Hiểm Họa Khi Thông Tin Cá Nhân Bị Rao Bán - CAND

• Coi chừng bị hack thông tin cá nhân để lừa đảo

Trước tính chất nghiêm trọng của sự việc, Bộ Công an đã chỉ đạo các đơn vị nghiệp vụ tiến hành xác minh. Người dân mong muốn sự việc sớm được làm rõ, để trả lời cho câu hỏi bằng cách nào mà những dữ liệu cá nhân của mình lại được rao bán trên mạng như một thứ hàng hóa.

"Chợ" dữ liệu cá nhân

Thông tin về "phi vụ" rao bán dữ liệu cá nhân gây chấn động dư luận xuất hiện từ ngày 13-5, trên diễn đàn "R***forums" - một "địa điểm" thường diễn ra các giao dịch mua dữ liệu mà giới hacker (tin tặc) đánh cắp được.

Hình ảnh thông tin cá nhân bị hacker rao bán trên diễn đàn "R***forums"

Kẻ rao bán tệp dữ liệu dung lượng 17GB chứa đựng thông tin cá nhân của 9.667 người Việt, có "nick name" (ký danh) là "Ox1337xO". Trong bài viết, người này cho biết mình đang sở hữu một số lượng lớn dữ liệu KYC (Know Your Customer - dữ liệu để xác minh thông tin người dùng), bao gồm 5 tập hợp file dữ liệu khác nhau, trong số đó có 1 tệp tin dung lượng 1,4 GB chứa thông tin của 3,6 nghìn người, bao gồm họ tên, ngày sinh, ảnh đại diện, địa chỉ, hộ khẩu, email, số điện thoại, số CMND, CCCD, ảnh chụp CMND, CCCD mặt sau và mặt trước.

Để chứng minh là có "hàng" thật, "Ox1337xO" đã chia sẻ một số hình ảnh chụp một số giấy tờ, sổ hộ khẩu của người Việt Nam. Các dữ liệu nêu trên được "Ox1337xO" rao bán với giá 9.000 USD (khoảng 207 triệu đồng). Người mua có thể trả tiền bằng 1 trong 2 loại tiền ảo là Bitcoin (tương đương 0,2 BTC) hoặc Litecoin (LTC). Nếu nghi ngờ, hoặc không muốn thanh toán bằng tiền ảo, người mua có thể giao dịch qua một trung gian cũng là thành viên của diễn đàn này. Tối 15-5, "thương vụ" này xuất hiện trên báo chí thì đến buổi sáng 16/5, toàn bộ các bài viết của "Ox1337xO" đã bị xóa sạch trên diễn đàn R****.

Điều đáng nói đây không phải là lần đầu phát hiện việc rao bán các thông tin cá nhân của người Việt trên mạng xã hội. Đại tá Nguyễn Ngọc Cương, Phó Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an cho biết, ngày 24-3-2020, Cục đã phát hiện tài khoản "vow" (thuộc trang mạng raidforums.com) rao bán gói dữ liệu chứa thông tin của khoảng 41 triệu người Việt Nam.

Trong quá trình rà soát xây dựng Nghị định quy định về bảo vệ dữ liệu cá nhân, Bộ Công an đã phát hiện hơn 60 tổ chức, cá nhân liên quan đến hoạt động mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng, bao gồm các công ty cung cấp giải pháp công nghệ, nhân viên môi giới bất động sản, nhân viên ngân hàng, cơ quan nhà nước, người có khả năng truy cập vào hệ thống chính quyền điện tử về giáo dục, y tế, chứng khoán, bệnh viện... Trên thế giới, vấn nạn trộm cắp, mua bán trái phép thông tin cá nhân cũng đang diễn biến rất phức tạp. Vào năm 2018, hàng tỉ người ở nhiều quốc gia đã bị rò rỉ thông tin cá nhân, khi dùng các ứng dụng trên mạng xã hội và bị tin tặc tấn công.

Ông Võ Đỗ Thắng (Giám đốc Trung tâm An ninh mạng Athena) nhận định sau khi thu thập thông tin của người tiêu dùng, tin tặc có thể bán lại cho các công ty có nhu cầu với mức giá 2-3 USD/người. Bán thông tin đăng nhập cũng là một hình thức khá phổ biến trên dark web (một tập hợp các mạng ngầm), nơi tin tặc sẽ trả giá cao để có được dữ liệu và những tài khoản mạng xã hội bị hack.

