Lộ thông tin cá nhân, ai chịu trách nhiệm? 

Cập nhật ngày: 09/11/2018 - 15:50

Liên quan đến nguồn thông tin lan truyền trên mạng cho rằng hệ thống công nghệ của Công ty cổ phần Thế Giới Di Động (gọi tắt là TGDĐ) “bị hacker tấn công và lấy cắp thông tin cá nhân khách hàng”, phía doanh nghiệp bán lẻ thiết bị điện tử này cũng đã phát ra thông cáo báo chí cho biết đó là thông tin không chính xác.

Các chuyên gia bảo mật khi được hỏi cũng chưa dám xác nhận do các dữ liệu được công bố không được kiểm chứng rõ ràng. Song, vụ việc này một lần nữa cảnh báo về việc bảo vệ thông tin cá nhân (TTCN) hiện đang bị thả lỏng.

Quá dễ dàng tìm thấy thông tin được cho là của khách hàng Thế Giới Di Động rao trên diễn đàn RaidForums

 Thực hư chuyện TGDĐ bị “hack”

Có thể tóm tắt diễn biến vụ việc khách hàng TGDĐ nghi bị đánh cắp TTCN như sau: Từ sáng 7-11, đã có thông tin đăng tải trên diễn đàn RaidForums về việc có trong tay thông tin hơn 5 triệu khách hàng của TGDĐ. Các thông tin từ đó cũng cho thấy hơn 31.000 bản ghi lịch sử giao dịch của khách hàng với TGDĐ và Điện máy Xanh. Cùng với đó có khoảng 5,4 triệu email khách hàng và thậm chí có 61.000 email hệ thống mail nội bộ của TGDĐ.

Các thông tin về lộ thông tin của khách hàng còn tiếp diễn sau đó, một tập tin đầy đủ được cho là đánh cắp từ TGDĐ cho thấy lịch sử giao dịch của năm 2016 với số hiệu đơn vị, địa chỉ mua hàng, số thẻ tín dụng… của khách hàng. Ngay tối cùng ngày, TGDĐ đã phát thông cáo báo chí, cho rằng nguồn tin lan truyền trên mạng nói trên là thông tin không chính xác.

“Liên quan đến các thông tin thẻ của khách hàng (số thẻ, ngày hết hạn, ngày giờ mua hàng…) bị lộ, chúng tôi không lưu trữ những thông tin này của khách hàng nên không thể có việc những thông tin này bị lộ từ hệ thống của TGDĐ”, thông cáo nói thêm.

Trước sự việc này, ông Nguyễn Hữu Cường (chuyên gia bảo mật của Bkav, người điều hành Diễn đàn An ninh mạng whitehat.vn) cho biết: Hiện giờ chưa có bằng chứng khẳng định đây là thông tin khách hàng của TGDĐ. Cùng với đó, nếu giả sử đây đúng là khách hàng của TGDĐ thì cũng chưa thể xác định việc lộ lọt thông tin ở đâu, thuộc trách nhiệm của ai. Tuy nhiên Bkav khuyến cáo người dùng nên chủ động kiểm tra xem địa chỉ email và tài khoản của mình có nằm trong các tập tin đã đăng tải trên RaidForums để đảm bảo an toàn.

Bảo mật các giao dịch mua bán bằng thẻ tín dụng cũng cần được các doanh nghiệp quan tâm hơn

Ông Ngô Tấn Vũ Khanh, Giám đốc Phát triển Kaspersky Lab Việt Nam, cũng nhận định: Việc hệ thống đơn vị này có bị hack và lộ thông tin khách hàng hay không cần phải điều tra thực tế và có đánh giá của các chuyên gia. Nhưng đây rõ ràng là hồi chuông cảnh báo cho các công ty lớn, có một hệ thống công nghệ thông tin đồ sộ, cần phải quan tâm đến hơn nữa vấn đề bảo mật.

Trong trường hợp này, việc cài đặt phần mềm bảo mật vào các máy POS là rất quan trọng vì hacker có thể chiếm quyền điều khiển máy POS và làm bàn đạp tấn công các giao dịch nếu thiết lập được một giao thức đủ tốt. Tuy nhiên thực tế hiện nay tỷ lệ các công ty bán lẻ tại Việt Nam quan tâm đến bảo mật trên các máy POS là rất thấp (chưa tới 5%).

