Thứ Bảy, 22 tháng 5, 2021

Lộ thông tin cá nhân: Cực kỳ nguy hại!

Ngày 22-5, một lãnh đạo Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an cho biết cơ quan này đang vào cuộc xác minh thông tin liên quan vụ việc hàng ngàn chứng minh nhân dân (CMND) bị rao bán trên mạng.

Thanh toán bằng tiền ảo

Trước đó, Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao nhận được phản ánh từ người dân về việc 17 GB dữ liệu chứa ảnh chụp CMND của hàng ngàn người Việt Nam đang được rao bán trên các diễn đàn hacker với giá 9.000 USD (khoảng 207 triệu đồng), thanh toán bằng tiền ảo Bitcoin hoặc Litecoin. Nếu không muốn thanh toán thông qua tiền ảo, người mua có thể trả tiền thông qua một người trung gian cũng là thành viên của diễn đàn.

Người rao bán có nickname là Ox1337xO, khẳng định đang sở hữu 17 GB dữ liệu KYC (Know Your Customer - dữ liệu để xác minh thông tin người dùng), bao gồm ảnh chụp thẻ CMND, căn cước công dân, ảnh/video, địa chỉ, số điện thoại, email… Để chứng minh tính xác thực, tài khoản này còn chia sẻ ảnh chụp màn hình một số giấy tờ, sổ hộ khẩu của người Việt Nam và chấp nhận mua bán qua một bên trung gian nếu người mua nghi ngờ.

Ảnh chụp 2 mặt CMND của nhiều người bị rao bán trên mạng Ảnh: TUẤN ANH

Về việc này, Chánh Văn phòng Bộ Công an, Trung tướng Tô Ân Xô, cho biết bước đầu xác định các hình ảnh trên mạng cho thấy đều là CMND dạng cũ, không phải căn cước công dân mới. "Các đơn vị nghiệp vụ Bộ Công an đang điều tra những thông tin đó có nguồn từ đâu và lộ ra thế nào, bởi hiện nay có nhiều dịch vụ yêu cầu người dân cung cấp giấy tờ CMND nên nguồn lộ ra có thể từ rất nhiều nơi" - Trung tướng Tô Ân Xô nói.

Theo Chánh Văn phòng Bộ Công an, việc lộ thông tin cá nhân không thể quy trách nhiệm cho cơ quan cấp (trong trường hợp này là cơ quan cấp CMND - PV) bởi trong nhiều hoạt động hiện nay, người dân phải cung cấp các thông tin này. Tuy nhiên, không loại trừ khả năng các thông tin có thể đã bị tuồn ra nước ngoài và rao bán trên mạng. "Từ làm thẻ ngân hàng, lập hòm thư trực tuyến, giao dịch nhà đất hay đơn cử làm thẻ hội viên máy bay, như vụ việc lộ thông tin của Vietnam Airlines trước đây đã cho thấy có rất nhiều dịch vụ yêu cầu người dân đưa ra các thông tin cá nhân. Cũng chưa thể khẳng định là lộ lọt từ bên trong mà có thể do bị hacker tấn công" - ông Tô Ân Xô nhận định.

Sử dụng để phạm tội

Trung tá Đào Trung Hiếu, chuyên gia tội phạm học - Bộ Công an, cho biết có rất nhiều nguồn có thể dẫn tới lộ, lọt thông tin cá nhân như hacker tấn công vào cơ sở dữ liệu do các đơn vị quản lý, nhất là những ngành yêu cầu người dân khi tham gia giao dịch phải cung cấp CMND. Ngoài ra, hiện nay có rất nhiều doanh nghiệp, tổ chức lưu đầy đủ thông tin người dùng, không chỉ các ngân hàng, ví điện tử, các dịch vụ tài chính, nhà mạng di động mà cả các ứng dụng gọi xe công nghệ… "Thậm chí, có thể chính người bên trong các đơn vị quản lý cơ sở dữ liệu tuồn thông tin cá nhân ra bên ngoài" - trung tá Đào Trung Hiếu đặt giả thiết.

Theo trung tá Đào Trung Hiếu, việc bị lộ thông tin cá nhân là rất nguy hiểm. Người bị lộ thông tin có thể gặp phiền toái khi phải tiếp nhận những tin nhắn, email quảng cáo hay các cuộc gọi chào mời mua sản phẩm, hàng hóa, dịch vụ. Đáng lo ngại hơn, thông tin cá nhân sẽ bị sử dụng cho mục đích tội phạm. "Các đối tượng có thể hack vào tài khoản để chiếm đoạt tiền, thậm chí làm giả CMND, từ đó mạo danh để đi thực hiện hành vi xấu hoặc mở tài khoản ngân hàng để chuyển tiền từ việc phạm tội mà có" - trung tá Hiếu dẫn chứng.

