Báo động nạn lộ lọt thông tin cá nhân

Hàng loạt vụ mua bán trái phép tài khoản cá nhân bị triệt phá

Ngày 8-7, trên một diễn đàn trực tuyến có thông tin rao bán dữ liệu của 30 triệu hồ sơ người dùng, được thu thập từ website về giáo dục với giá 3.500 USD. Kèm theo mẫu dữ liệu là thông tin của một số giáo viên và học sinh ở Việt Nam. Người rao bán cho biết, dữ liệu này thu thập được từ một website trường học phổ biến ở Việt Nam.

Cùng với đó, hacker cũng công khai các thông tin, bao gồm tên đăng nhập, email, số điện thoại, họ tên đầy đủ, ngày sinh, trường học và địa chỉ, là những dữ liệu chưa từng rò rỉ trước đây. Tài khoản này đăng ảnh chụp thông tin của khoảng 70 người, hầu hết là giáo viên và cho biết có thể cung cấp con số lớn hơn như vậy. Khi tìm theo tên tài khoản cho thấy, người này còn rao bán dữ liệu của 360.000 sinh viên Việt Nam, được thu thập từ một website về giáo dục.

Trước đó, trên một diễn đàn chuyên mua bán dữ liệu của hacker cũng rao bán thông tin CMND/CCCD của gần 10.000 người dân Việt Nam. Tài khoản có tên Ox1337xO cho biết đang sở hữu gói dữ liệu KYC (Know Your Customer) - dữ liệu để xác minh thông tin người dùng, bao gồm các thông tin xác định danh tính người dùng như họ tên, ngày sinh, địa chỉ, email, điện thoại, số chứng minh... kèm theo ảnh chân dung, ảnh chụp mặt trước và sau CMND/CCCD.

Để chứng minh tính xác thực, tài khoản này còn chia sẻ ảnh chụp màn hình một số giấy tờ, sổ hộ khẩu của người Việt Nam và chấp nhận mua bán qua một bên trung gian nếu người mua nghi ngờ. Giá bán của gói dữ liệu này được rao với mức 9.000 USD, người bán cũng cho biết chỉ nhận thanh toán bằng 2 hình thức là tiền điện tử Bitcoin (0,2 BTC) hay Litecoin (2,8 LTC) hoặc qua người trung gian.

Đặc biệt, trên các diễn đàn, hội nhóm trên mạng, chúng tôi cũng thu nhận được không ít thông tin về việc mua bán tài khoản, thông tin cá nhân. Có nhóm công khai, có nhóm kín nhưng đều chung đặc điểm là đối tượng rao bán các thông tin CCCD/CMND, tài khoản ngân hàng... Đối tượng rao bán cam kết, có đầy đủ thông tin của các cá nhân, người mua có thể sử dụng để mở tài khoản ngân hàng và các mục đích khác nhau.

Để ngăn chặn, xử lý các hành vi này, thời gian qua, Bộ Công an đã chỉ đạo các lực lượng tăng cường thu thập tài liệu để đấu tranh, đưa các đối tượng có hành vi trên ra xử lý trước pháp luật.

Điển hình như, Công an tỉnh Thừa Thiên-Huế khởi tố bị can và bắt tạm giam đối với Lê Đất, Nguyễn Thanh Quý, Ngô Thị Hồng Nhung và Thái Thị Oanh đều cùng trú tại Thừa Thiên-Huế và Nguyễn Thị Huyền Trang, trú tại TP. Thái Nguyên) về tội “đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”.

Theo tài liệu điều tra, Lê Đất đóng vai trò quản lý nhóm, chịu trách nhiệm tìm kiếm nguồn cung cấp dữ liệu cá nhân sau đó mua lại rồi bán cho khách hàng; đăng tải các nội dung quảng cáo mua bán dữ liệu cá nhân trên các hội nhóm trên mạng xã hội và trực tiếp tiến hành giao dịch với người có nhu cầu.

Các đối tượng, Quý, Nhung, Oanh được giao nhiệm vụ lọc, sắp xếp các nguồn dữ liệu, kiểm tra tình trạng của các tài khoản đã mua và đăng quảng cáo trên mạng xã hội. Riêng Nguyễn Thị Huyền Trang là nguồn cung cấp dữ liệu chính cho nhóm của Lê Đất từ 7.000-10.000 dữ liệu/ngày và tổng số dữ liệu đã cung cấp là khoảng 1 triệu thông tin cá nhân.

