Nhiều lỗ hổng trong việc bảo mật dữ liệu cá nhân

• Dữ liệu cá nhân người dùng Facebook rò rỉ lên diễn đàn Hacker
• Đề xuất xử phạt 80 triệu đồng đối với hành vi tiết lộ dữ liệu cá nhân trái phép

Khởi tố, bắt bị can để tạm giam 3 tháng đối với Dư Anh Quý (SN 1988) và ra quyết định khởi tố bị can, cấm đi khỏi nơi cư trú đối với Lại Thị Phương (SN 1992, nơi ở hiện nay xã Đông Hội, huyện Đông Anh, TP. Hà Nội), vợ của Quý, Giám đốc Công ty VNIT TECH.

Dữ biệu bị chiếm đoạt, mua bán thuộc hầu hết các lĩnh vực, ảnh hưởng đến hàng triệu cá nhân, tổ chức trên toàn quốc. Hoạt động rao bán diễn ra công khai, dưới nhiều hình thức khác nhau, bao gồm mua bán trao đổi dưới dạng các gói dữ liệu thô, dữ liệu được cung cấp thông qua dịch vụ hỗ trợ quảng bá, chăm sóc khách hàng...

Cục An ninh mạng và Văn phòng điều tra tiến hành khám xét địa điểm liên quan đến vụ án.

Liên tiếp xảy ra những vụ lộ lọt dữ liệu cá nhân

Cuối tháng 1-2021, Cục An ninh mạng và PCTP sử dụng công nghệ cao và Văn phòng Cơ quan Cảnh sát điều tra, Bộ Công an đã phối hợp với Công an Hà Nội, TP. Hồ Chí Minh, Thanh Hóa, Long An, Đồng Nai thực hiện khám xét khẩn cấp 7 địa điểm, áp dụng biện pháp tố tụng đối với 15 đối tượng có liên quan đến đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn. Ngày 26-2-2021, Văn phòng Cơ quan Cảnh sát điều tra, Bộ Công an đã ra quyết định khởi tố vụ án “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”.

Cơ quan điều tra xác định các đối tượng đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300Gb dữ liệu, chứa hàng tỉ thông tin về các cá nhân, tổ chức trên toàn quốc là khách hàng điện lực; phụ huynh, học sinh tại các trường trên cả nước; khách hàng của nhiều ngân hàng, trong đó có các ngân hàng lớn nhất Việt Nam; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng viễn thông lớn nhất Việt Nam; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy trên toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, nha khoa, thời trang, thẩm mỹ viện...

Cán bộ cơ quan cảnh sát điều tra đọc lệnh khởi tố Dư Anh Quý.

Đây chỉ là một trong những vụ chiếm đoạt, mua bán, sử dụng trái phép dữ liệu cá nhân được phát hiện. Trước đó, vào tháng 4-2019, đã xảy ra vụ lộ dữ liệu của khoảng 160 triệu người dùng Zing ID, bao gồm: mật khẩu (được mã hóa ở dạng đơn giản, có thể dễ dàng “bẻ khóa”), câu trả lời cho câu hỏi bí mật, tên đăng nhập, mã game (gamecode), email, số điện thoại, tên đầy đủ, ngày sinh, địa chỉ, IP, thành phố, quốc gia sinh sống... (dung lượng của gói dữ liệu này lên đến 7.55Gb). Trong đó, khoảng 75 triệu thông tin “thật” (PII) của người dùng: tên, ngày sinh, email, số điện thoại, số chứng minh thư hoặc địa chỉ. Công ty VNG không chính thức thừa nhận đã bị lộ thông tin của hơn 163 triệu người dùng mà chỉ cho biết họ “đã ghi nhận việc 160 triệu Zing ID có nguy cơ bị rò rỉ” từ năm 2015.

Tháng 11-2018, dữ liệu được cho là của hơn 2.000 nhân viên Công ty Con cưng, bao gồm: tên tuổi, địa chỉ, số điện thoại, email, chức vụ của nhân viên, vị trí cửa hàng làm việc... được tung lên mạng.

Trong lĩnh vực ngân hàng, vào tháng 11-2019, dữ liệu được cho là của khoảng 2 triệu khách hàng của một ngân hàng đã bị lộ, thông tin bao gồm: tên, số CMND, số điện thoại, địa chỉ, ngày sinh, giới tính, email, nghề nghiệp. Trong vụ bị tấn công, chiếm quyền điều khiển một số máy tính của Vietnam Airlines tháng 7-2016, dữ liệu của hơn 400.000 khách hàng bị lộ, thông tin bao gồm: thông tin cá nhân, ngày gia nhập, điểm tích lũy, ngày hết hạn thành viên.

Trên thế giới cũng đã xảy ra nhiều vụ lộ dữ liệu cá nhân tương tự do nhiều nguyên nhân từ lỗ hổng bảo mật trong máy chủ dữ liệu trung gian, bị hacker tấn công...

Nhiều lỗ hổng quản lý

Trao đổi với chúng tôi, lãnh đạo Cục An ninh mạng và PCTP sử dụng công nghệ cao cho biết, dưới dạng các gói dữ liệu “thô”, Cục An ninh mạng và PCTP sử dụng công nghệ cao phát hiện hàng trăm cá nhân, tổ chức liên quan, bao gồm các công ty cung cấp giải pháp công nghệ thông tin, nhân viên ngân hàng, nhân viên cơ quan nhà nước, nhân viên có khả năng truy cập các hệ thống chứa dữ liệu cá nhân (giáo dục, y tế, ngân hàng, chứng khoán, bệnh viện...), nhân viên kinh doanh, môi giới dịch vụ (bất động sản, bảo hiểm, giáo dục...).

