Nguy hiểm rình rập khi thông tin cá nhân bị lộ
Theo thông tin trên diễn đàn hacker, tài khoản có tên Ox1337xO cho biết đang sở hữu gói dữ liệu KYC (Know Your Customer) - dữ liệu để xác minh thông tin người dùng, bao gồm các thông tin xác định danh tính người dùng như họ tên, ngày sinh, địa chỉ, email, điện thoại, số chứng minh... kèm theo hình ảnh chân dung, hình chụp mặt trước và sau CMND/CCCD.
Thành viên này cho biết toàn bộ dữ liệu này đều là thông tin của người dùng Việt Nam. Để minh chứng cho chất lượng của gói dữ liệu, thành viên này còn chia sẻ một số ảnh chụp màn hình gồm một số giấy tờ, sổ hộ khẩu của người Việt Nam.
Giá bán của gói dữ liệu này được rao lúc đầu ở mức 9.000 USD (khoảng 207 triệu đồng), sau đó hạ xuống còn 4.300 USD (khoảng 99 triệu đồng). Người bán cũng cho biết chỉ nhận thanh toán bằng hai hình thức là tiền điện tử Bitcoin (0,2 BTC) hay Litecoin (2,8 LTC) hoặc qua người trung gian.
Gói dữ liệu có dung lượng đến 17GB, theo ước tính của các chuyên gia bảo mật, chúng có thể chứa đựng thông tin đến 10.000 người. Tuy nhiên, đến sáng 16/5, bài viết này đã bị xóa không rõ nguyên nhân.
Trước đó, thành viên Ox1337xO còn rao bán khá nhiều gói dữ liệu của người dùng Việt Nam khác như: gói thông tin email (họ tên, tên đăng nhập, mật khẩu, địa chỉ email, giới tính...), gói thông tin thanh toán (họ tên người thanh toán, email, số điện thoại, địa chỉ), gói hình ảnh chụp CMND/CCCD nặng 4GB... Giá các gói được rao bán từ 1.000 USD (hơn 23 triệu đồng).
Theo ông Lê Thanh Tùng, Phó Giám đốc công ty cổ phần An ninh mạng Việt Nam, việc rò rỉ dữ liệu đang dần trở nên phổ biến, đặc biệt khi mọi người ngày càng phụ thuộc vào các bên thứ ba, kéo theo sự gia tăng về nguy cơ bảo mật. Nguyên nhân đầu tiên do nguồn thông tin hiện nay chưa được đảm bảo an toàn, dẫn đến các tổ chức, cá nhân có thể tổng hợp được rất nhiều nguồn thông tin khác nhau một cách dễ dàng, từ đó có thể sở hữu được một nguồn thông tin lớn. Sau đó, với lượng thông tin lớn này, những người này sẽ bán đi, bán lại với giá rất rẻ mà không bị ảnh ảnh hưởng gì và không ai xử lý.
Mặc dù quy định của luật pháp về bảo đảm thông tin cá nhân có, nhưng chưa có vụ việc nào điển hình được xử lý. Đáng lo ngại, khi các hacker nắm trong tay thông tin bị rò rỉ có thể sẽ mạo danh nạn nhân hoặc đánh lừa nạn nhân tiết lộ các thông tin đăng nhập nhạy cảm. Do đó, người dùng sẽ phải đối mặt với nguy cơ rò rỉ dữ liệu.
Làm gì để bảo mật thông tin cá nhân?
Theo các chuyên gia công nghệ, trong trường hợp phải đối mặt với việc bị vi phạm dữ liệu, nạn nhân có thể thực hiện các biện pháp để ngăn chặn tình hình xấu đi, nhưng quan trọng là phải nhanh chóng hành động. Tùy thuộc vào loại sự cố, người dùng có thể thực hiện một số biện pháp nhằm giảm hệ lụy do rò rỉ dữ liệu.
Thứ nhất, xác định dữ liệu nào có thể đã bị rò rỉ. Việc này giúp mọi người hình dung được mức độ nghiêm trọng của tình huống. Chẳng hạn nếu CMND, tên hoặc địa chỉ bị rò rỉ, người dùng cần nhanh chóng hành động để đảm bảo danh tính của mình không bị đánh cắp. Điều này nghiêm trọng hơn cả việc làm mất thông tin thẻ tín dụng.
Thứ 2, nếu việc vi phạm có liên quan đến thông tin tài chính, hãy thông báo cho ngân hàng và tổ chức tài chính mà người dùng đang có tài khoản, đồng thời thay đổi mật khẩu tất cả các tài khoản, bao gồm cả câu hỏi bảo mật và mã PIN. Người dùng cũng nên cân nhắc việc khóa tín dụng.
