Có tiền… là có dữ liệu
Lên mạng chỉ cần gõ tìm kiếm "danh sách khách hàng" bằng Google, sẽ có hàng triệu kết quả hiện ra với hàng loạt địa chỉ rao bán như: danhsachkhachhang, datakhachhang, danhsachmoi, fulldata... Và hầu hết các trang web này đều cung cấp 2 loại dữ liệu khách hàng: miễn phí và có phí.
Dữ liệu miễn phí thì hầu như trang nào cũng có thông tin giống nhau và là những thông tin chung chung về người dùng, không có tính phân loại cụ thể. Dữ liệu thu phí thì hoàn toàn khác, là những thông tin chi tiết của người dùng, có tính phân loại cụ thể theo công việc, sở thích, nơi ở, tình trạng hôn nhân, con cái... và được bổ sung, cập nhật liên tục, có giá bán từ vài trăm nghìn đến hàng triệu đồng, thậm chí hàng chục/trăm triệu đồng tùy theo chất lượng và độ chi tiết của gói dữ liệu.
Việc mua bán diễn ra công khai, người mua và người bán không cần gặp nhau. Chỉ cần có tiền là… có dữ liệu. Thao tác giao dịch đơn giản, người mua chuyển tiền qua ngân hàng cho người bán và nhận lại (hoặc tải xuống) những tập tin chứa đựng danh sách khách hàng.
Thông tin cá nhân của nhiều người Việt Nam bị rao bán trên mạng.
Và, vụ rao bán thông tin CMND/CCCD của gần 10.000 người dân Việt Nam mới đây trên một diễn đàn chuyên mua bán dữ liệu của hacker đã làm xôn xao dư luận.
Theo đó, trên diễn đàn này, tài khoản có tên Ox1337xO cho biết đang sở hữu gói dữ liệu KYC (Know Your Customer) - dữ liệu để xác minh thông tin người dùng, bao gồm các thông tin xác định danh tính người dùng như họ tên, ngày sinh, địa chỉ, email, điện thoại, số chứng minh... kèm theo hình ảnh chân dung, hình chụp mặt trước và sau CMND/CCCD.
Để chứng minh tính xác thực, tài khoản này còn chia sẻ ảnh chụp màn hình một số giấy tờ, sổ hộ khẩu của người Việt Nam và chấp nhận mua bán qua một bên trung gian nếu người mua nghi ngờ.
Giá bán của gói dữ liệu này được rao lúc đầu với mức 9.000 USD (khoảng 207 triệu đồng), sau đó hạ xuống còn 4.300 USD (khoảng 99 triệu đồng). Người bán cũng cho biết chỉ nhận thanh toán bằng hai hình thức là tiền điện tử Bitcoin (0,2 BTC) hay Litecoin (2,8 LTC) hoặc qua người trung gian.
Chia sẻ với phóng viên VOV, Thượng tá Nguyễn Đình Đỗ Thi, Phó Trưởng phòng Tham mưu, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Bộ Công An cho rằng, việc lộ dữ liệu cá nhân là vấn đề lâu nay nhiều người chưa ý thức và chưa lường trước được hậu quả nghiêm trọng của nó. Việc mua bán thông tin cá nhân trên không gian mạng hiện nay cũng đang diễn ra rất phổ biến, công khai, trắng trợn. Thực tế là hiện nay xuất hiện rất nhiều trang Web, chợ rao bán dữ liệu cá nhân trên mạng xã hội. Không khó để tìm kiếm các tệp thông tin khách hàng, được phân loại đa dạng từ cơ bản đến các khách VIP, thuộc rất nhiều lĩnh vực ngành nghề, từ y tế, giáo dục rồi bảo hiểm, du lịch.
Thượng tá Nguyễn Đình Đỗ Thi cũng cho rằng, nhiều người chưa ý thức được việc này và khi biết thông tin của mình bị lộ thì họ cũng thấy điều đó là bình thường, nên ít khi tiến hành khiếu nại, tố giác, do đó cơ quan chức năng cũng không có căn cứ xử lý. Nguyên nhân nữa là mỗi cá nhân cũng khó xác định được vì sao thông tin cá nhân của mình bị lộ. Bởi, đặc điểm của không gian mạng là xuyên biên giới, tính nặc danh rất cao, đi đến đâu có thể xóa dấu vết đến đó.