Theo trung tá Đào Trung Hiếu, nếu đối tượng thật sự có trong tay 17 GB dữ liệu thông tin cá nhân thì sẽ rất nguy hiểm như đã phân tích ở trên. Tuy nhiên, cũng có thể người rao bán không có hoặc chỉ có thông tin của một vài cá nhân nhưng phao tin rằng đang có trong tay rất nhiều.

Nhiều nguồn lộ thông tin cá nhân

Đây không phải lần đầu tiên một số lượng lớn thông tin cá nhân của người Việt bị rao bán công khai trên mạng.

Vào tháng 1-2021, dữ liệu cá nhân gồm tên tuổi, địa chỉ, số điện thoại của 300.000 người Việt cũng bị rao bán trong diễn đàn dành cho hacker - Raidforum. Trước đó, cuối tháng 7-2016, hacker cũng công bố trên mạng 4 tập tin bao gồm danh sách hơn 400.000 tài khoản khách hàng thành viên của Vietnam Airlines, trong đó bao gồm họ tên, ngày sinh, địa chỉ; một số thành viên còn bị lộ chức vụ, cơ quan công tác, số điện thoại... Sau đó, phía Vietnam Airlines cũng đã khuyến cáo hội viên thay đổi mật khẩu ngay sau khi hệ thống được khắc phục.

Ông NGUYỄN VĂN CƯỜNG, Trưởng Phòng An ninh mạng Tập đoàn Công nghệ BKAV:

Tự bảo vệ dữ liệu cá nhân

Đây là vụ việc khá nghiêm trọng vì dữ liệu của gần 10.000 người dùng bị lộ trong đó có cả ảnh mặt trước và sau của CMND, video xác thực eKYC. Theo thông tin của người bán, đây là thông tin được lấy từ mạng lưới tiền ảo Pi Network trong thời gian vừa qua. Đối với người dùng bị lộ thông tin lần này là rất nguy hiểm, vì từ đây có thể bị sử dụng trong các mục đích lừa đảo trên mạng vì đối tượng có đủ tất cả thông tin cần thiết để xác minh danh tính của một người như số điện thoại, hình ảnh CMND/hộ chiếu, nếu cần còn có cả video xác thực.

Để tự bảo vệ dữ liệu cá nhân của mình, người dùng hạn chế chia sẻ các thông tin cá nhân lên mạng, đặc biệt là các thông tin nhạy cảm như CMND, số điện thoại, email và địa chỉ... Chỉ cung cấp các thông tin cá nhân khi thực sự cần thiết và chỉ cung cấp cho các đơn vị uy tín và có thẩm quyền. Đối với các đơn vị có được thông tin cá nhân do người dùng cung cấp cần bảo đảm an toàn tuyệt đối cho dữ liệu đó, chỉ được sử dụng các dữ liệu đó khi có sự cho phép của người dùng.

Luật sư LƯU TẤN ANH TOÀN, Giám đốc Công ty Luật Lưu Vũ:

Có thể bị phạt tù đến 7 năm

Theo quy định của pháp luật, trường hợp thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật thì có thể bị xử phạt từ 10 triệu đồng đến 20 triệu đồng theo quy định tại điểm e khoản 3 điều 102 Nghị định 15/2020/ND-CP. Trường hợp mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông thì có thể bị xử phạt từ 50 triệu đồng đến 70 triệu đồng theo quy định tại khoản 5 điều 102 Nghị định 15/2020/ND-CP.

Về xử lý hình sự: Tại điều 159 Bộ Luật Hình sự năm 2015 (sửa đổi, bổ sung năm 2017) quy định việc "Xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín hoặc hình thức trao đổi thông tin riêng tư của người khác" có thể bị phạt tù tới 3 năm. Bên cạnh đó, doanh nghiệp, đơn vị, cá nhân có hành vi mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó thì bị phạt tù mức cao nhất đến 7 năm về tội danh "Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông" (quy định tại điều 288 bộ luật này).

Ông HOÀNG TẤN THÔNG, Giám đốc DNTN Tấn Thông (TP HCM):

Quá dễ lấy thông tin cá nhân

Thông tin cá nhân quá dễ bị đánh cắp. Bằng chứng dễ nhận thấy nhất là hằng ngày chúng ta luôn bị làm phiền bởi nhiều đội ngũ nhân viên tiếp thị từ nhà đất, nước hoa, môi giới chứng khoán, du lịch... cho tới cả mời chào đánh bài, lô đề... Những người này lấy thông tin từ đâu nếu không phải từ những dịch vụ mà chúng ta đăng ký.

Những dịch vụ như điện thoại, ngân hàng, khách sạn, hàng không... luôn cho rằng bảo đảm bí mật thông tin khách hàng nhưng thực tế không hẳn vậy. Nguồn thông tin cá nhân của khách hàng ở những dịch vụ này dễ dàng được nhiều người của doanh nghiệp tiếp cận nên khi bị tiết lộ cũng khó truy được nguồn gốc.

N.Hưởng - P.Dũng ghi

Nguyễn Hưởng