Cấp thiết bảo vệ dữ liệu cá nhân – Bài 3: Vì sao thông tin bị “đánh cắp”?

Thời gian qua, lực lượng Công an đã phát hiện, xử lý hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân, trong đó có một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn Gb, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm. Vì vậy, vấn đề lộ lọt thông tin cá nhân, mua bán dữ liệu của người dùng đang trở nên bức xúc trên diễn đàn Quốc hội và cũng là mối quan tâm của người dân hiện nay.

>>Cấp thiết bảo vệ dữ liệu cá nhân – Bài 1: Mua bán “công khai”, thị trường “nhộn nhịp”

Còn nhớ hồi tháng 7/2022, trên một diễn đàn trực tuyến có thông tin rao bán dữ liệu của 30 triệu hồ sơ người dùng, được thu thập từ website về giáo dục với giá 3.500 USD. Kèm theo mẫu dữ liệu là thông tin của một số giáo viên và học sinh ở Việt Nam. Người rao bán cho biết, dữ liệu này thu thập được từ một website trường học phổ biến ở Việt Nam.

Cùng với đó, hacker cũng công khai các thông tin, bao gồm tên đăng nhập, email, số điện thoại, họ tên đầy đủ, ngày sinh, trường học và địa chỉ, là những dữ liệu chưa từng rò rỉ trước đây. Tài khoản này đăng ảnh chụp thông tin của khoảng 70 người, hầu hết là giáo viên và cho biết có thể cung cấp con số lớn hơn như vậy. Khi tìm theo tên tài khoản cho thấy, người này còn rao bán dữ liệu của 360.000 sinh viên Việt Nam, được thu thập từ một website về giáo dục.

Trước đó, trên một diễn đàn chuyên mua bán dữ liệu của hacker cũng rao bán thông tin CMND/CCCD của gần 10.000 người dân Việt Nam. Tài khoản có tên Ox1337xO cho biết đang sở hữu gói dữ liệu KYC (Know Your Customer) - dữ liệu để xác minh thông tin người dùng, bao gồm các thông tin xác định danh tính người dùng như họ tên, ngày sinh, địa chỉ, email, điện thoại, số chứng minh... kèm theo ảnh chân dung, ảnh chụp mặt trước và sau CMND/CCCD.

Để chứng minh tính xác thực, tài khoản này còn chia sẻ ảnh chụp màn hình một số giấy tờ, sổ hộ khẩu của người Việt Nam và chấp nhận mua bán qua một bên trung gian nếu người mua nghi ngờ. Giá bán của gói dữ liệu này được rao với mức 9.000 USD, người bán cũng cho biết chỉ nhận thanh toán bằng 2 hình thức là tiền điện tử Bitcoin (0,2 BTC) hay Litecoin (2,8 LTC) hoặc qua người trung gian.

Đặc biệt, trên các diễn đàn, hội nhóm trên mạng về việc mua bán tài khoản, thông tin cá nhân. Có nhóm công khai, có nhóm kín nhưng đều chung đặc điểm là đối tượng rao bán các thông tin CCCD/CMND, tài khoản ngân hàng... Đối tượng rao bán cam kết, có đầy đủ thông tin của các cá nhân, người mua có thể sử dụng để mở tài khoản ngân hàng và các mục đích khác nhau.

Có thể thấy, thực trạng này đã và đang là hồi chuông báo động về vấn đề bảo mật dữ liệu cá nhân tại Việt Nam, vì có thể gây ảnh hưởng không nhỏ đến quyền riêng tư, bí mật cá nhân, có thể dẫn đến tình trạng lừa đảo công nghệ cao, cũng như các hành vi phạm pháp khác…

Trao đổi về nguyên nhân lộ lọt thông tin cá nhân, các chuyên gia nhận định có thể xuất phát từ chính sự bất cẩn của người dùng và có thể bị hack thông tin cũng như bị thu thập từ nhiều nguồn khác nhau. Việc thu thập có thể từ các hacker xâm nhập dữ liệu của các tổ chức, cá nhân; có thể do các tổ chức có thông tin khách hàng tuồn ra bên ngoài. Điển hình nhất là đối với những người thai sản, sau khi đi khám thai, lập tức sẽ có rất nhiều đơn vị bán sữa, dạy cách nuôi con... gọi điện chào mời; những người có con trong độ tuổi đi học sẽ bị các trung tâm tiếng Anh, trung tâm gia sư... mời chào.

