Mua bán dữ liệu cá nhân dễ như mua… rau!

Có dấu hiệu tuồn dữ liệu cho bên thứ ba

Giữa tháng 5 vừa qua, Cơ quan CSĐT Bộ Công an khởi tố Lại Thị Phương (29 tuổi, giám đốc Công ty VNIT TECH) và Dư Anh Quý (33 tuổi, chồng Phương, cùng trú Hà Nội) về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông theo Điều 288 BLHS 2015, sửa đổi, bổ sung 2017.

Hai bị can này tổ chức một đường dây chiếm đoạt, mua bán, sử dụng trái phép gần 1.300 GB dữ liệu, chứa hàng tỉ thông tin về các cá nhân, tổ chức trên toàn quốc.

Dữ liệu thông tin cá nhân dễ dàng bị lộ, lọt. Ảnh minh họa

Đặc biệt, cơ quan chức năng xác định có dấu hiệu về sự thiếu trách nhiệm, buông lỏng quản lý của một số cơ quan, tổ chức, doanh nghiệp trong việc quản lý thông tin, dữ liệu cá nhân về khách hàng.

Nghiêm trọng hơn, một số doanh nghiệp có dấu hiệu khai thác, sử dụng trái phép dữ liệu khách hàng để cung cấp cho bên thứ ba.

Vì vậy, ngoài các bị can, công an sẽ làm rõ những người thực hiện hành vi xâm nhập, chiếm đoạt dữ liệu gốc từ các hệ thống thông tin dữ liệu của cơ quan, tổ chức để cung cấp cho các nghi phạm mua bán cũng như các cá nhân, tổ chức mua, sử dụng trái phép dữ liệu.

Rao bán cả thông tin về chức vụ, số dư tài khoản

Từ năm 2019 đến nay, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) liên tiếp triệt phá nhiều vụ chiếm đoạt, sử dụng trái phép dữ liệu thông tin cá nhân.

Điển hình, cơ quan công an vô hiệu hóa ba hệ thống, 20 trang web cung cấp dịch vụ xác định số điện thoại đăng ký tài khoản mạng xã hội với gần 500 triệu thông tin cá nhân; vô hiệu hóa bốn hệ thống cung cấp dịch vụ với gần 141 GB dữ liệu xác định số điện thoại thuê bao 3G, 4G.

Kết quả điều tra cho thấy dữ liệu bị chiếm đoạt, mua bán thuộc hầu hết lĩnh vực, ảnh hưởng đến hàng triệu cá nhân, tổ chức trên toàn quốc. Các gói dữ liệu được rao bán rất đa dạng như danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế; khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, Internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh...

Đặc biệt, dữ liệu chứa thông tin rất chi tiết về các cá nhân, tổ chức như họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, thông tin tài khoản ngân hàng (bao gồm cả số dư), nhân thân, chức vụ, vị trí công tác…

Nhiều đối tượng còn cam kết tính chính xác và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu của người mua. Điều này cho thấy những dữ liệu gốc được thu thập, trích xuất trực tiếp từ các hệ thống quản lý thông tin của các cơ quan, tổ chức, doanh nghiệp.

Dữ liệu bị chiếm đoạt được rao bán, rao mua công khai thông qua các trang web, tài khoản, trang, nhóm trên mạng xã hội Facebook, Zalo, Telegram hoặc diễn đàn tin tặc (raidforums.com…).

Cũng theo công an, các dữ liệu thu thập trái phép sẽ được sử dụng để xây dựng thành hệ thống phục vụ quảng cáo, chăm sóc khách hàng hoặc bán dưới dạng dịch vụ (khách hàng được cấp tài khoản sử dụng), phổ biến là dịch vụ xác định số điện thoại đăng ký tài khoản mạng xã hội và số điện thoại của thuê bao 3G, 4G.

Miếng mồi cho tội phạm lợi dụng

Trung tá Đào Trung Hiếu (chuyên gia tội phạm học, Bộ Công an) nhận định: Người bị lộ thông tin có thể gặp phiền toái khi phải tiếp nhận những tin nhắn, email quảng cáo, hay các cuộc gọi chào mời mua sản phẩm, hàng hóa, dịch vụ. Nguy hiểm hơn, thông tin cá nhân sẽ bị sử dụng cho mục đích tội phạm.

Theo đó, các đối tượng có thể hack vào tài khoản để chiếm đoạt tiền, thậm chí làm giả CMND, từ đó mạo danh để thực hiện hành vi xấu hoặc mở tài khoản ngân hàng để chuyển tiền từ việc phạm tội mà có.

Trung tá Hiếu cho rằng có nhiều nguồn khiến thông tin cá nhân bị lộ, lọt. Trong đó có thể kể tới các tiệm cầm đồ hoặc vay tín dụng online (vay qua app). Đây là kênh lưu giữ thông tin của rất nhiều người, nhất là những người không có khả năng trả nợ, sẵn sàng bỏ giấy tờ tùy thân đã cầm cố.

Một nguồn khác là do hacker tấn công vào cơ sở dữ liệu do các đơn vị quản lý, nhất là những ngành yêu cầu người dân khi tham gia giao dịch phải cung cấp CMND, ví dụ như ngân hàng chẳng hạn hoặc chính người bên trong các đơn vị quản lý cơ sở dữ liệu tuồn thông tin cá nhân ra bên ngoài.

Đặc biệt, có tới 80% nguyên nhân lộ, lọt thông tin cá nhân xuất phát từ chính sự bất cẩn của người dùng. Hầu hết thông tin cá nhân như ngày tháng năm sinh, trường học, nơi làm việc, nơi ở... kê khai trên tài khoản mạng xã hội như Facebook, YouTube, Instagram đều do chính người sử dụng tự đưa lên và để ở chế độ mở.

Mặt khác, rất nhiều người “chăm chỉ” cập nhật hoạt động trong ngày của mình lên mạng xã hội, điều này cho phép ai cũng có thể thu thập được thông tin của họ. Với việc ứng dụng trí tuệ nhân tạo, thông tin người dùng đã thu thập được xử lý, tạo nên những trường dữ liệu mà các đơn vị vận hành có thể bán thông tin cho người cần mua.

Để phòng ngừa việc lộ, lọt dữ liệu cá nhân, người dân cần có ý thức bảo mật thông tin như số CMND, CCCD, điện thoại, email, địa chỉ nơi cư trú, nơi làm việc của mình; tuyệt đối không công khai trên mạng xã hội những thông tin cơ mật này.