Theo báo cáo của tổ chức Privacy Affairs, các tài khoản Facebook, Gmail là một trong những loại thông tin đắt nhất trên thị trường, bởi chúng cho phép tin tặc có thể tận dụng để mở rộng quyền truy cập hoặc lừa thêm người khác.

Hiểm họa khôn lường

Thượng úy Trịnh Công Anh (Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao Công an TP Hà Nội) kể rằng, anh rất ngạc nhiên khi thấy trên mạng Facbook có nhiều người "hồn nhiên" giới thiệu về mình kỹ càng như một bản lý lịch trích ngang. Có lẽ họ chưa có ý thức bảo vệ quyền riêng tư, chưa bao giờ nghĩ tới khả năng những thông tin đó lại bị khai thác vào những mục đích xấu, gây hại cho chính bản thân họ và cộng đồng.

Theo anh, hiện nay tình trạng mua bán thông tin cá nhân công dân đang diễn biến rất phức tạp trên không gian mạng. Xuất phát từ nhu cầu đưa sản phẩm hàng hoá, dịch vụ tiếp cận thị trường, các doanh nghiệp sẵn sàng trả tiền mua thông tin cá nhân để tiến hành quảng cáo sản phẩm trực tiếp đến khách hàng tiềm năng. Ngoài ra, người mua thông tin còn sử dụng vào nhiều mục đích khác nữa.

Có cầu ắt có cung, có thể chính tổ chức hoặc cá nhân có trách nhiệm quản lý cơ sở dữ liệu thông tin cá nhân của khách hàng, coi đó là một loại tài nguyên có giá trị nên đem ra bán cho người có nhu cầu để kiếm tiền, vi phạm nghĩa vụ bảo mật thông tin. Bên cạnh đó, khả năng cơ sở dữ liệu thông tin cá nhân có thể bị lộ, lọt do tin tặc "hack" - (tấn công chiếm đoạt).

"Việc thông tin cá nhân bị rao bán trái phép có thể gây ra nhiều hệ lụy phức tạp. Nghiêm trọng nhất là khi những thông tin này rơi vào tay tội phạm, vì có thể bị chúng sử dụng để mạo danh thực hiện hành vi lừa đảo, cưỡng đoạt tài sản, chẳng hạn như việc giả danh cơ quan pháp luật gọi điện hù dọa, tống tiền chính người có thông tin bị rao bán. Nguy cơ mất an ninh, an toàn đối với người bị bán thông tin là rất lớn trong thời kỳ bùng nổ về khoa học công nghệ hiện nay", Thượng úy Trịnh Công Anh phân tích.

Cuối tháng 11-2019, Công an tỉnh Phú Thọ bắt giữ nhóm đánh cắp tài khoản ngân hàng, trong đó thông tin mà tội phạm có được là do chính nhân viên ngân hàng bán ra

Theo ông Phạm Tiến Mạnh, chuyên gia bảo mật đang làm việc tại Hà Nội, thì giấy CMND hay CCCD chứa đựng những thông tin cá nhân quan trọng, hiển thị dãy số, đặc điểm nhận dạng, ngày tháng năm sinh và địa chỉ cư trú của công dân. Khi có được những dữ liệu này, kẻ xấu có thể sử dụng để đăng ký các tài khoản trực tuyến, tài khoản viễn thông, mã số thuế hoặc vay vốn ở tổ chức tài chính có quy trình lỏng lẻo, khiến nhiều người gặp nhiều rắc rối sau này, chí ít là việc mất thời gian để chứng minh bản thân không liên quan đến một giao dịch nào đó, chẳng hạn như vay tiền ở các tổ chức tín dụng. Hiện có không ít người dân bỗng nhiên bị dính nợ xấu hoặc bị đòi nợ dù chưa hề vay tiền ở bất cứ đâu bởi lý do này.