Bên cạnh những nguyên nhân có thể bị lộ ra bởi các hacker hoặc lộ ra từ những cơ quan, tổ chức, doanh nghiệp lưu trữ thông tin cá nhân người dùng, các chuyên gia cũng chỉ ra rằng, ngoài thông tin CMND/CCCD còn rất nhiều thông tin khác hiện đã hoặc có nguy cơ bị rò rỉ. Ví dụ, thông tin số điện thoại, thông tin đăng nhập tài khoản Facebook, Gmail, tài khoản ngân hàng...

Trong đó, nguyên nhân lộ lọt những thông tin này chủ yếu xuất phát từ sự bất cẩn và dễ dãi của người dung trong quá trình tham gia hoạt động trên môi trường không gian mạng. Trên thực tế, có rất nhiều người chủ quan khi nhận được một cuộc điện thoại nào đó yêu cầu cung cấp các thông tin cá nhân như CMND/CCCD, mã OTP để ngân hàng kiểm tra là họ cũng cung cấp. Và, đương nhiên khi cung cấp là sẽ mất tiền.

>>Cấp thiết bảo vệ dữ liệu cá nhân – Bài 2: “Mồi béo” cho tội phạm

Xung quanh câu chuyện này, Thượng tá Ngô Minh An, nguyên Phó trưởng phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao Công an TP. Hà Nội cho biết, có tới 80% nguyên nhân lộ lọt thông tin cá nhân xuất phát từ chính sự bất cẩn của người dùng. Hầu hết các thông tin cá nhân như ngày tháng năm sinh, trường học, nơi làm việc, nơi ở... được kê khai trên tài khoản mạng xã hội như Facebook, Youtube, Instagram và đều do chính người sử dụng tự đưa lên, để ở chế độ mở. Người nào càng "chăm" cập nhật hoạt động của mình thì việc lọt lộ thông tin cá nhân càng lớn. 

“Bên cạnh đó, hầu hết ai trong chúng ta cũng phải sử dụng các dịch vụ liên quan đến xin việc làm, học trực tuyến, ngân hàng, mua bán hàng hóa, ví điện tử, y tế, bảo hiểm, du lịch... mà các dịch vụ này đều bắt buộc hoặc yêu cầu phải kê khai thông tin cá nhân”, Thượng tá Ngô Minh An nói.

Theo tính toán, việc lọt lộ thông tin từ trang mạng xã hội chỉ là số ít do tin tặc phải tổng hợp từng trường hợp đơn lẻ, hoặc thiếu dữ liệu.  Nhưng nếu rò rỉ thông tin từ các dịch vụ xã hội, thì số dữ liệu này là vô cùng lớn, đặc biệt với các dịch vụ ngân hàng, học trực tuyến, mua sắm…

Hoàn toàn có cơ sở khi nhiều người cho rằng, thông tin cá nhân của mình đã bị đánh cắp, mua bán và rất có khả năng những thông tin đó bị sử dụng với mục đích xấu. 

Hệ quả trước tiên mà mọi người gặp phải là từng bị làm phiền, thậm chí là bị quấy rối bởi các cuộc gọi, tin nhắn rác mời chào mua chứng khoán, mua bất động sản, mời học hành, mời làm đẹp, mua bảo hiểm… Nghiêm trọng hơn, nhiều người nhận được những tin nhắn, cuộc gọi thông báo nộp phạt vi phạm giao thông, vi phạm pháp luật, thông báo nợ cước điện, nước, viễn thông... nhằm mục đích lừa đảo, cưỡng đoạt tài sản, hù dọa, tống tiền. Có không ít người vì lo sợ hoặc không muốn bị phiền toái khi dính dáng đến pháp luật đã mất tiền cho những trò lừa đảo này.

Còn nữa…