Ngày 10.11 vừa qua, hacker Herasvn trên diễn đàn Raidforums.com đã công bố hack thành công và sở hữu nhiều dữ liệu khách hàng của FPT shop
Ngay sau đó (ngày 13.11), nhiều hình ảnh được cho là dữ liệu khách hàng của FPT shop đã được hacker nay tiếp tục đăng tải trên Raidforums.com.
Hacker cho biết đang nắm giữ nhiều dữ liệu của FPT shop
Rao bán thông tin giá "thỏa thuận"
Để chứng minh mình đang nắm trong tay cơ sở dữ liệu khách hàng của FPTShop, hacker này tung ra hàng loạt hình ảnh chụp lại hợp đồng mua bán giữa khách hàng và FPT Shop trong đó có đầy đủ các thông tin của khách hàng, CMND, thông tin hóa đơn mua bán…
Một số hình ảnh khác cho thấy các hợp đồng mua kèm máy với gói cước FPT Shop vẫn đang triển khai. Tuy vậy các hợp đồng này đều khá cũ, từ đầu năm 2017.
Ngoài việc tung thông tin khách hàng, hacker còn "mạnh miệng" tuyên bố sẽ cung cấp thông tin cụ thể về dữ liệu của FPT Shop cho những ai chấp nhận mua bán với giá cả "thỏa thuận" với hacker này.
1 hình ảnh được cho là dữ liệu khách hàng của FPR shop
Hacker cũng tải lên một đường link hay tập tin cho biết là mã nguồn của thông tin khách hàng, thông tin máy chủ và các thông tin được cho là nhạy cảm khác của FPT Shop, tuy nhiên ICTnews chưa kiểm chứng được các thông tin tải lên có đúng như thành viên herasvn nói hay không.
Theo giới công nghệ, với những thông tin được hacker cung cấp chưa đủ cơ sở để thấy đó là những thông tin khách hàng đã được đánh cắp. Các dữ liệu này là khó tin cậy và cần phải kiểm tra, xem xét cụ thể hơn. Thậm chí, với vài hình ảnh tải lên mạng, vẫn chưa đủ để kết luận thành viên nói trên có đủ dữ liệu từ FPT Shop.
Trước đó, Raidforums.com từng có thành viên công bố dữ liệu của VNG, được công ty này thừa nhận đúng. Mới đây một thành viên cũng công bố dữ liệu khách hàng của Thế Giới Di Động nhưng Thế Giới Di Động phủ nhận dữ liệu bị hack từ hệ thống này.
Tiếp sau đó, đến ngày 10-11, hacker lại tung lên file chứa thông tin dữ liệu cá nhân nhân viên của Con Cưng và dọa sẽ tung ra dữ liệu của FPT Shop.
Hiện nay, các bộ ban ngành có liên quan cũng đang vào cuộc điều tra song thông tin khách hàng bị rò rỉ liên tiếp được phát đi cũng đang khiến cho nhiều khách hàng vô cùng hoang mang, lo lắng.
Lưu thông tin cần xin phép người dùng?
Liên quan đến bảo mật thông tin khách hàng, kinh tế sài gòn và dự thảo nghị định quy định chi tiết một số điều của Luật An ninh mạng, đang được đưa ra lấy ý kiến góp ý, đã đặt ra những điều kiện khá chặt chẽ, hạn chế số doanh nghiệp phải lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam (điều 25 của dự thảo).
Theo đó, dự thảo nghị định bổ sung, ràng buộc doanh nghiệp nào để người dùng vi phạm một số điều của Luật An ninh mạng và đồng thời chính doanh nghiệp cũng vi phạm một số điều khác của luật này lúc đó mới bị yêu cầu lưu trữ dữ liệu và mở văn phòng tại trong nước.
Tuy nhiên, trong tinh thần bảo vệ người dùng trước các vụ rò rỉ thông tin của nhiều dịch vụ như Facebook, thậm chí lộ cả thông tin thẻ tín dụng ở nhiều trang thương mại điện tử, dự thảo nghị định cần xác lập thêm một nguyên tắc mà nay EU và nhiều nước khác đã luật hóa: doanh nghiệp phải xin phép người dùng trước khi thu thập dữ liệu người dùng, được sự đồng ý rõ ràng mới tiến hành, đồng thời cần nói rõ dữ liệu thu thập nhằm mục đích gì, có trao cho bên thứ ba để kinh doanh, đổi chác hay không.
Quy định bảo vệ dữ liệu chung (GDPR) của EU cấm doanh nghiệp cung cấp dịch vụ thu thập nhiều loại dữ liệu như dữ liệu sinh trắc học nhằm mục đích nhận dạng một người nào đó, giới tính hay xu hướng tình dục, gốc gác chủng tộc... Các dữ liệu cá nhân khác chỉ được thu thập và xử lý khi có sự đồng ý của người dùng, phải cung cấp thông tin như bên thu thập là ai, thu thập nhằm đáp ứng yêu cầu gì, cơ sở pháp lý của yêu cầu đó là gì, ai sẽ nhận dữ liệu, dữ liệu lưu trong bao lâu... Đáng chú ý, quan điểm của EU là chỉ cho phép doanh nghiệp dịch vụ lưu dữ liệu khi cần xử lý, xử lý xong hay nhu cầu chấm dứt thì phải xóa ngay dữ liệu đó đi. GDPR đặc biệt nghiêm khắc với dữ liệu của trẻ em, khi bên thu thập phải có sự đồng ý của ba mẹ hay người giám hộ trẻ.
Một điểm khác cần nhấn mạnh trong các văn bản liên quan đến an ninh mạng: đó là quyền của người dùng được truy cập dễ dàng thông tin doanh nghiệp đã thu thập về mình và quyền yêu cầu doanh nghiệp xóa thông tin đó đi. Người dùng cũng có quyền yêu cầu nơi thu thập dữ liệu chỉnh sửa thông tin nếu phát hiện không chính xác, chưa hoàn chỉnh. Và một khi doanh nghiệp cung ứng dịch vụ bị tấn công mạng, bị rò rỉ thông tin thì trách nhiệm của họ là thông báo ngay, đầy đủ đến người dùng, kèm theo là biện pháp khắc phục.
Tại Việt Nam, thật ra, rất khó ràng buộc doanh nghiệp bằng những điều kiện này. Họ chỉ cần khăng khăng, chúng tôi không thu thập, khai thác, phân tích, xử lý dữ liệu cá nhân người dùng; tức dữ liệu cá nhân người dùng họ khai để đăng ký dịch vụ như nó nằm đó, không ai khai thác cả thì cũng đành chịu.