Dữ liệu thông tin từ CMND của các cá nhân cũng được nhiều tổ chức nắm giữ - Ảnh: NGỌC PHƯỢNG
Trao đổi với Tuổi Trẻ hôm 16-5, trung tướng Tô Ân Xô - chánh văn phòng, người phát ngôn Bộ Công an - cho biết đang xem xét và yêu cầu các đơn vị chức năng vào cuộc xác minh, điều tra vụ trên mạng rao bán thông tin được cho là lấy từ kho lưu trữ chứng minh nhân dân (CMND), căn cước công dân (CCCD) của gần 10.000 người Việt Nam.
Bán dữ liệu, trả bằng Bitcoin
Hai ngày qua, cộng đồng mạng xôn xao về thông tin một thành viên diễn đàn Raid... - chuyên mua bán dữ liệu của hacker - rao bán thông tin được cho là lấy từ kho lưu trữ CMND, CCCD của gần 10.000 người dân Việt Nam.
Trên diễn đàn này, tài khoản có tên Ox1337xO cho biết đang sở hữu gói dữ liệu KYC (Know Your Customer) - dữ liệu để xác minh thông tin người dùng, bao gồm các thông tin xác định danh tính người dùng như họ tên, ngày sinh, địa chỉ, email, điện thoại, số chứng minh... kèm theo hình ảnh chân dung, hình chụp mặt trước và sau CMND/CCCD.
Thành viên này cho biết toàn bộ dữ liệu này đều là thông tin của người dùng Việt Nam. Để minh chứng cho chất lượng của gói dữ liệu, thành viên này còn chia sẻ một số ảnh chụp màn hình gồm một số giấy tờ, sổ hộ khẩu của người Việt Nam.
Giá bán của gói dữ liệu này được rao lúc đầu ở mức 9.000 USD (khoảng 207 triệu đồng), sau đó hạ xuống còn 4.300 USD (khoảng 99 triệu đồng). Người bán cũng cho biết chỉ nhận thanh toán bằng hai hình thức là tiền điện tử Bitcoin (0,2 BTC) hay Litecoin (2,8 LTC) hoặc qua người trung gian.
Gói dữ liệu có dung lượng đến 17GB, theo ước tính của các chuyên gia bảo mật, chúng có thể chứa đựng thông tin đến 10.000 người. Đến sáng 16-5, bài viết này đã bị xóa không rõ nguyên nhân.
Trước đó, thành viên Ox1337xO còn rao bán khá nhiều gói dữ liệu của người dùng Việt Nam khác như: gói thông tin email (họ tên, tên đăng nhập, mật khẩu, địa chỉ email, giới tính...), gói thông tin thanh toán (họ tên người thanh toán, email, số điện thoại, địa chỉ), gói hình ảnh chụp CMND/CCCD nặng 4GB... Giá các gói được rao bán từ 1.000 USD (hơn 23 triệu đồng).
Theo ghi nhận của Tuổi Trẻ, nhiều gói thông tin cá nhân khác của người dùng Việt Nam cũng bị rao bán trên diễn đàn "chợ đen" này trong thời gian gần đây.
Chẳng hạn: gói dữ liệu 15 triệu thông tin người dùng Việt Nam (họ tên, địa chỉ email, số điện thoại di động), gói dữ liệu 2,8 triệu doanh nghiệp Việt Nam (tên gọi, tên đầy đủ, mã số thuế, số điện thoại, người đại diện pháp luật, số đăng ký, hoạt động kinh doanh, địa chỉ), gói dữ liệu 8,38 triệu công dân Việt Nam (thẻ CMND, CCCD, họ tên, ngày sinh, số điện thoại, địa chỉ đầy đủ, công việc), gói gần 400.000 mật khẩu email của người dùng Việt, gói thông tin "đã xác thực" hơn 55.000 người Việt vay tiêu dùng (ngoài thông tin cá nhân còn có thông tin về tình trạng hôn nhân, có con cái hay chưa, người thân, việc làm, địa chỉ Facebook, tài khoản ngân hàng)...
Với quyền truy cập vào số điện thoại, ID người dùng, tên đầy đủ và thậm chí cả địa chỉ email, tội phạm mạng có một mảnh đất "màu mỡ" để khởi động nhiều cuộc tấn công mạng dưới dạng lừa đảo, xâm nhập vào hệ thống công nghệ thông tin của tổ chức để triển khai tấn công lừa đảo hay mã độc tống tiền.
Ông Yeo Siang Tiong (tổng giám đốc Kaspersky Đông Nam Á)
Bộ Công an lên tiếng
Trao đổi với Tuổi Trẻ, trung tướng Tô Ân Xô cho biết các hình ảnh trên mạng đều là CMND dạng cũ, không phải CCCD mới. Hiện chưa biết các thông tin này bị lộ ra từ nguồn nào vì có nhiều cơ quan có thể có các thông tin này như ngân hàng, hàng không, quản lý đất đai, thậm chí là bưu điện, cửa hàng bán điện thoại...
"Chưa biết hacker lấy những thông tin, CMND từ nguồn nào và đưa lên mạng rao bán còn mục đích gì khác hay không. Hiện đang còn rất nhiều vấn đề trong vụ việc này đang cần làm rõ", chánh Văn phòng Bộ Công an nói.
Theo ông Xô, tội phạm có thể lợi dụng những thông tin trên vào rất nhiều mục đích, trong đó có những mục đích xấu. Tuy nhiên, tùy vào từng trường hợp, dịch vụ, thủ tục hành chính chứ không phải dịch vụ nào cũng có thể lợi dụng thông tin cá nhân.