Thứ 3, theo dõi các tài khoản của mình. Nếu thấy các giao dịch mà người dùng nghi ngờ, lập tức kiểm tra và thông báo cho ngân hàng hoặc tổ chức tín dụng.
Thứ 4, cảnh giác với các loại tấn công lừa đảo. Ví dụ, nếu một tên tội phạm truy cập được vào tài khoản của một khách sạn, ngay cả khi không có dữ liệu tài chính, hắn vẫn có thể gọi cho khách hàng hỏi ý kiến phản hồi về lần cư trú gần đây của họ. Sau khi thiết lập mối quan hệ đáng tin cậy sau cuộc gọi, hắn ta có thể đề xuất việc hoàn lại các khoản phí khác nhau và yêu cầu số thẻ của khách hàng nhằm thực hiện giao dịch. Nếu bị thuyết phục, hầu hết khách hàng sẽ không suy nghĩ kỹ về việc cung cấp những thông tin đó.
Ngoài ra, theo ông Yeo Siang Tiong, Tổng giám đốc Kaspersky Đông Nam Á, bên cạnh những thông tin bị "rò rỉ" do các giao dịch, mua bán trực tiếp, nguyên nhân còn do chúng ta bị hacker lấy do không bảo mật thông tin trên mạng. Vì vậy, cần "phòng bệnh hơn chữa bệnh" như: khi sử dụng thiết bị di động, máy tính cần có mật khẩu mạnh và khác nhau cho các tài khoản, nên kết hợp các chuỗi ký tự viết hoa và viết thường, số và ký hiệu; thay đổi mật khẩu thường xuyên 3 tháng 1 lần; sao lưu tập tin để tránh hacker dùng virus chiếm quyền; dùng các phần mềm chống virus; không nên đăng nhập và các đường liên kết đáng ngờ; theo dõi bảng sao kê ngân hàng để kiểm soát số tiền biến động bất ngờ...; cuối cùng, không cung cấp thông tin cá nhân trên mạng trừ khi cần thiết.
Ls Vũ Quyết Tiến, Công ty Luật Globalink Law Firm: Thu thập và sử dụng thông tin cá nhân trái phép có thể phạt tù đến 3 năm
Theo Điều 84 về vi phạm quy định về thu thập, sử dụng thông tin cá nhân, trường hợp thu thập thông tin cá nhân khi chưa có sự đồng ý của chủ thể thông tin cá nhân về phạm vi, mục đích của việc thu thập và sử dụng thông tin đó; cung cấp thông tin cá nhân cho bên thứ ba khi chủ thể thông tin cá nhân đã yêu cầu ngừng cung cấp thì sẽ bị phạt tiền từ 10.000.000 đồng đến 20.000.000 đồng.
Trường hợp sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân; cung cấp hoặc chia sẻ hoặc phát tán thông tin cá nhân đã thu thập, tiếp cận, kiểm soát cho bên thứ ba khi chưa có sự đồng ý của chủ thông tin cá nhân; thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác sẽ bị phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng.
Trong lĩnh vực bưu chính, viễn thông, tần số vô tuyến điện, công nghệ thông tin và giao dịch điện tử, điều 159 của Nghị định 15/2020/NĐ-CP quy định rõ, người nào chiếm đoạt thư tín, điện báo, telex, fax hoặc văn bản khác của người khác được truyền đưa bằng mạng bưu chính, viễn thông dưới bất kỳ hình thức nào; cố ý làm hư hỏng, thất lạc hoặc cố ý lấy các thông tin, nội dung của thư tín, điện báo, telex, fax hoặc văn bản khác của người khác được truyền đưa bằng mạng bưu chính, viễn thông; nghe, ghi âm cuộc đàm thoại trái pháp luật; khám xét, thu giữ thư tín, điện tín trái pháp luật; hành vi khác xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín, telex, fax hoặc hình thức trao đổi thông tin riêng tư khác của người khác thì sẽ bị phạt tiền từ 20.000.000 đồng đến 50.000.000 đồng hoặc phạt cải tạo không giam giữ đến 3 năm.
Đối với trường hợp phạm tội có tổ chức; lợi dụng chức vụ, quyền hạn; phạm tội 02 lần trở lên; tiết lộ các thông tin đã chiếm đoạt, làm ảnh hưởng đến danh dự, uy tín, nhân phẩm của người khác; làm nạn nhân tự sát sẽ bị phạt tù từ 1 - 3 năm.
Ngoài ra, người phạm tội còn có thể bị phạt tiền từ 5.000.000 đồng đến 20.000.000 đồng, cấm đảm nhiệm chức vụ nhất định từ 01 năm đến 05 năm.