõ ràng, có thể nhìn thấy nội dung của tài liệu thì sẽ được chấp nhận. Hoặc các
app cho vay tiền trên mạng như doctordong.Việt Nam, Cashwagon, Tamo.Việt Nam…; các ví điện tử theo yêu cầu xác thực tài khoản theo quy định của Ngân hàng Nhà nước cũng phải làm động tác tương tự. Rồi các sàn giao dịch tiền số phổ biến mà
người Việt có thể tham gia như Binance, Bittrex, Houbi, Kucoin… cũng yêu cầu người dùng xác thực bằng hình chụp CMND, CCCD hoặc hộ chiếu.
Mất tiền vì bị giả tài khoản, vay vốn
Dữ liệu từ CMND, CCCD là vô cùng quan trọng vì bao gồm thông tin chi tiết từ tên, địa chỉ nhà, ảnh thật và được sử dụng trong toàn bộ hoạt động hiện nay. Một khi bị rơi vào tay kẻ khác có thể bị lấy để đăng ký tài khoản viễn thông, vay vốn ở các công ty
tài chính, vay qua mạng hay thậm chí bị lấy luôn tài khoản ngân hàng. Chẳng hạn cuối tháng 3 vừa qua, Công an TP.HCM đã bắt 3 bị can trong đường dây sử dụng CMND giả người khác đến ngân hàng để mở tài khoản mới và yêu cầu chuyển tiền từ tài khoản cũ sang tài khoản mới này. Hay nhiều người cũng phản ánh dù không liên hệ, không vay nhưng bỗng nhiên phát hiện mình đang có khoản nợ vay tại công ty tài chính. Sau đó qua xác minh, đối chiếu với công ty tài chính thì phát hiện đó là những hồ sơ bị một số kẻ xấu làm giả CMND, hoặc sử dụng CMND cũ bị thất lạc của người khác để đi vay…
Theo ông Ngô Tuấn Anh – Phó chủ tịch Tập đoàn Bkav, trước đây những thông tin cá nhân được yêu cầu cung cấp chỉ là email, điện thoại. Nhưng hiện nay, rất nhiều dịch vụ thường yêu cầu nhà đầu tư tạo tài khoản và cung cấp thông tin định danh sinh trắc học như hình ảnh, ảnh chụp CMND, CCCD, thông tin định danh qua video… Rủi ro ở chỗ người dân cung cấp những thông tin này cho một đơn vị không đáng tin cậy, nên có thể bị mạo danh đăng ký các dịch vụ như vay mượn, giao dịch. Như vậy người bị lấy trộm thông tin bỗng dưng mang nợ vào thân và những rắc rối pháp lý khác.
Bên cạnh đó, cũng không loại trừ khả năng một số sàn giao dịch tiền ảo, ngoại tệ trái phép yêu cầu nhà đầu tư chụp ảnh để chứng minh nhưng lại khai thác dữ liệu và bán cho bên thứ ba. Do các sàn giao dịch này không được pháp luật thừa nhận, nên người dùng chia sẻ thông tin cá nhân phải tự chịu rủi ro.
Ông Ngô Tuấn Anh cảnh báo: Khi người dân tham gia vào một ứng dụng nào đó thì mọi thông tin cung cấp đều có khả năng bị lộ. Do đó người dùng cần lưu ý khi chấp nhận chia sẻ các thông tin về cá nhân, đặc biệt là các thông tin định danh điện tử.