Người dùng đối mặt nguy cơ gì khi bị lộ dữ liệu thông tin?
Chánh Trung
(KTSG Online) - Vụ việc 17 GB dữ liệu là thông tin cá nhân của người Việt Nam bị tin tặc (hacker) rao bán trên mạng đang gây ra nỗi lo lắng, bất an cho người dùng, bao gồm cả các cá nhân, tổ chức và doanh nghiệp, bởi họ phải đối mặt với những hậu quả khó lường. Chuyên gia an ninh mạng cho rằng các tổ chức tài chính, ví điện tử, ngân hàng… cần xem xét lại toàn bộ quy trình triển khai, bảo vệ, bảo mật dữ liệu xác thực nhân thân (KYC).
Dữ liệu cá nhân hàng ngàn người Việt bị rao bán trên mạng
Dữ liệu người dùng đang là "miếng mồi ngon" với hacker. Đồ họa: Thu Trang |
Có thể bị lãnh "nợ trên trời rơi xuống" vì lộ thông tin KYC
Vào ngày 13-5 vừa qua. trên diễn đàn RaidForums - một diễn đàn của hacker chuyên rao bán dữ liệu - xuất hiện bài viết của thành viên Ox1337xO rao bán 17 GB dữ liệu chứa ảnh chụp chứng minh nhân dân, căn cước công dân (mặt trước, mặt sau), ảnh/video selfie, đi kèm địa chỉ, số điện thoại và email của gần 10.000 người Việt Nam.
Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC - Bộ Thông tin và Truyền thông) nhận định, dữ liệu này xuất phát từ việc người dùng đăng ký sử dụng các dịch vụ có yêu cầu cung cấp thông tin KYC (bao gồm họ tên, địa chỉ, số điện thoại, ảnh chụp hai mặt của thẻ chứng minh nhân dân/thẻ căn cước công dân) như dịch vụ cho vay tiền trực tuyến, dịch vụ tài khoản tiền ảo…
Ông Ngô Tấn Vũ Khanh, Giám đốc quốc gia hãng bảo mật Kaspersky tại Việt Nam cho biết: “Một số ứng dụng P2P Lending (ứng dụng cho vay tiền dành cho cá nhân hoặc doanh nghiệp thông qua các dịch vụ trực tuyến phù hợp với người cho vay với người vay) của các công ty công nghệ tài chính (Fintech) có hệ thống KYC khá đơn giản; có thể chấp nhận các khoản vay mà khách hàng chỉ cần cung cấp thẻ chứng minh nhân dân (CMND) qua mạng và trả lời một số câu hỏi. Như vậy nếu các dữ liệu cá nhân của người dùng rơi vào tay kẻ xấu thì sẽ bị lợi dụng để đi vay tiền trực tuyến khắp nơi, và người bị đánh cắp thông tin cá nhân sẽ bị một khoản nợ "trên trời rơi xuống". Đây là một trong những ví dụ tiêu biểu cho việc người dùng mất thông tin cá nhân, mất CMND, mất hộ chiếu (Passport) sẽ bị lợi dụng như thế nào”.
Dữ liệu KYC có thể bị đánh cắp từ các nguồn nào?
Khi vụ việc lộ 17 GB dữ liệu diễn ra, giới chuyên gia cho rằng có thể thông tin bị lộ đến từ các sàn giao dịch ngoại hối ảo (Forex), sàn tiền ảo, thậm chí không loại trừ khả năng các tổ chức tài chính, ví điện tử, ngân hàng đã bị hacker tấn công đánh cắp dữ liệu.
Theo các chuyên gia hiện nay nhiều sàn Forex, sàn tiền ảo yêu cầu người dùng eKYC (định danh điện tử) là rất nhiều. Những sàn này nếu là sàn lừa đảo thì có thể bán dữ liệu người dùng cho kẻ xấu mà người dùng không hề hay biết. Hoặc các sàn này bảo mật yếu kém cũng có thể bị hacker lấy dữ liệu dễ dàng. Nhiều vụ sập sàn Forex vừa được cơ quan Công an triệt phá những ngày qua cho thấy nguy cơ các thông tin lộ lọt từ những nơi này là rất lớn.
Bài viết rao bán dữ liệu của hacker (hiện đã bị xóa) trên diễn đàn RaidForums đã khiến nhiều người không khỏi lo lắng. Ảnh chụp màn hình: Chánh Trung |
Bên cạnh đó, nhiều người cũng cho rằng nguy cơ các ngân hàng, tổ chức tài chính, ví điện tử bị lộ lọt dữ liệu cũng cần phải được xem xét đến bởi hạ tầng công nghệ bảo mật tại Việt Nam hiện nay vẫn còn kém. Thực tế Thông tư 16/2020/TT-NHNN của Ngân hàng nhà nước (NHNN) đã đưa ra một số giải pháp để quản lý rủi ro khi triển khai eKYC.
