CIC bị tấn công, chuyên gia khuyến cáo người dùng cảnh giác
Theo các chuyên gia, vụ đánh cắp dữ liệu tại CIC có thể khiến kẻ xấu lợi dụng để lừa đảo, nhưng giao dịch và thông tin thẻ tín dụng của khách hàng không bị ảnh hưởng.
Trong thông báo mới phát đi, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) cho biết ngày 10.9, VNCERT nhận được báo cáo sự cố an ninh mạng và dấu hiệu vi phạm dữ liệu cá nhân xảy ra tại Trung tâm Thông tin tín dụng quốc gia (CIC).
Ngay sau khi tiếp nhận thông tin, Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) đã chỉ đạo VNCERT chủ trì phối hợp với các đơn vị nghiệp vụ điều phối các doanh nghiệp cung cấp dịch vụ an toàn thông tin mạng (Viettel, VNPT, NCS), CIC, đơn vị chức năng của Ngân hàng Nhà nước xác minh thông tin về sự cố.
Cùng với đó, triển khai các biện pháp nghiệp vụ, kĩ thuật ứng phó sự cố, tăng cường các giải pháp bảo đảm an ninh mạng, thu thập dữ liệu, chứng cứ để xử lý theo quy định của pháp luật.
Kết quả xác minh ban đầu cho thấy dấu hiệu hoạt động tấn công, xâm nhập của tội phạm mạng để đánh cắp dữ liệu cá nhân. Số lượng dữ liệu bị chiếm đoạt trái phép đang được tiếp tục thống kê, làm rõ.
Trung tâm Thông tin tín dụng quốc gia (CIC) bị tấn công đánh cắp dữ liệu
Trước đó, nhóm hacker ShinyHunters rao bán dữ liệu được cho là đánh cắp CIC. Theo DataBreach, ShinyHunters lợi dụng một lỗ hổng cũ (N-day vulnerability) trong một phần mềm đã hết hạn, xâm nhập vào CIC và lấy đi khoảng 3 tỉ bản ghi, trong đó có 160 triệu bản ghi chứa thông tin cá nhân người Việt.
Trao đổi với phóng viên Một Thế Giới, ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena cho hay CIC có lưu trữ thông tin định danh khách hàng (CCCD, hộ chiếu, địa chỉ..); thông tin quan hệ tín dụng( lịch sử vay vốn tại ngân hàng, dư nợ,...); thông tin đảm bảo và pháp lý (tài sản thế chấp, cầm cố, tranh chấp, khởi kiện...); thông tin từ bên thứ ba (dữ liệu tòa án, cơ quan thi hành án.... )
Theo ông Thắng, với những thông tin mà CIC lưu trữ này, nếu rò rỉ ra ngoài thì sẻ ảnh hưởng rất lớn đến bí mật cá nhân, bí bật hoạt động kinh doanh của nhiều tổ chức, doanh nghiệp .
“Một trong những kịch bản mà kẻ xấu có thể lợi dụng thông tin quan hệ tín dụng, thông tin pháp lý của tài sản thế chấp, thông tin dữ liệu tòa án... của nạn nhân để khống chế nạn nhân, gây cho nạn nhân hoan mang, hoặc khống chế tổ chức doanh nghiệp bằng các thông tin tài sản thế chấp, pháp lý tòa án...”, ông Thắng nói.
Ông Thắng cho rằng về phía người dân, tổ chức, doanh nghiệp khi gặp kịch bản trên thì cần hỏi rõ thông tin này từ đâu có? Cần thực hiện kiểm định thông tin chéo ít nhất 4 lần để tránh bị sập bẫy lừa đảo .
Trong trường hợp, người dân , tổ chức, doanh nghiệp... bị khống chế, gây thiệt hại vì thông tin rò rỉ thì có thể khởi kiện theo luật bảo vệ dữ liệu để bảo vệ quyền lợi chính đáng.
Ngoài ra, ông Thắng cũng cho hay CIC nên chia sẻ thêm thông tin và cảnh báo, hướng dẫn khách hàng tăng cường bảo mật để họ an tâm. Người dân chủ động cảnh giác thì sẽ hạn chế được thiệt hại rơi vào bẫy của kẻ lừa đảo.
Ông Võ Đỗ Thắng, Giám đốc Trung tâm An ninh mạng Athena
Trên trang cá nhân, chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) này khẳng định: "Ngân hàng không gửi thông tin thẻ tín dụng (số thẻ, ngày hết hạn, CVV/CVC), OTP, mật khẩu của khách hàng lên CIC. Vì vậy, giao dịch và thông tin thẻ tín dụng của bạn sẽ không bị ảnh hưởng từ sự cố này".
Dù giao dịch sẽ không bị ảnh hưởng nhưng Hiếu PC cũng đưa ra cảnh báo rằng, tội phạm mạng có thể lợi dụng sự cố để lừa đảo, do đó người dùng cần tuyệt đối cảnh giác với các cuộc gọi, tin nhắn hay email mạo danh ngân hàng, CIC hoặc cơ quan công an.
Anh khuyến nghị không cung cấp số thẻ, ngày hết hạn, CVV/CVC, OTP hay mật khẩu cho bất kỳ ai; không nhấn vào các đường link lạ trong tin nhắn, email, đặc biệt là những tệp tin có định dạng *.apk. Người dùng cũng nên thường xuyên theo dõi lịch sử giao dịch để kịp thời phát hiện bất thường và liên hệ ngay tổng đài ngân hàng.
Chuyên gia an ninh mạng Hiếu PC cũng nhấn mạnh nguyên tắc chung là nên chậm lại và kiểm chứng trước mọi thông tin, đường link và yêu cầu cung cấp dữ liệu để tránh trở thành nạn nhân.
Nói với phóng viên Một Thế Giới, một lãnh đạo của CIC cho hay đơn vị đang tích cực phối hợp với cơ quan chức năng để xử lý vụ việc.
Ngoài ra, trong thông cáo báo chí, VNCERT yêu cầu các tổ chức, cá nhân không tự ý tải, chia sẻ, khai thác, sử dụng các dữ liệu kể trên, trường hợp cố tình vi phạm sẽ bị xử lý theo quy định của pháp luật. VNCERT đề nghị các cơ quan, doanh nghiệp đặc biệt là các tổ chức tài chính, ngân hàng chủ động rà soát, triển khai đáp ứng tuân thủ TCVN 14423:2025 - An ninh mạng, yêu cầu đối với hệ thống thông tin quan trọng.
VNCERT cũng khuyến cáo người dân nâng cao tinh thần cảnh giác trước hoạt động của tội phạm mạng, tránh để bị lợi dụng những thông tin kể trên để thực hiện các loại hành vi phát tán mã độc, lừa đảo, chiếm đoạt tài sản.
