Minh Huy, sinh viên một trường đại học ở TP HCM, cho biết gần một tháng nay, anh và người nhà liên tục bị đe dọa yêu cầu trả nợ, cho dù chưa từng sử dụng dịch vụ này. Đầu dây bên kia thông báo Huy nợ số tiền không lớn, nhưng lãi suất cao và có thể lên tới hàng chục triệu đồng nếu không trả sớm. Khi anh phủ nhận, phía đòi nợ đưa ra bằng chứng với hợp đồng có ghi chính xác số căn cước công dân và điện thoại, email, thậm chí có cả thông tin cá nhân của người thân.
"Đây là những thông tin tôi từng chia sẻ cho nhiều dịch vụ khi đăng ký, nhưng chắc chắn chưa bao giờ dùng đến dịch vụ tín dụng kia", anh kể. Anh nghi ngờ một trong những lần như vậy đã khiến thông tin của mình bị lưu trữ, sau đó rơi vào tay kẻ xấu và bị sử dụng để vay vốn.
Đỗ Hương (Vĩnh Phúc) mới tiếp xúc với Internet và smartphone khoảng 5 năm. Không phải người "sành" Internet, nhưng cô cũng hiếm khi dùng đến các dịch vụ online yêu cầu để lại thông tin cá nhân. Tuy nhiên, Hương tự nhận là người thích tham gia các chương trình khuyến mại. "Mỗi khi các cửa hàng có chương trình ưu đãi gì, tôi sẵn sàng cung cấp thông tin như họ yêu cầu. Thường chỉ là số điện thoại, địa chỉ. Nhưng đôi khi trúng thưởng, họ yêu cầu chụp lại chứng minh nhân dân để làm thủ tục", Hương kể.
Tháng trước, người phụ nữ hơn 40 tuổi này nhận một cuộc gọi từ một số lạ, nói nghi ngờ cô dính dáng đến hoạt động phi pháp. Đầu dây bên kia nhận là cơ quan pháp luật, nói đúng tên và số căn cước công dân của cô. "Tôi sợ hãi và gần như làm theo tất cả những gì họ yêu cầu", Hương kể. "Một trong những cuộc gọi khi đó đòi gửi thông tin tài khoản ngân hàng. May mắn có một người thân biết chuyện và trấn an tôi, nói đó chỉ là lừa đảo. Nếu không tôi đã dâng hết tiền cho họ".
Huy, Hương là hai trong số rất nhiều nạn nhân của việc rò rỉ dữ liệu cá nhân được ghi nhận thời gian qua. Trong báo cáo trước Ủy ban Thường vụ Quốc hội hôm 10/8, Bộ trưởng Công an Tô Lâm cho biết dữ liệu cá nhân của hơn 2/3 dân số Việt Nam đang bị thu thập, chia sẻ trên mạng với với nhiều hình thức và mức độ chi tiết khác nhau.
Dữ liệu người Việt đang bị thu thập thế nào?
Theo Bộ trưởng Công an, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng và trở thành một trong những vấn đề nóng về an ninh, an toàn thông tin. Các dữ liệu cá nhân phổ biến bị thu thập hiện nay gồm: thông tin nhân khẩu học (họ tên, giới tính, ngày sinh, địa chỉ), số CCCD, số điện thoại, số tài khoản ngân hàng (bao gồm cả số dư). Trong một số vụ rò rỉ, thông tin bị chia sẻ còn bao gồm thân nhân, chức vụ, vị trí công tác, tài khoản online, mật khẩu.
Nguyên nhân chủ quan của tình trạng này là do người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, có tâm lý "sẵn sàng đánh đổi thông tin đời tư, thông tin cá nhân để lấy sự tiện ích về mặt công nghệ". Điều này thể hiện ở việc nhiều thông tin được người dùng đăng tải công khai trên mạng hoặc chia sẻ trong quá trình làm việc mà không có biện pháp bảo vệ thích hợp. Trên mạng xã hội, những bài lừa đảo dụ cung cấp số điện thoại để nhận thưởng ôtô, xe máy... vẫn thu hút hàng nghìn bình luận và không ít người "hồn nhiên" để lại số điện thoại và địa chỉ liên lạc của mình.
