(KTSG) – Nhà cung cấp mạng di động và ngân hàng là hai nhóm doanh nghiệp đi đầu trong ứng dụng công nghệ số, đặc biệt là trong an ninh mạng, bảo vệ dữ liệu khách hàng và quản trị nội bộ. Thế nhưng, qua một số vụ việc gần đây liên quan đến nhà mạng và ngân hàng, khách hàng bắt đầu lo ngại.
- SIM rác có dấu hiệu trở lại, nhà mạng xiết chặt khâu kích hoạt thuê bao
- Nhà mạng để phát sinh SIM rác sẽ bị cấm phát triển thuê bao
Từ buôn bán thông tin thuê bao di động…
Chỉ qua một vụ án vừa được đưa ra xét xử, khách hàng của các công ty điện thoại di động không khỏi lo lắng vì dữ liệu cá nhân của mình bị mua bán dễ dàng như mớ rau, con cá ngoài chợ.
Trong phiên tòa hồi giữa tháng 3 này, Tòa án nhân dân thành phố Hà Nội tuyên phạt một bị cáo nguyên là phó trung tâm an ninh mạng (tạm gọi là A) của một nhà mạng điện thoại di động 30 tháng tù về tội “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”. Bị cáo này đã lợi dụng quyền quản trị được cấp để lấy thông tin liên quan đến số điện thoại di động như định vị điện thoại, lịch sử cuộc gọi… để đem bán cho các công ty làm dịch vụ thám tử(1).
Nhưng vấn đề không chỉ có vậy. Theo cáo trạng, ngoài thông tin do mình quản lý, bị cáo A mua thông tin tương tự của hai nhà mạng khác và bán lại, hưởng lợi bất chính hơn 2,7 tỉ đồng.
Hệ thống kiểm soát nội bộ của các nhà mạng rõ ràng là có vấn đề vì trong suốt mấy năm không phát hiện được công văn yêu cầu của công an là giả.
Người mua (tạm gọi là B) lại nguyên là cán bộ cảnh sát hình sự thuộc công an quận Long Biên (Hà Nội). Bị cáo B bị tòa tuyên tổng mức án 6 năm tù về các tội “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông và làm giả tài liệu của cơ quan, tổ chức”.
Bị cáo B đã làm giả 142 công văn lấy danh nghĩa cơ quan cảnh sát điều tra gửi các nhà mạng di động để thu thập dữ liệu của hơn 1.000 số điện thoại, sau đó bán lại cho bị cáo A, hưởng lợi bất chính số tiền 254 triệu đồng.
Vấn đề đáng giật mình là ở chỗ, hành vi mua bán, trao đổi trái phép thông tin riêng của thuê bao điện thoại của các bị cáo diễn ra trong một thời gian khá dài, từ năm từ 2019 đến khi bị phát hiện vào năm 2021.
Hệ thống kiểm soát nội bộ của các nhà mạng rõ ràng là có vấn đề vì trong suốt mấy năm không phát hiện được công văn yêu cầu của công an là giả.
Khách hàng của nhà mạng có quyền đặt câu hỏi: việc cung cấp những thông tin bí mật cá nhân sao lại có thể dễ đến như vậy? Liệu còn những vụ việc tương tự nhưng chưa bị phát hiện hay không? Nhà mạng đã làm gì để bịt những lỗ hổng như vậy?
…đến “lò ấp sim rác”
Cách nay 5 năm, trong bài “Tết này sạch bóng SIM rác” trên báo Quân đội Nhân dân dẫn số liệu từ một hội nghị của Bộ Thông tin và Truyền thông (Bộ TT-TT) cho biết, tính đến ngày 15-1-2017, tổng số sim có dấu hiệu kích hoạt sẵn bị phát hiện là 17 triệu. Trong số này, số bị khóa là gần 16 triệu sim và số sai thông tin phải đi đăng ký lại khoảng 1 triệu sim.
Thế nhưng, chỉ một thời gian không lâu sau cuộc “tổng vệ sinh” này, “sim rác” lại mọc ra như nấm sau cơn mưa. Đến cuối năm 2020, thông tin từ Bộ TT-TT ghi nhận đang có đến 6,8 triệu “sim rác” đang hoạt động. Mới đây nhất, trong đợt tổng rà soát tháng 3-2023, Bộ TT-TT cho biết vẫn còn hơn 3,5 thuê bao có thông tin chưa chính xác.
