Khoảng 10.000 thông tin người dùng bị rao bán

Mới đây, trên diễn đàn R***forums, tài khoản Ox1337xO - hacker đã rao bán các dữ liệu cá nhân của khoảng 10.000 người dùng Việt Nam.

Các dữ liệu này bao gồm 5 tập hợp file dữ liệu khác nhau. Tiêu đề của các file dữ liệu bao gồm nhiều từ khóa nhạy cảm như “xac-minh-kyc”, “Idenfity_card_and_selfie_vietnam”. Các file đó được cho là các thông tin nhằm xác thực danh tính của một người dùng cụ thể, bao gồm tên, ngày sinh, ảnh đại diện, địa chỉ, email, số điện thoại, số chứng minh nhân dân (CMND), ảnh CMND mặt sau và mặt trước.

Trước đó, những dữ liệu này từng được hacker rao bán với giá 9.000 USD và thanh toán bằng một trong 2 loại tiền ảo là Bitcoin, Litecoin (LTC) hoặc qua trung gian là một thành viên khác trên diễn đàn của giới tội phạm mạng.

Bên cạnh vụ việc này, trên các diễn đàn Internet, nhiều dữ liệu người dùng được rao bán như Gói dữ liệu 15 triệu thông tin người dùng Việt Nam (họ tên, địa chỉ email, số điện thoại di động); Gói dữ liệu 2,8 triệu doanh nghiệp Việt Nam (tên gọi, tên đầy đủ, mã số thuế, số điện thoại, người đại diện pháp luật, số đăng ký, hoạt động kinh doanh, địa chỉ); Gói dữ liệu 8,38 triệu công dân Việt Nam (CMND, CCCD, họ tên, ngày sinh, số điện thoại, địa chỉ đầy đủ, công việc); Gói gần 400.000 mật khẩu email của người dùng Việt; Gói thông tin "đã xác thực" hơn 55.000 người Việt vay tiêu dùng (ngoài thông tin cá nhân, còn có thông tin về tình trạng hôn nhân, có con cái hay chưa, người thân, việc làm, địa chỉ Facebook, tài khoản ngân hàng)…

Đại diện Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) cho biết: "Qua kiểm tra, đánh giá bước đầu, dữ liệu có thể bao gồm thông tin của khoảng 10.000 người dùng. Với cấu trúc dữ liệu rao bán, có thể thấy, dữ liệu này xuất phát từ việc người dùng đăng ký sử dụng các dịch vụ có yêu cầu cung cấp thông tin KYC (bao gồm họ tên, địa chỉ, số điện thoại, ảnh chụp hai mặt CMND/CCCD) như dịch vụ cho vay tiền trực tuyến, dịch vụ tài khoản tiền ảo… Tới thời điểm hiện tại, các đơn vị chức năng đang tiến hành xác minh dữ liệu để đánh giá mức độ và nguồn lộ lọt thông tin".

Đến thời điểm hiện tại, tài khoản rao bán trên đã gỡ hết các thông tin, nhưng nỗi lo lắng, hoang mang vẫn bao trùm, bởi không ai dám chắc thông tin của mình có được an toàn hay không.

Ứng xử với việc bị bán thông tin

Theo đánh giá của ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav, có khoảng 17 GB dữ liệu rao bán, gồm cả các video KYC. Vì file video có dung lượng lớn, nên số lượng tài khoản người dùng bị lộ thông tin (nếu có) là không quá nhiều. Mặt khác, trong thông tin của chính đối tượng rao bán, đây chỉ là dữ liệu của một ứng dụng tiền ảo PI. Điều này càng khẳng định, lượng thông tin CMND của người dùng bị lộ không nhiều.

“Việc tài khoản Ox1337xO yêu cầu giao dịch qua BTC hoặc ETH ẩn danh cộng thêm yếu tố Ox1337xO là thành viên mới của diễn đàn R***forums, nên rất có thể, việc mua bán dữ liệu người dùng này là một vụ lừa đảo”, ông Tuấn Anh nhận định.

Còn theo ông Ngô Trần Vũ, Giám đốc điều hành NTS Security, dữ liệu công dân do hacker đưa ra chưa xác thực về nội dung và nguồn gốc của thông tin đó. Có thể, đây chỉ là chiêu trò tìm kiếm khách hàng của hacker để làm những phi vụ lớn hơn. Dữ liệu cá nhân thông thường không gây nguy hiểm nếu bị mất vào các mục đích quảng cáo, nhưng nếu thông tin rơi vào tay các nhóm lừa đảo giả dạng công an, thì có thể làm nhiều người bị mắc lừa.

Còn theo nhận định của ông Nguyễn Minh Đức, Giám đốc Công ty an ninh mạng CyRadar, vụ rò rỉ thông tin nêu trên có thể không phải từ một cá nhân, mà là từ một công ty cung cấp dịch vụ có lưu CMND. Trong gói dữ liệu rao bán có một thư mục tên là KYC, nên cũng có khả năng, các tổ chức thuê một công ty phần mềm viết cho mình giải pháp KYC. Khi đó, công ty phải chuyển một phần dữ liệu khách hàng cho các công ty phần mềm. Việc trao đổi dữ liệu của khách hàng với bên thứ ba lại chưa được chuẩn hóa, nên hoàn toàn có khả năng bị lộ.

Bkav khuyến cáo, đối với các dịch vụ eKYC của ngân hàng, chứng khoán, nếu lộ các thông tin này, thì có khả năng bị mạo danh đăng ký tài khoản và thực hiện những hoạt động vi phạm pháp luật, khi đó chính chủ sẽ phải xử lý rắc rối phát sinh. Vì thế, người dùng chỉ nên chia sẻ thông tin cá nhân như CMND, căn cước công dân… và đặc biệt là thông tin sinh trắc học như ảnh chụp, video định danh KYC với các dịch vụ tin cậy.

NCSC cũng khuyến cáo người dân lường trước các kịch bản lừa đảo có thể xảy ra đối với mình và người thân, sẵn sàng thông báo cho cơ quan chức năng gần nhất khi có những cuộc gọi, thư điện tử nghi ngờ gửi đến cho bạn và người thân.

Đặc biệt, các chuyên gia khuyến cáo người dùng không cung cấp thông tin cá nhân khi chưa biết rõ về tổ chức yêu cầu cung cấp, mục đích của việc cung cấp thông tin cá nhân là gì. Ngoài ra, đối với các tổ chức cung cấp các dịch vụ trực tuyến cũng cần nghiêm túc thực hiện rà soát lại hệ thống để đảm bảo dịch vụ, sản phẩm cung cấp cho khách hàng được bảo đảm an toàn thông tin.