Vụ việc gần đây đã gióng lên một hồi chuông cảnh báo đối với tất cả mọi người trong việc bảo mật các dữ liệu cá nhân của mình nhằm hạn chế tối đa những rủi ro đáng tiếc có thể xảy ra.
Dữ liệu "lộ" từ đâu?
Việc lộ, lọt các thông tin cá nhân ra ngoài bị rao bán khiến nhiều người không khỏi thắc mắc liệu những thông tin này được lộ ra từ đâu?
Trong thời đại công nghệ số, điện thoại thông minh gần như đã trở thành vật dụng không thể thiếu đối với nhiều người hiện nay. Thiết bị này cho phép người dùng kết nối và thực hiện nhiều hoạt động thiết yếu hàng ngày như cập nhật tin tức, nhắn tin, trao đổi công việc, giao dịch trực tuyến, truy cập các nền tảng mạng xã hội… Tuy nhiên, vấn đề nào cũng luôn có hai mặt, sự phát triển của công nghệ có thể khiến chúng ta dễ bị rò rỉ thông tin hơn bao giờ hết với cả những nguyên nhân khách quan và chủ quan.
Nguyên nhân lộ lọt thông tin cá nhân có thể xuất phát từ chính sự bất cẩn của người dùng và có thể bị hack thông tin cũng như là bị thu thập từ nhiều nguồn khác nhau.
Như vụ gần 10.000 CMND/CCCD được rao bán mới đây, hiện các cơ quan chức năng cũng chưa xác định được rõ là những thông tin này bị lộ ra từ nguồn nào. Theo nhận định của nhiều chuyên gia an ninh mạng, gói dữ liệu KYC được rao bán trên mạng có khả năng được thu thập từ nhiều nguồn khác nhau chứ không phải từ một nơi duy nhất.
Bởi hiện nay có rất nhiều doanh nghiệp (DN), tổ chức lưu đầy đủ thông tin người dùng, không chỉ các ngân hàng, ví điện tử, các dịch vụ tài chính, nhà mạng di động mà cả các ứng dụng gọi xe công nghệ cũng thu thập như thông tin tài xế.
Nhận định về vụ việc, Trung tướng Tô Ân Xô - Chánh Văn phòng, người phát ngôn Bộ Công an cho biết thông tin cá nhân của hàng ngàn người có thể được sử dụng với nhiều mục đích khác nhau, trong đó "không thể không đề phòng những mục đích xấu". Do đó, ngay sau khi nắm bắt thông tin, các đơn vị liên quan của Bộ Công an đã vào cuộc để xác minh, điều tra.
Bên cạnh những nguyên nhân có thể bị lộ ra bởi các hacker hoặc lộ ra từ những cơ quan, tổ chức, DN lưu trữ thông tin cá nhân người dùng, các chuyên gia cũng chỉ ra rằng, ngoài thông tin CCCD/CMND còn rất nhiều thông tin khác hiện đã hoặc có nguy cơ bị rò rỉ. Ví dụ, thông tin số điện thoại, thông tin đăng nhập tài khoản Facebook, Gmail, tài khoản ngân hàng… Trong đó, nguyên nhân lộ lọt những thông tin này chủ yếu xuất phát từ sự bất cẩn và dễ dãi của người dùng trong quá trình tham gia hoạt động trên môi trường không gian mạng.
Trên thực tế, có rất nhiều người chủ quan khi nhận được một cuộc điện thoại nào đó yêu cầu cung cấp các thông tin cá nhân như CMND/CCCD, mã OTP để ngân hàng kiểm tra là họ cũng hồn nhiên cung cấp. Và đương nhiên khi cung cấp là sẽ mất tiền. Tham gia vào thế giới phẳng và kết nối mạng nếu không hiểu biết, bất cứ lúc nào chúng ta cũng có thể trở thành nạn nhân.
Lộ dữ liệu cá nhân nguy hiểm như thế nào?
Việc lộ lọt thông tin cá nhân có thể gây ra nhiều nguy cơ tiềm ẩn. Trước hết là quyền riêng tư của họ đã bị tổn hại ở hiện tại và lâu dài về sau. Bởi lẽ, dữ liệu cá nhân của họ được đưa lên mua bán, trao đổi, nhân bản trên Internet.
Rủi ro về pháp lý, tài chính cũng là vấn đề mà các cá nhân bị lộ thông tin phải đối mặt. Những thông tin trên CMND/CCCD của người dùng có thể được lợi dụng để thực hiện những hành vi liên quan đến tài chính như vay tiền, tín dụng, hoặc giả mạo danh tính, giấy tờ để thực hiện hành vi phạm pháp, gây ảnh hưởng đến người bị lộ thông tin cá nhân.