Về nguyên nhân khách quan, ông Lâm cho biết hiện có nhiều công ty thu thập dữ liệu cá nhân của khách hàng nhằm phục vụ kinh doanh, nhưng lại cho phép các đối tác thứ ba tiếp cận. Các công ty này không có quy định chặt chẽ, dẫn đến việc dữ liệu người dùng bị chuyển giao, buôn bán cho nhiều bên khác. Một ví dụ dễ thấy của tình trạng này là khi người dùng đặt vé máy bay qua một số ứng dụng yêu cầu khai báo thông tin, ngay lập tức họ có thể nhận về hàng chục cuộc gọi, tin nhắn mời chào dịch vụ taxi sân bay.
Ngoài ra, cơ quan pháp luật còn ghi nhận tình trạng một số công ty mới được thành lập, chuyên thu thập trái phép dữ liệu để kinh doanh thu lợi nhuận thời gian qua.
Bên cạnh hai nguyên nhân kể trên, sự bảo mật lỏng lẻo của các nhà cung cấp dịch vụ cũng là một trong những lý do dẫn đến việc dữ liệu của người dùng bị lộ lọt. Hầu hết các dịch vụ, điển hình như tài chính, sức khỏe, giáo dục, thương mại điện tử, lưu trú, mạng xã hội... đều đòi hỏi người dùng nhập thông tin danh tính, số điện thoại.
"Vẫn còn nhiều hệ thống chưa thực sự quan tâm đến vấn đề bảo mật, dẫn đến sự quản lý lỏng lẻo và tồn tại nhiều lỗ hổng nghiêm trọng", ông Nguyễn Minh Đức, sáng lập công ty bảo mật CyRadar, cho biết. Theo ông Đức, thời gian qua, các công ty dịch vụ lớn tại Việt Nam đã có sự đầu tư nghiêm túc hơn trong việc bảo vệ dữ liệu khách hàng cũng như xây dựng chương trình phát hiện và ngăn chặn tấn công mạng. Tuy nhiên, không phải công ty nào cũng chú trọng vào công tác này.
Trong khi đó, các dữ liệu cá nhân của người dùng như số điện thoại, email, căn cước công dân... thường là thông tin bất biến. Vì vậy, chỉ cần một trong các dịch vụ mà họ đăng ký bị rò rỉ, thông tin có thể bị thu thập và đưa vào các cơ sở dữ liệu của tội phạm mạng, bị chia sẻ và gần như không còn khả năng thu hồi.
Ông Đức cũng nhấn mạnh tình trạng các vụ tấn công mạng với thủ đoạn tinh vi ngày gia tăng nhưng việc phòng chống ở nhiều cơ quan, tổ chứclại lỏng lẻo. "Một vấn đề đáng báo động khác là tình trạng tuồn, bán dữ liệu khách hàng từ nhân viên bên trong", ông Đức nói thêm.
Dữ liệu cá nhân bị rao bán công khai
Trước khi bị đóng cửa hồi đầu năm nay, Raidforum từng xuất hiện hàng chục bài rao bán dữ liệu của người dùng Việt mỗi năm. Tiêu biểu trong số đó có thể kể đến như 17 GB dữ liệu chứa ảnh chứng minh nhân dân của hàng nghìn người Việt Nam bị rao giá 9.000 USD, dữ liệu KYC (xác minh danh tính) của gần hai triệu người dùng sàn tiền số Onus...
Năm 2019, 50 triệu bản ghi của người dùng Việt bị lộ từ máy chủ Facebook. Đến nay, các dữ liệu này vẫn nhiều lần được chia sẻ, mua bán trên các diễn đàn hacker. Vào tháng 7, một hacker bán dữ liệu trường học của 30 triệu người Việt với các trường thông tin gồm: email, số điện thoại, họ tên đầy đủ, ngày sinh, trường học và địa chỉ, chức vụ... Hacker khẳng định lấy số dữ liệu này từ một website giáo dục lớn ở Việt Nam.
