Hacker rao bán dữ liệu cá nhân người Việt trên diễn đàn quốc tế. |
Người Việt chưa cẩn trọng giữ gìn dữ liệu
Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an (A05) vừa ra quyết định khởi tố vụ án, khởi tố bị can về tội "Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông".
Theo điều tra, 2 bị đối tượng Dư Anh Quý (SN 1988) và vợ là Lại Thị Phương (SN 1992, Giám đốc Công ty VNIT TECH) đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300GB dữ liệu, chứa hàng tỷ thông tin về các cá nhân, tổ chức trên toàn quốc là khách hàng điện lực; phụ huynh, học sinh tại các trường trên cả nước; khách hàng của nhiều ngân hàng, trong đó có các ngân hàng lớn nhất Việt Nam; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng viễn thông lớn nhất Việt Nam; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy trên toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, nha khoa, thời trang, thẩm mỹ viện...
Những dữ liệu này được các đối tượng thu thập từ nhiều nguồn và bằng nhiều phương thức khác nhau, đáng chú ý là lợi dụng quyền quản trị hệ thống thông tin tại một số cơ quan, doanh nghiệp để trích xuất dữ liệu. Trong quá trình điều tra, cảnh sát phát hiện nhiều cá nhân, doanh nghiệp (bảo hiểm, trung tâm ngoại ngữ, bất động sản…) mua dữ liệu với số lượng lớn từ các đối tượng để sử dụng trái phép nhằm thu lợi bất chính.
Gần đây nhất, 17GB dữ liệu thông tin cá nhân về người Việt bị hacker rao bán trên diễn đàn RaidForums – diễn đàn chuyên trao đổi thông tin, mua bán dữ liệu đánh cắp nổi tiếng trong giới hacker. Nhiều dữ liệu khác của người Việt cũng được rao bán như: 400.000 mật khẩu email của người dùng Việt; 15 triệu thông tin người dùng Việt Nam (họ tên, địa chỉ email, số điện thoại di động); 55.000 người Việt vay tiêu dùng (ngoài thông tin cá nhân, còn có thông tin về tình trạng hôn nhân, có con cái hay chưa, người thân, việc làm, địa chỉ Facebook, tài khoản ngân hàng); 2,8 triệu doanh nghiệp Việt Nam (tên gọi, tên đầy đủ, mã số thuế, số điện thoại, người đại diện pháp luật, số đăng ký, hoạt động kinh doanh, địa chỉ); 8,38 triệu công dân Việt Nam (CMND, CCCD, họ tên, ngày sinh, số điện thoại, địa chỉ đầy đủ, công việc);…
Theo nhận định của Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), đánh giá cấu trúc dữ liệu rao bán có thể thấy, dữ liệu này xuất phát từ việc người dùng đăng ký sử dụng các dịch vụ có yêu cầu cung cấp thông tin KYC (bao gồm họ tên, địa chỉ, số điện thoại, ảnh chụp hai mặt CMND/CCCD). Những thông tin KYC thường do người dùng sử dụng dịch vụ cho vay tiền trực tuyến, đầu tư tiền ảo, khai thác tiền ảo…
Việt Nam hiện là một trong những quốc gia có tốc độ phát triển và ứng dụng internet cao nhất thế giới, với số lượng người sử dụng đạt hơn 64 triệu người, chiếm hơn 2/3 dân số, xếp thứ 13 trên thế giới về số người dùng, trong đó có 58 triệu tài khoản Facebook, 62 triệu tài khoản Google. Khi người dùng tích vào cho phép theo dõi, cập nhật số điện thoại cá nhân, email, số căn cước, địa chỉ, ngày tháng năm sinh... đồng nghĩa với việc các dữ liệu cá nhân bằng cách này hay cách khác, mức độ này hay mức độ khác sẽ bị đưa lên kho dữ liệu trên môi trường ảo. Những dữ liệu này chính là tài sản vô hình bị những kẻ xấu lợi dụng, khai thác, buôn bán thu lời, chiếm đoạt, lừa đảo tiền bạc...