Thượng tá Ngô Minh An (nguyên Phó trưởng phòng An ninh mạng và phòng chống tội phạm sử dụng Công nghệ cao - Công an TP Hà Nội) kể trong quá trình điều tra truy xét các vụ phạm tội sử dụng công nghệ cao, rất nhiều lần các anh đã bắt những đối tượng sử dụng giấy CMND giả (dán ảnh của mình lên CMND của người khác) để mở tài khoản ngân hàng nhận các khoản tiền do phạm tội mà có chuyển đến.

Muôn nẻo đường lộ lọt

Theo đánh giá bước đầu của Trung tâm Giám sát an toàn không gian mạng Quốc gia (NCSC) thì nguồn dữ liệu cá nhân bị rao bán lần này có thể bị lộ từ một dịch vụ cho vay tiền trực tuyến hoặc dịch vụ tài khoản tiền mã hóa.

Hiện nay, Smartphone (điện thoại thông minh) gần như đã trở thành vật dụng không thể thiếu đối với nhiều người. Thiết bị này cho phép kết nối và thực hiện nhiều hoạt động thiết yếu hàng ngày như cập nhật tin tức, nhắn tin, trao đổi công việc… Tuy nhiên, vấn đề nào cũng luôn có hai mặt, sự phát triển của công nghệ có thể khiến người dùng dễ bị rò rỉ thông tin hơn bao giờ hết.

Theo Thượng tá An, có tới 80% nguyên nhân lộ lọt thông tin cá nhân là xuất phát từ chính sự bất cẩn của người dùng. Hầu hết các thông tin cá nhân như ngày tháng năm sinh, trường học, nơi làm việc, nơi ở... kê khai trên tài khoản mạng xã hội như Facebook, Youtube, Instagram đều do chính người sử dụng tự đưa lên và để ở chế độ mở. Mặt khác, rất nhiều người "chăm" cập nhật hoạt động trong ngày của mình lên mạng xã hội, điều này cho phép ai cũng có thể thu thập được thông tin của họ.

Khi sử dụng mạng xã hội càng lâu, thì thông tin để vẽ lại chân dung của người dùng càng rõ ràng. Vì đó là cơ sở dữ liệu lớn (Big data) mà những đơn vị vận hành mạng xã hội có thể thu thập qua từng ngày, từng giờ. Với việc ứng dụng trí tuệ nhân tạo, các thông tin người dùng đã thu thập được xử lý, tạo nên những trường dữ liệu mà các đơn vị vận hành có thể bán thông tin cho người cần cần mua. Do vậy, khi người dùng đã công khai chia sẻ các dữ liệu cá nhân thì việc các dữ liệu này bị thu thập, bị xử lý và chia sẻ sẽ nằm ngoài tầm kiểm soát của họ.

Bên cạnh đó, khi tham gia vào ứng dụng kết nối dịch vụ gọi xe, đặt phòng khách sạn, đăng ký thành viên các trang bán hàng trực tuyến, mở tài khoản ngân hàng, tham gia các sàn giao dịch trên mạng hay dịch vụ cho vay tiền trực tuyến, dịch vụ tài khoản tiền mã hóa, thậm chí là truy cập wifi miễn phí… người sử dụng đều phải kê khai, cung cấp một số thông tin cá nhân của mình. Nếu các cơ sở dữ liệu này bị tin tặc tấn công, hoặc do chính người trong nội bộ các đơn vị đó bán ra ngoài, thì thông tin cá nhân của nhiều người sẽ xuất hiện trên những cái "chợ" như vừa xảy ra.

Để phòng ngừa việc lộ lọt dữ liệu cá nhân, theo Thượng tá An, người dân cần có ý thức bảo mật thông tin như số CMND, CCCD, số điện thoại, email, địa chỉ nơi cư trú, nơi làm việc của mình. Tuyệt đối không công khai trên mạng xã hội những thông tin cơ mật này. Khi được yêu cầu cung cấp thông tin cá nhân qua cuộc gọi, tin nhắn, email… xưng danh là nhân viên ngân hàng hoặc là người của cơ quan bảo vệ pháp luật, hay khi được yêu cầu khai báo khi truy cập vào trang mạng nào đó, mọi người cần cân nhắc thận trọng và không dễ dàng làm theo khi chưa biết rõ về tổ chức yêu cầu cung cấp và mục đích của việc cung cấp thông tin là gì.