Theo báo cáo của Bộ Công an, trong hai năm 2019-2020, cơ quan này phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Số dữ liệu bị thu thập, mua bán trái phép phát hiện được lên tới gần 1.300 GB, trong đó có nhiều thông tin nội bộ, nhạy cảm.
Ông Ngô Minh Hiếu, sáng lập dự án Chống lừa đảo, cho biết khi những chợ dữ liệu như Raidforum bị đóng cửa, giới buôn bán thông tin đang chuyển dần sang những nền tảng nhắn tin như Telegram vì tính ẩn danh và sự tiện dụng. Tại đây, bên cạnh những bộ dữ liệu lớn, người mua kẻ bán có thể trao đổi hàng loạt bộ dữ liệu có quy mô nhỏ từ vài chục đến vài trăm thông tin người dùng, nhưng thông tin lại chi tiết hơn.
Việc mua bán này thường không cần điều kiện, tức chỉ cần một số tiền nhỏ, bất cứ ai cũng có thể sở hữu thông tin về người khác. Ví dụ, một bộ dữ liệu chứa ảnh hai mặt căn cước công dân được bán chỉ 5.000 đồng. Người bán còn hỗ trợ chọn mua dữ liệu theo giới tính, dịch vụ mà họ từng sử dụng hoặc độ mới cũ của dữ liệu.
"Trên một số cộng đồng hacker, các dữ liệu thậm chí được chia sẻ miễn phí hoặc bán giá rất rẻ. Ngược lại, người dùng có thể phải trả giá đắt vì khi họ bị lộ thông tin", ông Hiếu nói.
Từng chuyên đánh cắp và bán dữ liệu trước khi trở thành người hỗ trợ cho các nạn nhân bị lừa đảo qua mạng, ông Hiếu cho biết hậu quả phổ biến là người dùng có thể bị làm phiền bởi các cuộc gọi, tin nhắn, email quảng cáo. Tiếp theo, kẻ xấu có thể tạo ra các kịch bản lừa đảo, khai thác thêm thông tin từ chính nạn nhân để làm giàu dữ liệu, từ đó thực hiện các vụ tấn công tiếp theo.
Ví dụ, khi biết số điện thoại của một người dùng, kẻ tấn công có thể thực hiện các tin nhắn, cuộc gọi đe dọa... nhằm dụ người dùng cung cấp thêm về căn cước công dân, số tài khoản ngân hàng... Khi đã khai thác được đầy đủ thông tin của một người nào đó, kẻ xấu có thể mạo danh họ để đăng ký các dịch vụ viễn thông, tài chính, vay tín dụng đen, chiếm đoạt SIM. Hậu quả người dùng có thể đối mặt là mất tiền trong tài khoản, bị quấy rối, bôi nhọ danh dự, đòi tiền.
Theo đại diện dự án Chống lừa đảo, từng có những nạn nhân phải cầu cứu vì họ có nguy cơ mất việc, bị người thân hiểu lầm sau khi thông tin cá nhân bị lợi dụng. Mới đây, một nạn nhân tại TP HCM cho biết đã bị sử dụng thông tin để vay tín dụng đen. Do lộ cả thông tin nơi làm việc, nhóm thu nợ sau đó còn email đến bộ phận nhân sự của công ty yêu cầu đuổi việc người này.
"Hãy hạn chế tối đa và luôn nghĩ trước khi chia sẻ bất cứ thông tin cá nhân nào. Vì một khi thông tin được đưa lên Internet, sẽ rất khó thu hồi và quyền kiểm soát khi ấy không còn nằm trong tay người dùng nữa", ông Ngô Minh Hiếu khuyến cáo.
Bộ Công an đang tham mưu Chính phủ xin ý kiến Ủy ban Thường vụ Quốc hội, Bộ Chính trị chủ trương ban hành Nghị định Bảo vệ dữ liệu cá nhân. "Đây là giải pháp then chốt để phòng ngừa, đấu tranh với thực trạng buôn bán, xử lý dữ liệu cá nhân tràn lan như hiện nay", Bộ trưởng Công an nói.
Lưu Quý
Đồ họa: Tiến Thành