Nghe về công cụ này thông qua một hội nhóm công nghệ thông tin đầu tháng 7, anh Đức không mất nhiều thời gian để tìm ra và dùng thử chatbot. Sau vài thao tác, thông tin bot hiện ra ở phần kết quả tìm kiếm công khai, cho phép người dùng tra cứu miễn phí trong lần đầu tiên.
Thử nhập số điện thoại của chính mình, anh choáng váng với tin nhắn trả về. Hàng loạt thông tin cá nhân của anh, từ họ tên, ngày sinh cho đến số giấy tờ, hộ khẩu hiện ra một cách chi tiết và chính xác. "Đây đều là những thứ tôi luôn hạn chế chia sẻ tối đa, nhưng không lại được tra cứu dễ dàng chỉ với một số điện thoại như vậy", Đức nói.
Trong số các thông tin còn có cả địa điểm và thời gian giao dịch với nhà mạng. Đức nghi ngờ dữ liệu của mình có thể bị rò rỉ từ đây.
Ngoài tra thông tin của bất kỳ ai dựa trên số điện thoại, một số chatbot Telegram còn khẳng định có thể tra tài khoản ví điện tử, mạng xã hội, biển kiểm soát xe, hóa đơn tiền điện hàng tháng.
Để tìm kiếm thông tin về người khác, người dùng được yêu cầu nạp số tiền tối thiểu 50 USD, sau đó trừ dần mỗi lần sử dụng. Việc nạp tiền được thực hiện qua giao dịch tiền điện tử để xóa dấu vết.
Các bộ thông tin này được bán từ 0,001 đến hơn một USD, trong đó rẻ nhất là dữ liệu tài khoản Facebook. Chỉ cần nhập tên, năm sinh và tỉnh thành của một người nào đó, chatbot sẽ trả về thông tin cá nhân trùng khớp với giá 1,24 USD (30 nghìn đồng).
Ngoài chatbot, việc mua bán dữ liệu cá nhân còn được thực hiện qua các kênh, tài khoản trên Telegram. Những bộ dữ liệu được lọc theo nhóm người dùng "có thẻ tín dụng", "có ôtô", "có gửi tiết kiệm"... và được bán từ 300 đến 3.000 đồng tùy số lượng. Người mua nhận về danh sách đầy đủ từ họ tên, địa chỉ, số điện thoại, CCCD cho đến số dư tài khoản.
"Đây đều là dữ liệu đã được kiểm tra, đảm bảo hoạt động và cam kết một đổi một nếu sai", một người bán dữ liệu thẻ tín dụng khẳng định, đồng thời gửi các bản mẫu để người mua xem trước nếu nghi ngờ.
Khó ngăn chặn
Theo các chuyên gia bảo mật, chatbot trên Telegram chỉ là công cụ chia sẻ tự động. Nguyên nhân sâu xa nằm ở nơi nắm giữ dữ liệu người dùng, ví dụ nhà mạng, mạng xã hội, ngân hàng... Đây là những bên có quyền truy cập thông tin, nhưng đã không bảo vệ đúng cách, khiến chúng bị rò rỉ và trở thành dữ liệu cho chatbot.
Khi dữ liệu đã được rao trên các nền tảng OTT xuyên biên giới như Telegram, việc ngăn chặn trở nên khó khăn. "Các nhóm có thể dùng sim nước ngoài để đăng ký tài khoản, sau đó sử dụng tài khoản đó để trao đổi, hoạt động tại Việt Nam mà cũng không gặp vấn đề gì. Truy tìm kẻ lừa đảo trên mạng OTT vô cùng phức tạp vì thông tin truyền trên OTT được mã hóa và có thể xóa vĩnh viễn theo yêu cầu của người gửi", chuyên gia bảo mật Vũ Ngọc Sơn đánh giá.
Với chatbot mua bán dữ liệu, theo ông Sơn, cách duy nhất để xử lý là thông qua nền tảng, tức báo cáo và yêu cầu Telegram gỡ bỏ, nhưng còn phụ thuộc vào việc "họ có hợp tác hay không".
Đại diện một nhà mạng lớn cho biết đang tiến hành kiểm tra và "trước mắt chưa tìm thấy lỗ hổng từ phía nhà mạng". Trong khi đó, dự thảo Luật Viễn thông sửa đổi đang đề xuất đưa các ứng dụng OTT có tính năng gọi điện và nhắn tin như Telegram vào diện quản lý, nhằm đảm bảo vệ người dùng.
Sự dung túng của Telegram
Trả lời VnExpress về tình trạng dữ liệu của người Việt bị rao bán trên nền tảng, người phát ngôn Remi Vaughn của Telegram khẳng định: "Kể từ khi thành lập, Telegram đã tích cực kiểm duyệt nội dung có hại trên nền tảng của chúng tôi, bao gồm cả việc xuất bản và bán thông tin cá nhân".
Đại diện ứng dụng cho biết việc rà soát được thực hiện qua những người kiểm duyệt, kết hợp giám sát chủ động trong các nội dung công khai và các báo cáo của người dùng. Nội dung vi phạm sau khi kiểm tra sẽ bị xóa.
"Nếu tìm thấy dữ liệu riêng tư bị bán, người dùng có thể sử dụng công cụ báo cáo trong ứng dụng để gửi cho người kiểm duyệt", Vaughn khẳng định.
Tuy nhiên, không như công bố của nền tảng, hầu hết chatbot, group kể trên đều ở dạng công khai, nhưng vẫn tồn tại trong thời gian dài. Mục "Report" của Telegram tập trung vào các vi phạm như nội dung spam, bạo lực, khiêu dâm, lạm dụng trẻ em, vi phạm bản quyền, mà không có mục cho báo cáo vi phạm dữ liệu.
Bốn ngày sau khi phản ánh về công cụ phát tán dữ liệu với đội ngũ Telegram, Đức cho biết chatbot vẫn tồn tại.
Lưu Quý