Ngoài yêu cầu phải hậu kiểm, NHNN còn bắt buộc các ngân hàng thương mại, ví điện tử, tổ chức tài chính… khi triển khai eKYC phải đáp ứng một số yêu cầu tối thiểu về mặt công nghệ và bảo mật. Bên cạnh đó, phải xây dựng quy trình quản lý, kiểm soát, đánh giá rủi ro, phải lưu trữ, bảo quản đầy đủ, chi tiết theo thời gian đối với các thông tin, dữ liệu nhận biết khách hàng trong quá trình khách hàng mở, sử dụng tài khoản thanh toán.
Tuy nhiên, những rủi ro khi áp dụng eKYC với ngân hàng, ví điện tử, tổ chức tài chính vẫn còn khá lớn. Ông Ngô Tấn Vũ Khanh nhận định: “Cơ sở dữ liệu mà eKYC ghi nhận vào hệ thống rất quan trọng và ảnh hưởng rất lớn đối với quyền riêng tư cá nhân nếu không được sử dụng đúng luật và được sự chấp nhận của thị trường. Bên cạnh đó cũng cần xem xét vấn đề xây dựng hành lang pháp lý cho eKYC. Để có thể triển khai tốt được eKYC và tránh những rủi ro có thể phát sinh, tôi cho rằng nên tiếp tục nghiên cứu cho phép áp dụng thí điểm eKYC giới hạn ở một số hoạt động, dịch vụ nhất định, từ đó có những đánh giá toàn diện, rút kinh nghiệm trước khi triển khai rộng rãi”.
Theo các chuyên gia của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), người dùng chỉ nên sử dụng dịch vụ KYC của các tổ chức uy tín, đã được tín nhiệm tại Việt Nam. Tránh cung cấp thông tin cá nhân, KYC cho dịch vụ của các tổ chức chưa được xác nhận, đánh giá tín nhiệm một cách rõ ràng như hệ thống app cho vay, tiền ảo,… Không cung cấp thông tin cá nhân khi chưa biết rõ về tổ chức yêu cầu cung cấp cũng như mục đích của việc cung cấp thông tin cá nhân.
Làm gì để tự bảo vệ khi thông tin KYC bị lộ?
Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) khuyến nghị mỗi cá nhân để không bị đối tượng xấu lợi dụng hoặc trở thành nạn nhân của các cuộc tấn công lừa đảo, cần trang bị kiến thức tốt để phòng tránh các tình huống lừa đảo có thể xảy ra. Theo đó, người dùng có thể lường trước một số kịch bản lừa đảo có thể xảy ra đối với mình và người thân, sẵn sàng thông báo cho cơ quan chức năng gần nhất khi có những cuộc gọi, thư điện tử khả nghi gửi đến.
NCSC cũng khuyến cáo người dùng nên đảm bảo an toàn cho các tài khoản trực tuyến như tài khoản ngân hàng, ví điện tử, thư điện tử, Facebook... đặc biệt với tài khoản có chức năng thanh toán trực tuyến, chỉ mở tính năng này khi cần sử dụng. Người dùng nên cập nhật cho đơn vị cung cấp dịch vụ nếu số điện thoại đang gắn với các tài khoản ngân hàng, ví điện tử... không được sử dụng nữa.
Theo các chuyên gia an ninh mạng, việc bảo vệ dữ liệu người dùng đang là vấn đề cần được phối hợp từ nhiều phía, và ngăn chặn rò rỉ dữ liệu cũng yêu cầu nỗ lực từ chính người dùng bị ảnh hưởng. Ngoài việc thay đổi mật khẩu và sử dụng giải pháp diệt virus hiệu quả, biết cách phản ứng khi thông tin cá nhân bị đánh cắp sẽ giúp người dùng ngăn chặn tội phạm mạng khai thác thông tin trong tương lai.
Ngay khi phát hiện truy cập đáng ngờ vào tài khoản, người dùng nên liên hệ ngay với nhà cung cấp dịch vụ để miễn trừ trách nhiệm khi có sự cố xảy ra. Trong trường hợp này, khi dữ liệu cá nhân xuất hiện công khai một cách không mong muốn, người dùng có thể phòng tránh những hậu quả về lâu dài sau khi thông tin cá nhân bị đánh cắp bằng cách giám sát hoạt động tài chính của bản thân vì đây vẫn là lĩnh vực tội phạm mạng quan tâm.
Xử phạt 50-70 triệu đồng với doanh nghiệp bán thông tin cá nhân Cá nhân, tổ chức có hành vi thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác (sử dụng dịch vụ viễn thông) mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật có thể bị xử phạt từ 10-20 triệu đồng theo Điểm e, Khoản 3, Điều 102 Nghị định 15/2020/NĐ-CP. Đối với trường hợp doanh nghiệp và cá nhân, tổ chức khác mua bán hoặc trao đổi trái phép thông tin người sử dụng dịch vụ viễn thông thì có thể bị xử phạt 50-70 triệu đồng theo Khoản 5, Điều 102 Nghị định 15/2020/NĐ-CP. Doanh nghiệp, đơn vị, cá nhân có hành vi mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó thì bị phạt tù mức cao nhất đến 7 năm về tội danh “tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” theo Điều 288 Bộ luật hình sự 2015. |