Bộ Công an: Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng

Đánh giá tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng, Bộ Công an dẫn chứng cụ thể việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng.

Thông tin Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng được Bộ Công an nêu rõ trong báo cáo đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân, thuộc dự thảo hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân.

Bộ Công an nhận định tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.

Bộ Công an nêu một số vụ việc điển hình tại báo cáo đánh giá: "Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng".

Tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng, cũng được Bộ Công an đề cập.

Theo Bộ Công an, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai, với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý, nhiều hành vi chưa được xử lý vì thiếu quy định của pháp luật.

Trong đó các dữ liệu thô bao gồm danh sách cán bộ, danh bạ nội bộ của các Bộ, tập đoàn kinh tế (Công thương, Tài chính, Giao thông Vận tải, Khoa học và Công nghệ, Nông nghiệp và Phát triển nông thôn, Thương mại, Tổng cục Thuế, Tập đoàn Than…); khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm…

Còn dữ liệu cá nhân đã qua xử lý được Bộ Công an nhận định là thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như: họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác…

Phân tích thêm về thực trạng này, Bộ Công an cho rằng các doanh nghiệp, công ty kinh doanh dịch vụ có thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin dữ liệu cá nhân nhưng không có yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác.

Các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý các loại dữ liệu đó để tiến hành kinh doanh, buôn bán.

"Việc buôn bán dữ liệu cá nhân được tiến hành có hệ thống, có tổ chức, cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc...", báo cáo của Bộ Công an nêu rõ.

Tại báo cáo đánh giá, Bộ Công an cũng đề cập đến phương thức, thủ đoạn thu thập trái phép dữ liệu cá nhân.

Cụ thể, Bộ Công an cho rằng, các đối tượng sẽ tạo lập hoặc lợi dụng các website có nội dung hấp dẫn thu hút người dùng, khi người dùng truy cập sẽ âm thầm cài cắm mã độc vào máy tính và các thiết bị thông minh mà người dùng không hề hay biết để thu thập thông tin.

Ví dụ, các đối tượng sẽ đính kèm các mã độc vào các trang game online, các trang web có nội dung đồi trụy… hoặc đối tượng tạo ra các trang đăng nhập thông tin giả mạo (Facebook, email, bank). Những trang này sẽ được gửi qua email đến nạn nhân và chúng có giao diện giống hệt với trang đăng nhập của các nhà cung cấp dịch vụ. Nếu nạn nhân mất cảnh giác và thực hiện đăng nhập thông tin trên trang web đó, thông tin sẽ được gửi đến hacker thay vì là các nhà cung cấp dịch vụ như họ nghĩ.

Một phương thức khác được Bộ Công an nêu là thủ đoạn thu thập trái phép dữ liệu cá nhân thông qua phần mềm miễn phí. Theo đó, với một số phần mềm được cung cấp miễn phí trên mạng internet, đặc biệt là đối với những phầm mềm không rõ nguồn gốc, phần mềm bẻ khóa, các đối tượng sẽ lợi dụng để cài cắm các mã độc đính kèm, khi người dùng tải về máy và tiến hành cài đặt thì vô tình cài đặt mã độc lên chính thiết bị của mình.

"Và các mã độc này sẽ tiến hành âm thầm thu thập dữ liệu cá nhân người dùng. Ví dụ: các chương trình crack, patch phần mềm; một số phần mềm diệt virus giả mạo như AntivirusGold, Antivirus PC 2009, AntiSpyware Shield Pro, DoctorTrojan...", Bộ Công an thông tin.

Tấn công qua các thiết bị thông minh cũng là phương pháp được các đối tượng sử dụng để thu thập trái phép dữ liệu cá nhân. Bộ Công an đánh giá đây là một thủ đoạn mới. Các đối tượng thường nhắm vào các thiết bị thông minh có kết nối internet như: Router wifi, camera an ninh, điện thoại thông minh…

Bằng việc tiến hành rà quét nhằm phát hiện và lợi dụng các lỗ hổng an ninh phổ biến trên các thiết bị này như sử dụng tài khoản và mật khẩu mặc định của nhà sản xuất, không cập nhật các bản vá lỗi thường xuyên… các đối tượng sẽ cài cắm mã độc nhằm theo dõi, thu thập dữ liệu, đe dọa hoặc tống tiền người dùng.