Tại cơ quan điều tra, Lê Đất khai nhận, các đối tượng đã mua và quản lý khoảng 6,2 triệu thông tin dữ liệu cá nhân trên cả nước với tổng số tiền khoảng 720 triệu đồng. Ngoài ra, các thành viên của đường dây này còn sử dụng tài khoản truy cập trái phép vào mạng riêng ảo của Công ty tài chính, truy cập vào hệ thống công ty với mục đích để kiểm tra trạng thái hồ sơ khách hàng đã từng vay tại ngân hàng.

Trước đó, Công an tỉnh Phú Thọ cũng đã điều tra, bắt giữ nhóm đối tượng do Nguyễn Lê Thanh Tú, trú tại quận Phú Nhuận, TP Hồ Chí Minh cầm đầu có hành vi bán thông tin khách hàng. Tú quen với Nguyễn Thái Thịnh (cựu cán bộ Ngân hàng Sacombank chi nhánh Gò Vấp, TP Hồ Chí Minh) và 2 đồng nghiệp của Thịnh là Đoàn Lê Trí Viễn và Lê Thái Nhân để thực hiện kế hoạch chiếm đoạt tiền của khách hàng.

Theo đó, Tú đã mua của Viễn, Thịnh, Nhân thông tin tài khoản của các công ty, sau đó đặt mua CMND/CCCD mang tên giả (nhưng dùng ảnh của các đối tượng trong nhóm của Tú) để mở tài khoản ngân hàng và đặt mua dấu giả để làm giấy tờ giả, rồi phân công nhiệm vụ cho các thành viên dùng các loại giấy tờ giả đến ngân hàng làm thủ tục đề nghị chuyển tiền từ tài khoản của các công ty mà Tú để chiếm đoạt...

Lộ lọt thông tin từ đâu?

Mặc dù Cơ quan công an đã điều tra, xử lý rất nhiều vụ mua bán trái phép tài khoản nhưng tình trạng này vẫn diễn ra rất phổ biến. Cũng chính vì lộ lọt thông tin cá nhân nên hàng ngày các đối tượng xấu đã gọi điện, nhắn tin lừa đảo người dân dưới nhiều hình thức khác nhau như giả danh công an, viện kiểm sát, tòa án... để đe dọa, yêu cầu người dân chuyển tiền cho chúng. Cũng do đã nắm được thông tin cá nhân nên các đối tượng biết rõ số CMND/CCCD, địa chỉ thậm chí cả tên tuổi các thành viên trong gia đình bị hại nên khi chúng đe dọa, các bị hại thường nghĩ chúng là cán bộ công quyền thật, lo sợ dẫn đến chuyển tiền cho chúng.

Ngoài ra, khi có thông tin cá nhân của người dùng, các công ty, doanh nghiệp mua bán nhà đất, cho vay nợ... thường xuyên gọi điện quấy rối, làm phiền khiến nhiều người dân rất bất bình.

Theo các chuyên gia thì nguyên nhân lộ lọt thông tin cá nhân có thể xuất phát từ chính sự bất cẩn của người dùng và có thể bị hack thông tin cũng như bị thu thập từ nhiều nguồn khác nhau. Việc thu thập có thể từ các hacker xâm nhập dữ liệu của các tổ chức, cá nhân; có thể do các tổ chức có thông tin khách hàng tuồn ra bên ngoài. Điển hình nhất là đối với những người thai sản, sau khi đi khám thai, lập tức sẽ có rất nhiều đơn vị bán sữa, dạy cách nuôi con... gọi điện chào mời; những người có con trong độ tuổi đi học sẽ bị các trung tâm tiếng Anh, trung tâm gia sư... mời chào.

Bên cạnh những nguyên nhân có thể bị lộ ra bởi các hacker hoặc lộ ra từ những cơ quan, tổ chức, doanh nghiệp lưu trữ thông tin cá nhân người dùng, các chuyên gia cũng chỉ ra rằng, ngoài thông tin CMND/CCCD còn rất nhiều thông tin khác hiện đã hoặc có nguy cơ bị rò rỉ. Ví dụ, thông tin số điện thoại, thông tin đăng nhập tài khoản Facebook, Gmail, tài khoản ngân hàng...