Ngoài ra, các nạn nhân còn phải đối mặt với nguy cơ bị hacker lợi dụng những thông tin cá nhân bị lộ để tấn công. Chẳng hạn như tấn công bằng hình thức Phishing (lừa đảo): giả mạo cơ quan công an, nhân viên ngân hàng, gọi điện/nhắn tin với thông tin đầy đủ như trên CMND gồm họ tên, ngày sinh, quê quán, cha mẹ, đặc điểm nhận dạng... nhằm lừa đảo chuyển tiền hoặc yêu cầu cung cấp thông tin cá nhân khác để tấn công về sau.
Đối tượng xấu cũng có thể sử dụng các thông tin như họ tên, ngày tháng năm sinh cùng kỹ thuật dò tìm, thu thập thông tin cá nhân khác để tấn công vào tài khoản của người dùng như tài khoản ngân hàng, email, mạng xã hội...
Người dùng cần có trách nhiệm hơn với thông tin của chính mình
Nhận định các thông tin dữ liệu của gần 10.000 người Việt bị lộ lọt có thể sẽ bị các đối tượng xấu lợi dụng vào mục đích lừa đảo, quảng cáo, Trung tâm Giám sát an toàn không gian mạng Quốc gia (NCSC), Cục An toàn thông tin, Bộ TT&TT cũng đã đưa ra cảnh báo khẩn với người dùng.
Qua kiểm tra, đánh giá bước đầu của NCSC, dữ liệu có thể bao gồm thông tin của khoảng 10.000 người dùng. Với cấu trúc dữ liệu rao bán có thể thấy dữ liệu này xuất phát từ việc người dùng đăng ký sử dụng các dịch vụ có yêu cầu cung cấp thông tin KYC (bao gồm họ tên, địa chỉ, số điện thoại, ảnh chụp hai mặt CMND/CCCD) như: dịch vụ cho vay tiền trực tuyến, dịch vụ tài khoản tiền ảo,…
Theo đó, đơn vị này khuyến nghị mỗi cá nhân cần có biện pháp để không bị đối tượng xấu lợi dụng hoặc trở thành nạn nhân của các cuộc tấn công lừa đảo.
Cụ thể như lường trước các kịch bản lừa đảo có thể xảy ra đối với mình và người thân, sẵn sàng thông báo cho cơ quan chức năng gần nhất khi có những cuộc gọi, thư điện tử nghi ngờ gửi đến cho bạn và người thân.
Các cá nhân cần đảm bảo an toàn cho các tài khoản trực tuyến (như tài khoản ngân hàng, ví điện tử, thư điện tử, Facebook…, đặc biệt với tài khoản có chức năng thanh toán trực tuyến, chỉ mở các tính năng này khi cần sử dụng); Đảm bảo số điện thoại đang gắn với các tài khoản ngân hàng, ví điện tử… khi không sử dụng nữa cần thông báo, cập nhật cho đơn vị cung cấp dịch vụ.
Ngoài ra, chỉ nên sử dụng các dịch vụ của các tổ chức uy tín, đã được tín nhiệm tại Việt Nam. Tránh cung cấp thông tin cá nhân, KYC (bao gồm họ tên, địa chỉ, số điện thoại, ảnh chụp hai mặt CMND/CCCD) cho các dịch vụ của các tổ chức chưa được xác nhận, đánh giá tín nhiệm một cách rõ ràng như các hệ thống ứng dụng cho vay, tiền ảo.
Bên cạnh đó, cơ quan chức năng cũng lưu ý người dùng không cung cấp thông tin cá nhân khi chưa biết rõ về tổ chức yêu cầu cung cấp, mục đích của việc cung cấp thông tin cá nhân là gì. Trong khi đó, các tổ chức cung cấp các dịch vụ trực tuyến cũng cần nghiêm túc thực hiện rà soát lại hệ thống để đảm bảo dịch vụ, sản phẩm cung cấp cho khách hàng được bảo đảm an toàn thông tin, tránh các sự việc lộ lọt dữ liệu không đáng có.
Theo ông Yeo Siang Tiong - Tổng Giám đốc Kaspersky Đông Nam Á, hiện nay, rò rỉ dữ liệu đang dần trở nên phổ biến, đặc biệt khi chúng ta ngày càng phụ thuộc vào các bên thứ ba - kéo theo sự gia tăng về nguy cơ bảo mật, chẳng hạn như các vụ rò rỉ gần đây của một hãng hàng không ở Singapore, một công ty viễn thông lớn và công ty bảo mật.
