Dân Việt

Tin tức

Khách hàng loạt tập đoàn lớn, ngân hàng “big” bị lộ thông tin nhạy cảm, rao bán trái phép

Gia Bình 28/09/2024 14:00 GMT+7
Nhiều dữ liệu cá nhân nhạy cảm, nội bộ bị mua bán trái phép như khách hàng của EVN hoặc khách hàng các ngân hàng như Techcombank, VPBank cùng 3 nhà mạng lớn là Viettel, Mobiphone, Vinaphone…

Bộ Công an đang lấy ý kiến góp ý Luật Bảo vệ dữ liệu cá nhân, thời gian từ 24/9 – 24/11. Dự thảo tờ trình thể hiện, pháp luật chưa ghi nhận các quyền của công dân đối với dữ liệu cá nhân, nhận thức của chủ thể dữ liệu còn hạn chế, cơ chế thực thi bảo vệ các quyền công dân chưa được hoàn thiện.

Tại tờ trình, Bộ Công an cho hay hiện nay, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân nên tự đăng tải công khai hoặc bị lộ, bị chiếm đoạt và đăng tải công khai.

Khách hàng loạt tập đoàn lớn, ngân hàng “big” bị lộ thông tin nhạy cảm, rao bán trái phép- Ảnh 1.

Hình ảnh một nhóm mua bán, cung cấp thông tin, dữ liệu cá nhân trên Telegram.

Một số vụ việc điển hình như Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc tấn công Vietnam Airlines, đăng tải lên Internet 411.000 tài khoản thành viên chương trình Bông Sen Vàng; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng…

Cùng với đó, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.

Các dự liệu mua bán bao gồm danh sách cán bộ, danh bạ nội bộ của các Bộ, tập đoàn kinh tế (Công hương, Tài chính, Giao thông Vận tải, Khoa học và Công nghệ, Nông nghiệp và Phát triển nông thôn, Thương mại, Tổng cục Thuế, Tập đoàn Than…); thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh…

Thậm chí, thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như họ tên, ngày sinh, số chứng minh, địa chỉ, điện thoại, số tài khoản ngân hàng kèm số dư, thân nhân, chức vụ, vị trí công tác… cũng bị mua bán công khai.

Lý do một phần bởi các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.

Việc buôn bán dữ liệu cá nhân cũng được tiến hành có hệ thống, tổ chức, cam kết "bảo hành" và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Từ đó, nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Khi thanh toán, người mua bán trái phép còn ghi rõ nội dung "mua bán dữ liệu".

Ngân hàng, tập đoàn để lộ thông tin khách

Dự thảo tờ trình của Bộ Công an nêu thêm, việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ mà còn có sự tham gia của các tổ chức, doanh nghiệp. Một số công ty đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu để kinh doanh thu lợi nhuận. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng nghìn GB dữ liệu, gồm nhiều thông tin nhạy cảm.

Ví dụ như thông tin về các cá nhân, tổ chức toàn quốc sử dụng dịch vụ điện lực của EVN; thông tin phụ huynh, học sinh trên cả nước; thông tin khách hàng của BIDV, Techcombank, VPBank, AgriBank...; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng Viettel, Mobiphone, Vinaphone; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy tại 63 tỉnh, thành toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, Nha khoa, thời trang, thẩm mỹ viện.

Năm 2023, hoạt động mua bán dữ liệu cá nhân, dữ liệu nhạy cảm tiếp tục diễn biến phức tạp với nhiều phương thức, thủ đoạn tinh vi. Bộ Công an phát hiện, điều tra, xác minh 16 vụ việc lộ mất, rao bán thông tin, bí mật nhà nước và dữ liệu nội bộ trên không gian mạng.

Số lượng lớn dữ liệu bị lộ mất được tin tặc rao bán công khai trên các nền tảng, diễn đàn (BreachedForums, Telegram, Facebook). Các đối tượng rao bán hoạt động với độ ẩn danh cao, thủ đoạn hoạt động và phương thức thanh toán hoàn toàn bằng tiền mã hoá nên khó truy vết.

Bộ Công an nêu một số nhóm như trên Telegram là "Data Pro 298" (4.685 thành viên) cung cấp dịch vụ tra cứu thông tin dữ liệu viễn thông, Facebook, điện lực, ví điện tử Momo, thông tin biển kiểm soát phương tiện giao thông.

Hoặc các nhóm Telegram "Tra cứu thông tin toàn quốc" (2.700 thành viên) cung cấp dịch vụ tra "nóng" dữ liệu cá nhân công dân Việt Nam (dữ liệu thời gian thực); diễn đàn tin tặc "Nohide.space" (nguồn gốc Nga) rao bán số lượng lớn thông tin đăng nhập nhiều hệ thống trọng yếu của Việt Nam…

Một số trường hợp còn lợi dụng các diễn đàn, hội nhóm chia sẻ phương thức tấn công mạng, cách thức phát triển, phát tán mã độc số lượng lớn, gây nguy cơ mất an toàn, an ninh mạng. Thực trạng này cho thấy hệ thống cơ sở dữ liệu của cơ quan nhà nước và khu vực doanh nghiệp vẫn có những điểm yếu, lỗ hổng bảo mật để tin tặc lợi dụng xâm nhập, đánh cắp dữ liệu.

Việc xây dựng Luật Bảo vệ dữ liệu cá nhân nhằm hoàn thiện hệ thống pháp luật về bảo vệ dữ liệu cá nhân của nước ta, tạo hành lang pháp lý cho công tác bảo vệ dữ liệu cá nhân, nâng cao năng lực bảo vệ dữ liệu cá nhân cho các tổ chức, cá nhân; đẩy mạnh sử dụng dữ liệu cá nhân đúng pháp luật phục vụ phát triển kinh tế, xã hội.