Các “gói” dữ liệu rao bán chứa thông tin như gồm khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng, chứng khoán, bảo hiểm, hồ sơ đăng ký kinh doanh, trường học, thông tin hộ khẩu, thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy...

Những dữ liệu này bị rao bán công khai, trong thời gian dài, với số lượng lớn trên không gian mạng thông qua nhiều trang web, tài khoản, trang, nhóm trên mạng xã hội Facebook, Zalo, Telegram, diễn đàn tin tặc (raidforums.com...); sử dụng các tài khoản ngân hàng để giao dịch, trong đó nhiều giao dịch ghi rõ nội dung mua bán dữ liệu (data).

Dữ liệu cá nhân được rao bán.

Trong vụ án này, các đối tượng có 6 ổ nhóm, trong đó vợ chồng Dư Anh Quý và Lại Thị Phương đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300Gb dữ liệu chứa hàng tỷ thông tin về các cá nhân, tổ chức trên toàn quốc.

Những dữ liệu này được các đối tượng thu thập từ nhiều nguồn và bằng nhiều phương thức khác nhau, đáng chú ý là lợi dụng quyền quản trị hệ thống để trích xuất trực tiếp dữ liệu từ các hệ thống của cơ quan, doanh nghiệp nhà nước. Dư Anh Quý trước khi bị khởi tố, bắt tạm giam đã từng làm việc cho một tập đoàn.

Trong quá trình này, Quý đã sử dụng quyền quản trị được cấp để trích xuất trực tiếp dữ liệu về toàn bộ khách hàng trên 63 tỉnh, thành phố từ hệ thống quản lý khách hàng. Một đối tượng khác là NLM.L trong thời gian được một công ty giao hỗ trợ kỹ thuật tại một cơ quan cấp sở của Hà Nội đã truy cập 2 hệ thống (Hệ thống quản lý doanh nghiệp và hộ cá thể, hệ thống quản lý báo cáo doanh nghiệp) và trích xuất trái phép dữ liệu chứa thông tin chi tiết về doanh nghiệp, hộ kinh doanh trên địa bàn Hà Nội. Đối tượng V.T.T trong thời gian làm nhân viên tại công ty đã cung cấp dịch vụ sổ liên lạc điện tử, đã thu thập khoảng 15.000 dữ liệu là tên, số điện thoại của phụ huynh học sinh một số trường học trên địa bàn Hà Nội để bán kiếm lời.

Hiện các lực lượng chức năng Bộ Công an đang điều tra mở rộng, làm rõ những đối tượng thực hiện hành vi xâm nhập, chiếm đoạt dữ liệu “gốc” từ các hệ thống thông tin dữ liệu của cơ quan, tổ chức để cung cấp cho các đối tượng mua bán; làm rõ trách nhiệm của chủ quản các hệ thống thông tin do buông lỏng quản lý bị các đối tượng lợi dụng chiếm đoạt dữ liệu để kiến nghị hình thức, biện pháp xử lý phù hợp; làm rõ các cá nhân, tổ chức mua, sử dụng trái phép dữ liệu để xử lý theo quy định pháp luật.

Ngoài ra, dữ liệu cá nhân còn được mua bán dưới dạng dịch vụ gồm quảng cáo, chăm sóc khách hàng. Trong trường hợp này, các đối tượng sử dụng dữ liệu thu thập được xây dựng thành hệ thống gồm nhiều chức năng phục vụ quảng cáo, chăm sóc khách hàng và bán dưới dạng dịch vụ (khách hàng được cấp tài khoản sử dụng), phổ biến là dịch vụ xác định số điện thoại Facebook và thuê bao 3G, 4G. Sau khi xác định số điện thoại Facebook (tài khoản Facebook thường sử dụng số điện thoại để tạo lập, xác thực, phục hồi tài khoản)...

Lợi dụng tính năng này, nhiều đối tượng đã thu thập số điện thoại của tài khoản người dùng Facebook Việt Nam (hàng trăm triệu số). Dữ liệu này sau đó được các đối tượng mua đi bán lại và xây dựng thành hệ thống, cung cấp dưới dạng dịch vụ để cá nhân, tổ chức kinh doanh có được số điện thoại của khách hàng để gọi điện quảng cáo, tự vấn, chăm sóc khách hàng... Một số trang dạng này, như: databox.vn, databoxviet.com, laydata.com, vltoolkit.com...

Qua quá trình đấu tranh, lực lượng chức năng Bộ Công an đã vô hiệu hóa 350Gb dữ liệu, chứa gần 500 triệu thông tin cá nhân liên quan của người dùng mạng xã hội tại Việt Nam. Để chiếm đoạt được dữ liệu cá nhân của người dùng, ngoài thủ đoạn tinh vi của đối tượng gây án còn có sự lỏng lẻo của mỗi người dân trong việc bảo mật dữ liệu thông tin.

Đối tượng Lại Thị Phương.

Công tác đấu tranh của lực lượng chức năng Bộ Công an thời gian qua đã thu được những kết quả quan trọng, làm rõ thực trạng khai thác, sử dụng trái phép dữ liệu cá nhân, chỉ ra những lỗ hổng về quản lý và pháp lý đối với dữ liệu cá nhân; làm rõ một số đường dây, cá nhân, tổ chức có hành vi xâm nhập, chiếm đoạt, thu thập, sử dụng trái phép dữ liệu cá nhân để xử lý theo quy định pháp luật, tạo sức răn đe, vô hiệu hóa nhiều hệ thống thu thập, khai thác, cung cấp dữ liệu cá nhân trái phép; thu hồi lượng lớn dữ liệu bị thu thập, sử dụng trái phép.