Trong 11 tháng đầu năm 2018, Phòng Cảnh sát Điều tra tội phạm về tham nhũng, kinh tế, buôn lậu Công an TPHCM đã thụ lý, tiếp nhận tổng cộng 213 vụ việc, tin báo tố giác tội phạm liên quan đến tội phạm trong lĩnh vực công nghệ cao. Tài sản thiệt hại hơn 143 tỷ đồng và 1,9 triệu USD. Trong đó lừa đảo qua điện thoại chiếm nhiều nhất với 68 vụ; còn lại là 57 vụ “bẫy” tình, 33 vụ hack email, 9 vụ lừa đảo qua mạng xã hội, 10 vụ hack tài khoản, 36 vụ thuộc dạng khác. 

Thủ đoạn lừa đảo qua điện thoại là các đối tượng sử dụng thiết bị viễn thông công nghệ cao thực hiện cuộc đàm thoại thông qua Internet, giả mạo số thuê bao của cơ quan công an, viện kiểm sát gọi trực tiếp đến nhiều số điện thoại cố định đăng ký tại TPHCM và các tỉnh lân cận để thông báo về việc nợ cước điện thoại, sau đó cố ý dò hỏi về thông tin cá nhân và tài sản.

Khi xác định chủ thuê bao có tiền gửi tiết kiệm trong các ngân hàng hoặc tiền mặt, các đối tượng hù dọa rằng số tiền người bị hại đang có liên quan trực tiếp đến khoản tiền của các đối tượng tội phạm ma túy, rửa tiền mà cơ quan pháp luật (cơ quan điều tra, viện kiểm sát, tòa án) đang điều tra. Cuối cùng, các đối tượng này yêu cầu người bị hại chuyển tiền vào các tài khoản theo sự chỉ định, sau đó rút ra hoặc chuyển vào các tài khoản khác thuộc nhiều ngân hàng để dễ dàng chiếm đoạt. Theo quy định của Bộ luật Hình sự, hành vi phạm tội này bị xử lý theo tội danh “Lừa đảo chiếm đoạt tài sản” hoặc “Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản”.

Trong số những vụ việc, tin báo tố giác tội phạm liên quan đến tội phạm trong lĩnh vực công nghệ cao đã tiếp nhận, Phòng Cảnh sát Điều tra tội phạm về tham nhũng, kinh tế, buôn lậu - Công an TPHCM khởi tố vụ án 161 vụ, chuyển đơn vị khác thụ lý 8 vụ, nhập tin vào án 13 vụ, đang xác minh 25 vụ.

ÁI CHÂN

Muôn kiểu mất thông tin cá nhân

Với người dùng hiện nay, thấy rõ không chỉ chuyện cung cấp TTCN cho mỗi việc mua bán hàng tiêu dùng. Đi đăng ký học cho con, phụ huynh cũng được ghi số điện thoại, email. Vào trung tâm vui chơi mua sắm, các thông tin cá nhân khác như thẻ tín dụng, “lý lịch” cá nhân cũng được hỏi và ghi rất chi tiết. Thậm chí nhà có con trong độ tuổi đi học cũng được các trung tâm gia sư, hãng bảo hiểm, nhãn hàng tiêu dùng… gọi điện, gửi email mời chào hàng ngày. Điều này xuất phát từ đời sống trong vòng xoay số hóa, các thông tin cá nhân được thu thập, phân loại và thậm chí bị rao bán đã trở thành một ngành nghề.

Cũng bởi TTCN có giá trị nên cũng là thứ rất hay bị đánh cắp khi hacker sử dụng các hình thức tấn công lừa đảo, tấn công sử dụng mã độc và tấn công từ chối dịch vụ. Ở hình thức tấn công lừa đảo (phishing), hacker sẽ xây dựng những hệ thống lừa đảo nhằm đánh cắp các thông tin nhạy cảm, như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng. Thời gian gần đây, các cuộc tấn công thường được hacker thực hiện thông qua mạng xã hội (chủ yếu là Facebook), bằng cách đăng nội dung trên tường của người dùng, tag tên người dùng, gửi tin nhắn…

Hacker tấn công sử dụng mã độc bằng cách phát tán mã độc thông qua các phần mềm, ứng dụng độc hại để cài đặt các phần mềm trái phép vào thiết bị nạn nhân, từ đó đánh cắp thông tin. Một khi bị hacker chiếm được TTCN, đó sẽ là mặt hàng trong thời đại số, phục vụ cho ngành quảng cáo số. Có thể thấy ngay, chuyến bay mới chuẩn bị bay thì người bay đã nhận được điện thoại taxi mời chào từ nơi chuẩn bị hạ cánh… Tuy nhiên, số tiền trong tài khoản ngân hàng bị lấy mà chủ tài khoản không hay mới gây nên sự chú ý thực sự.