Khách hàng của nhà mạng có quyền đặt câu hỏi: việc cung cấp những thông tin bí mật cá nhân sao lại có thể dễ đến như vậy? Liệu còn những vụ việc tương tự nhưng chưa bị phát hiện hay không? Nhà mạng đã làm gì để bịt những lỗ hổng như vậy?
Bất chấp việc cơ quan quản lý xử phạt, liên tục gửi công văn nhắc nhở nhà mạng trong những năm qua, “sim rác” vẫn tràn lan và phải tính bằng con số hàng triệu. Trong khi không ít thuê bao chính chủ của nhà mạng lại đang phải khổ sở vì tự nhiên sai thông tin và việc cập nhật lại hết sức tốn công.
Tại sao hệ thống quản lý dữ liệu khách hàng của nhà mạng lại sai lệch khiến thuê bao chính chủ phải mất công sức chứng minh? Sau lần tổng rà soát trong tháng 3 này, lỗ hổng trong hệ thống quản lý dữ liệu khách hàng các nhà mạng có được “vá” một cách dứt điểm hay không hay lại tái diễn cảnh “sim rác” lại sinh sôi nảy nở trở lại như những lần trước.
Giao dịch ngân hàng đáng ngờ nhưng vẫn trót lọt
Hồi năm ngoái, một khách hàng bị mất hơn 46 tỉ đồng trong tài khoản mở tại phòng giao dịch một ngân hàng ở tỉnh Khánh Hòa. Sau một năm khiếu nại và không được ngân hàng trả lại tiền, mới đây chủ nhân tài khoản này đã gửi đơn cầu cứu lên Bộ Công an.
Kết quả điều tra bước đầu của vụ việc này xác định, năm 2022, phó phòng giao dịch nơi xảy ra vụ mất tiền đã chỉ đạo thủ quỹ và hai nhân viên phòng tự ý sử dụng thông tin khách hàng (số tài khoản, số thẻ tiết kiệm) đã làm chứng từ khống chiếm đoạt số tiền lớn của ngân hàng và khách hàng, trong đó có khách hàng nói trên.
Có thể thấy những dấu hiệu báo động đã bị hệ thống quản trị ngân hàng này bỏ qua hoặc không ghi nhận và phát hiện được.
Đầu tiên là việc tài khoản này bị tắt thông báo biến động số dư gửi qua tin nhắn SMS. Không rõ quy trình nội bộ của ngân hàng quản lý việc này ra sao nhưng thông thường, với tài khoản có vài chục tỉ đồng, việc hủy bỏ đăng ký dịch vụ báo biến động số dư qua SMS có lẽ cần xem là một dấu hiệu cần kiểm tra.
Tiếp theo là tổng cộng 12 giao dịch gồm 9 giao dịch rút tiền mặt và 3 giao dịch chuyển khoản diễn ra trong hơn một tháng, từ ngày 4-5 đến 14-6-2022, với số tiền 46,9 tỉ đồng lại có dấu hiệu bất thường là tất cả giao dịch đều diễn ra ngoài giờ hành chính, trong khoảng thời gian từ 18 đến 21 giờ.
Đáng tiếc là, những dấu hiệu này đã bị bỏ qua nên việc rút tiền diễn ra trót lọt trong một thời gian dài. Trong trường hợp này, làm sao khách hàng có thể phát hiện khi cả nhóm nhân viên ngân hàng cùng thông đồng làm sai và tắt luôn cả tin nhắn thông báo biến động tài khoản.
Công nghệ dù hiện đại tới đâu thì vẫn do con người vận hành. Vì vậy, một chức năng quan trọng không thể thiếu trong các hệ thống là những chiếc “bẫy lỗi” dùng để ghi nhận và báo động những hoạt động có dấu hiệu nghi vấn. Một hệ thống có chức năng cảnh báo sớm vừa giúp doanh nghiệp bảo vệ chính mình lẫn khách hàng, vừa tránh được những thiệt hại, phiền toái cho cả hai bên.