Nắm trong tay thông tin bị rò rỉ, các hacker có thể mạo danh nạn nhân hoặc đánh lừa nạn nhân tiết lộ các thông tin đăng nhập nhạy cảm, do đó, việc người dùng lo ngại khi đối mặt với nguy cơ rò rỉ dữ liệu là điều dễ hiểu.
Trong trường hợp phải đối mặt với việc bị vi phạm dữ liệu, nạn nhân không phải lúc nào cũng "bất lực", thay vào đó, có thể thực hiện các biện pháp để ngăn chặn tình hình xấu đi, nhưng quan trọng là phải nhanh chóng hành động. Việc một tài khoản bị rò rỉ thông tin cũng có thể khiến các tài khoản khác gặp rủi ro, nhất là khi mật khẩu được chia sẻ hoặc các tài khoản thường xuyên giao dịch với nhau.
Tùy thuộc vào loại sự cố, người dùng có thể thực hiện một số biện pháp nhằm giảm hệ lụy do rò rỉ dữ liệu:
Xác định dữ liệu nào có thể đã bị rò rỉ: Việc này giúp bạn hình dung được mức độ nghiêm trọng của tình huống. Chẳng hạn nếu CMND, tên hoặc địa chỉ bị rò rỉ, bạn cần nhanh chóng hành động để đảm bảo danh tính của mình không bị đánh cắp. Điều này nghiêm trọng hơn cả việc làm mất thông tin thẻ tín dụng.
Nếu việc vi phạm có liên quan đến thông tin tài chính: Hãy thông báo cho ngân hàng và tổ chức tài chính bạn có tài khoản, và thay đổi mật khẩu tất cả các tài khoản, bao gồm cả câu hỏi bảo mật và mã PIN. Bạn cũng nên cân nhắc việc khóa tín dụng.
Theo dõi các tài khoản của bạn: Nếu thấy các giao dịch mà bạn nghi ngờ, lập tức kiểm tra và thông báo cho ngân hàng hoặc tổ chức tín dụng.
Cảnh giác với các loại tấn công lừa đảo. Ví dụ, nếu một tên tội phạm truy cập được vào tài khoản của một khách sạn, ngay cả khi không có dữ liệu tài chính, hắn vẫn có thể gọi cho khách hàng hỏi ý kiến phản hồi về lần cư trú gần đây của họ. Sau khi thiết lập mối quan hệ đáng tin cậy sau cuộc gọi, hắn ta có thể đề xuất việc hoàn lại các khoản phí khác nhau và yêu cầu số thẻ của khách hàng nhằm thực hiện giao dịch. Nếu bị thuyết phục, hầu hết khách hàng sẽ không suy nghĩ kỹ về việc cung cấp những thông tin đó.
Tuy rằng phòng bệnh hơn chữa bệnh nhưng không ai có thể miễn nhiễm với rò rỉ dữ liệu hoặc có thể ngăn chặn việc nhà cung cấp dịch vụ bên thứ ba bị tấn công, dù vậy, thói quen bảo mật mạng tích cực sẽ giúp người dùng ít bị tổn hại hơn và "sống sót" sau rò rỉ dữ liệu với ít thiệt hại hơn.
Một cách dễ hiểu, nếu bạn chưa từng mở cửa nhà cả ngày vì lo sợ khả năng có ăn trộm hoặc bất kỳ ai cũng có thể bước vào, hãy hành động tương tự với máy tính và thiết bị của mình. Bảo mật chặt chẽ cho kết nối mạng và dữ liệu cá nhân để hacker không có bất kỳ cơ hội nào xâm nhập vào ngôi nhà của bạn, dù qua cửa sổ hay cửa chính.
Ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky Đông Nam Á, cũng đưa ra khuyến nghị một số biện pháp cụ thể: Sử dụng mật khẩu mạnh, mật khẩu khác nhau cho các tài khoản các nhau; Thay đổi mật khẩu thường xuyên; Sao lưu các tập tin
Bên cạnh đó, cần bảo mật máy tính và các thiết bị khác của bạn bằng các phần mềm chống virus và chống phần mềm độc hại, cẩn thận khi nhấp vào các liên kết, theo dõi bảng sao kê ngân hàng và báo cáo tín dụng.