Ví dụ có những dịch vụ thì chỉ cần khai thông tin cá nhân trên mạng nên kẻ xấu dễ lợi dụng. Có những dịch vụ các cơ quan bắt buộc làm việc trực tiếp với chủ thể cá nhân, đối chiếu khuôn mặt trên CMND với khuôn mặt thực tế nên tội phạm khó có thể sử dụng thông tin cá nhân vào mục đích xấu.
"Các nhà cung cấp dịch vụ cần có biện pháp để quản lý thông tin riêng của khách hàng và yêu cầu khách hàng cung cấp thông tin tùy theo từng mức độ cần thiết", trung tướng Xô cảnh báo.
Trung tá Đào Trung Hiếu - chuyên gia tội phạm học, Bộ Công an - cho biết hiện nay tình trạng mua bán thông tin cá nhân công dân như họ tên, địa chỉ, email, số điện thoại... đang diễn biến rất phức tạp trên không gian mạng. Xuất phát từ nhu cầu đưa sản phẩm hàng hóa, dịch vụ tiếp cận thị trường, các doanh nghiệp sẵn sàng trả tiền cho việc mua thông tin cá nhân. Ngoài ra, người mua có thể sử dụng thông tin vào các mục đích khác.
"Nhiều đơn vị, cá nhân có trách nhiệm quản lý dữ liệu thông tin cá nhân của nhiều người, coi đó là một loại tài nguyên có giá trị khi đem ra bán các tệp dữ liệu cho người có nhu cầu để vụ lợi. Việc này là vi phạm nghĩa vụ bảo mật thông tin. Bên cạnh đó, dữ liệu thông tin có thể bị lộ, lọt do bị hack (tấn công máy tính chứa dữ liệu để chiếm đoạt)", trung tá Hiếu nói.
Mua bán thông tin cá nhân, CMND/CCCD bị xử phạt đến 7 năm tù
Theo luật sư Hà Hải - phó chủ nhiệm Đoàn luật sư TP.HCM, tùy vào hành vi vi phạm mà có thể bị xử phạt hành chính hoặc truy cứu trách nhiệm hình sự và phải bồi thường thiệt hại dân sự theo quy định.
Cụ thể, trường hợp doanh nghiệp và cá nhân, tổ chức khác mua bán hoặc trao đổi trái phép thông tin người sử dụng dịch vụ viễn thông thì có thể bị xử phạt 50 - 70 triệu đồng theo khoản 5 điều 102 nghị định 15/2020/NĐ-CP.
Trường hợp cá nhân (có thể là hacker), tổ chức có hành vi thu thập, xử lý và sử dụng thông tin của tổ chức, cá nhân khác (sử dụng dịch vụ viễn thông) mà không được sự đồng ý hoặc sai mục đích theo quy định của pháp luật có thể bị xử phạt từ 10 - 20 triệu đồng theo điểm e, khoản 3, điều 102 nghị định 15/2020/NĐ-CP.
Về xử lý hình sự: doanh nghiệp, đơn vị, cá nhân có hành vi mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân trên mạng máy tính, mạng viễn thông mà không được phép của chủ sở hữu thông tin đó thì bị phạt tù mức cao nhất đến 7 năm về tội danh "tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông" (điều 288 Bộ luật hình sự 2015).
THÁI AN
Dữ liệu "lộ" từ đâu?
Theo nhận định của các chuyên gia an ninh mạng, gói dữ liệu KYC đang được rao bán trên mạng nhiều khả năng được thu thập từ nhiều nguồn khác nhau chứ không phải từ duy nhất một nơi. Theo nhận định của ông Nguyễn Minh Đức, giám đốc Công ty an ninh mạng CyRadar, vụ rò rỉ thông tin nêu trên có thể không phải từ một cá nhân mà là từ một công ty cung cấp dịch vụ có lưu chứng minh thư.
Hiện nay có rất nhiều doanh nghiệp, tổ chức lưu đầy đủ thông tin người dùng, không chỉ các ngân hàng, ví điện tử, các dịch vụ tài chính, nhà mạng di động mà cả các ứng dụng gọi xe công nghệ cũng thu thập (thông tin tài xế).
Cũng theo ông Đức: "Trong gói dữ liệu rao bán có một thư mục tên là KYC nên cũng có khả năng các tổ chức thuê một công ty phần mềm viết cho mình giải pháp KYC. Khi đó, công ty phải chuyển một phần dữ liệu khách hàng cho các công ty phần mềm. Việc trao đổi dữ liệu của khách hàng với bên thứ ba lại chưa được chuẩn hóa nên hoàn toàn có khả năng bị lộ".
Ông Ngô Trần Vũ, giám đốc Công ty bảo mật NTS, cũng cho rằng: "Dữ liệu công dân do hacker đưa ra chưa xác thực về nội dung và nguồn gốc của thông tin đó. Có thể đây chỉ là chiêu trò tìm kiếm khách hàng của hacker để làm những phi vụ lớn hơn".
Tuy nhiên, dù gói dữ liệu được cho là thu thập nhiều nguồn khác nhau nhưng các chuyên gia an ninh mạng vẫn đánh giá vụ việc là khá nghiêm trọng. Ông Nguyễn Văn Cường, trưởng phòng an ninh mạng Tập đoàn công nghệ Bkav, cho rằng: "Đây là vụ việc khá nghiêm trọng vì dữ liệu của gần 10.000 người dùng bị lộ, trong đó có cả ảnh mặt trước và sau của CMND, video xác thực eKYC.
Đối với người dùng bị lộ thông tin lần này là rất nguy hiểm, hoàn toàn có thể bị lợi dụng vào các mục đích lừa đảo trên mạng, bởi gói dữ liệu này cung cấp đủ tất cả thông tin cần thiết để xác minh danh tính của một người: số điện thoại, hình ảnh CMND/hộ chiếu, nếu cần còn có cả video xác thực".