Hậu quả vi phạm khó lường
Năm 2015, hacker người Việt - Ngô Minh Hiếu (Hieupc) đã nhận án 13 năm tù ở Mỹ vì xâm nhập vào các hệ thống máy tính, để đánh cắp thông tin của gần 200 triệu người. Thông tin mà Hiếu thu thập rất đơn giản: tên, ngày sinh, địa chỉ, số an sinh xã hội và email người dùng… là những dữ liệu thường được cung cấp miễn phí và hào phóng trên mạng, thông qua việc sử dụng các ứng dụng và các mạng xã hội. Sau 3 năm hoạt động, Hiếu đã kiếm được 3 triệu USD nhờ bán các dữ liệu đó nhưng lại góp phần lớn làm 13 nghìn người Mỹ trắng tay, với 1,1 tỷ USD bốc hơi ở ngân hàng và 64 triệu USD tiền gian lận hoàn thuế.
Trước đó, liên quan đến tiết lộ thông tin cá nhân của khách hàng, vụ án chiếm đoạt tài sản do Nguyễn Lê Thanh Tú (TPHCM) đứng đầu đã được Công an tỉnh Phú Thọ phá án tháng 12/2019. Theo điều tra, cán bộ tại một số ngân hàng đã được Tú thuê thu thập thông tin về số tài khoản, mẫu chữ ký, mẫu con dấu, sao kê tài khoản của một số công ty rồi mua với giá từ 10 - 13 triệu đồng/công ty. Tú dùng các dữ liệu này đến ngân hàng làm thủ tục đề nghị chuyển tiền từ tài khoản của các công ty mà Tú đã mua thông tin sang tài khoản mà Tú đã sử dụng giấy tờ giả mở tại ngân hàng để chiếm đoạt.
Theo ông Nguyễn Văn Cường, Trưởng phòng An ninh mạng, Tập đoàn Bkav, việc lộ thông tin cá nhân tiềm ẩn nhiều nguy cơ đối với người dùng. Đối với các dịch vụ eKYC của ngân hàng, chứng khoán, nếu lộ các thông tin này, có khả năng bị mạo danh đăng ký tài khoản và thực hiện những hoạt động vi phạm pháp luật, khi đó chính chủ sẽ phải xử lý rắc rối phát sinh.
Sự phát triển của thương mại điện tử đang kéo theo vấn nạn thông tin người tiêu dùng bị doanh nghiệp thu thập, mua bán bừa bãi, gia tăng nguy cơ bị lừa đảo, theo dõi. Thông tin của người tiêu dùng bị thu thập không chỉ giới hạn ở họ tên, địa chỉ, điện thoại, thông tin tài chính (số tài khoản, số thẻ ngân hàng...) mà còn thu thập gần như toàn bộ hành vi, thông tin của người tiêu dùng trong quá trình giao dịch, tham khảo thông tin trên mạng internet.
Theo luật sư Nguyễn Thanh Hà (Đoàn Luật sư Hà Nội), Bộ luật Dân sự 2005 và Bộ luật Dân sự hiện hành (2015) đều có quy định bảo vệ, bí mật và bất khả xâm phạm đối với "đời sống riêng tư, bí mật cá nhân, bí mật gia đình" và "thư tín, điện thoại, điện tín, các hình thức thông tin điện tử khác của cá nhân". Hành vi thu thập, mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa kể cả sử dụng trái phép thông tin cá nhân, dữ liệu cá nhân là hành vi vi phạm pháp luật. Tùy vào mức độ vi phạm của hành vi mà người vi phạm sẽ bị xử phạt hành chính theo điều 46 (nghị định 98/2020/NĐ-CP) hoặc theo điều 102 (nghị định 15/2020/NĐ-CP). Người vi phạm còn có thể bị xử lý hình sự đến 7 năm tù về "tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông" (điều 288 Bộ luật Hình sự 2015). Mặt khác, người bị thiệt hại do hành vi vi phạm gây ra có thể kiện đòi bồi thường.
Kỳ II: Làm gì để tránh lộ thông tin cá nhân?