Trong đó, nguyên nhân lộ lọt những thông tin này chủ yếu xuất phát từ sự bất cẩn và dễ dãi của người dung trong quá trình tham gia hoạt động trên môi trường không gian mạng. Trên thực tế, có rất nhiều người chủ quan khi nhận được một cuộc điện thoại nào đó yêu cầu cung cấp các thông tin cá nhân như CMND/CCCD, mã OTP để ngân hàng kiểm tra là họ cũng cung cấp. Và, đương nhiên khi cung cấp là sẽ mất tiền.

Cần có hành lang pháp lý

Về chuyện lộ dữ liệu thông tin cá nhân của người dân, trong phiên chất vấn sáng 10-8, phiên họp thứ 14 Ủy ban Thường vụ Quốc hội, Bộ trưởng Bộ Công an Tô Lâm khẳng định, thực trạng lộ lọt thông tin hiện nay rất đáng báo động. Theo Bộ trưởng Tô Lâm, sở dĩ câu chuyện đó ngang nhiên diễn ra và ngày càng đáng báo động do hành lang pháp lý chưa hoàn thiện, ý thức của người dân về bảo vệ thông tin cá nhân chưa cao. Trước thực trạng này, Bộ Công an đã triển khai xây dựng hành lang pháp lý về bảo vệ dữ liệu cá nhân.

“Bộ Công an đã trình Chính phủ dự thảo nghị định về vấn đề này, dự kiến sẽ được ban hành trong thời gian ngắn tới đây” - Bộ trưởng Tô Lâm cho hay.

Theo Bộ trưởng Tô Lâm, Bộ Công an đang nghiên cứu, dự kiến đến năm 2024 tham mưu Chính phủ trình Quốc hội Luật về bảo vệ dữ liệu cá nhân. Theo kinh nghiệm quốc tế, nhiều nước đã có đạo luật riêng về bảo vệ dữ liệu cá nhân.

Cũng liên quan đến câu chuyện lộ lọt thông tin cá nhân, chiều 15-8, thảo luận về Dự án Luật Bảo vệ quyền lợi người tiêu dùng (sửa đổi), Chủ nhiệm Ủy ban Khoa học, Công nghệ và Môi trường của Quốc hội Lê Quang Huy đã đánh giá nội dung nổi bật của dự án luật này là đưa các quy định để bảo vệ thông tin và sử dụng thông tin của người tiêu dùng.

“Để bảo vệ thông tin của người tiêu dùng, cần quy định rõ trường hợp tổ chức, cá nhân kinh doanh ủy quyền hoặc thuê bên thứ ba thực hiện việc thu thập, lưu trữ, sử dụng, chỉnh sửa, cập nhật, hủy bỏ thông tin của người tiêu dung thì phải được sự đồng ý của người tiêu dùng” - ông Lê Quang Huy nhấn mạnh.

Góp ý về vấn đề này, Chủ nhiệm Ủy ban Kinh tế của Quốc hội Vũ Hồng Thanh cũng cho rằng, thời gian qua tồn tại tình trạng tin nhắn “rác”, cuộc gọi “rác” giới thiệu về bất động sản, mua hàng, dịch vụ chăm sóc sức khỏe... Thực tế đang đòi hỏi tại dự án luật phải có quy định để ngăn chặn tổ chức, cá nhân kinh doanh ủy quyền hoặc thuê bên thứ ba lợi dụng việc thu thập, lưu trữ, sử dụng thông tin của người tiêu dùng, tránh bị lạm dụng và gây phiền toái. Tuy nhiên, trong lúc chờ hoàn thiện hành lang pháp lý, thì từng cá nhân phải nêu cao cảnh giác, tự bảo vệ dữ liệu, thông tin cá nhân, không cung cấp số CMND/CCCD, chụp ảnh các loại giấy tờ cá nhân đưa lên mạng hoặc cung cấp cho các cá nhân, tổ chức khi không cần thiết. Đồng thời, các cơ quan chức năng cũng cần đẩy mạnh điều tra, xử lý nghiêm các hành vi làm lộ lọt thông tin, rao bán dữ liệu cá nhân.