Khách hàng của Thế Giới Di Động cần kiểm tra thông tin của chính mình và có các biện pháp bảo mật khi diễn đàn RaidForums đăng tải thông tin khách hàng.

Theo luật sư Ngô Việt Bắc, Trưởng Văn phòng Luật sư Sài Gòn Tây Nguyên: Về các quy định bảo vệ TTCN của người dùng, hiện đã có rất nhiều văn bản pháp luật quy định khá chi tiết. Cụ thể như, Điều 38 Bộ luật Dân sự 2015 có quy định: Đời sống riêng tư, bí mật cá nhân là bất khả xâm phạm và được pháp luật bảo vệ. Thư tín, điện thoại, điện tín, cơ sở dữ liệu điện tử và các hình thức trao đổi thông tin riêng tư khác của cá nhân được bảo đảm an toàn và bí mật.

Bên trong hợp đồng không được tiết lộ thông tin về đời sống riêng tư, bí mật cá nhân của nhau mà mình đã biết được trong quá trình xác lập, thực hiện hợp đồng, trừ trường hợp có thỏa thuận khác. Trong khi đó, Điều 66 Nghị định số 174/2013/NĐ-CP của Chính phủ về xử lý vi phạm hành chính trong lĩnh vực bưu chính viễn thông quy định: “Người nào có hành vi mua bán hoặc trao đổi trái phép thông tin riêng của người sử dụng dịch vụ viễn thông sẽ bị phạt tiền 50 - 70 triệu đồng. Nếu hành vi này gây hậu quả nghiêm trọng và có đủ cấu thành tội phạm thì có thể sẽ bị xử lý hình sự theo Điều 288 của Bộ luật Hình sự. Ngoài ra, ở các văn bản luật khác như Luật Bảo vệ người tiêu dùng, Luật An toàn thông tin mạng, Luật An ninh mạng (có hiệu lực từ 1-1-2019)… cũng có các quy định hết sức cụ thể.

PHƯƠNG UYÊN

Theo ông Trần Minh Quảng, Trưởng phòng Nghiệp vụ Trung tâm An ninh mạng Viettel, dữ liệu cá nhân người dùng có thể coi là một trong những tài sản quý giá nhất của doanh nghiệp ngày nay. Khi giao dịch qua mạng đã trở thành một phương thức giao dịch phổ thông, dữ liệu người dùng cần được bảo vệ một cách hết sức an toàn, giảm thiểu tối đa việc lộ lọt dữ liệu trên môi trường mạng.

Chẳng hạn, trong lĩnh vực tài chính ngân hàng, dữ liệu người dùng được bảo mật bởi các hệ thống tuân thủ theo các tiêu chuẩn riêng trong ngành. Đối với các lĩnh vực khác chưa có tiêu chuẩn cụ thể, các doanh nghiệp có thể tham khảo các tiêu chuẩn của các doanh nghiệp cùng ngành trên thế giới, hoặc nhờ sự hỗ trợ tư vấn của các doanh nghiệp cung cấp dịch vụ bảo mật tại Việt Nam.

Ông Hà Thế Phương, Phó Tổng giám đốc CMC InfoSec, nhận định: Không thể đánh giá chung mức độ an toàn của các website và ứng dụng mua bán online hiện nay, bởi vì mỗi công ty có một hình thức bảo vệ khác nhau và không có một quy chuẩn nào để đánh giá mức độ bảo mật của các đơn vị này. Khi tham gia mua bán online thì trách nhiệm của người dùng trong việc bảo vệ thông tin cá nhân cũng cần được quan tâm. Và hình thức phổ biến và dễ nhất hiện nay cho người dùng là hình thức xác thực 2 yếu tố.

Ông Ngô Tấn Vũ Khanh khuyến nghị, mỗi cá nhân cũng cần hạn chế đăng các thông tin cá nhân lên mạng xã hội như số điện thoại, email và đặc biệt là chứng minh thư, hộ chiếu. Cảnh giác khi dùng các ứng dụng bên thứ 3 khi yêu cầu quá nhiều quyền truy cập. Song song đó không dùng các phần mềm crack, không rõ nguồn gốc. Phải cài phần mềm diệt virus trên máy tính, điện thoại thường xuyên cập nhật phần mềm mới nhất và không truy cập các link lạ và mở file lạ tải về trên Internet… 

Nguồn SGGPO