Mua hàng của doanh nghiệp lớn cũng bị lộ thông tin cá nhân

Cứ mua hàng là bị lộ

Chị Hoàng Lan (TP Biên Hòa, tỉnh Đồng Nai) cho biết, chiều hôm trước có đặt một đơn hàng men vi sinh trên hệ thống bán hàng trực tuyến của nhà thuốc Long Châu với số tiền hơn một triệu đồng. Ngay sáng hôm sau có người điện thoại xưng là bên vận chuyển, đọc rõ thông tin đơn hàng, số tiền phải trả và yêu cầu chị thanh toán trước 10% tiền hàng. Theo như người này nói đây là quy định và tiền sẽ trừ khi chị nhận hàng và thanh toán.

Nghi ngờ có dấu hiệu lừa đảo, vì đây không phải lần đầu chị đặt thuốc từ hệ thống này, chị Lan liên hệ lại nhà thuốc thì biết cuộc gọi đó không phải từ nhà vận chuyển. Chị Lan cảm thấy mừng vì bản thân đã không bị mắc lừa, nhưng cũng tự đặt một dấu hỏi lớn, vì sao mọi thông tin đơn hàng của mình lại có thể bị tuồn ra ngoài nhanh như vậy. Do sự quản lý yếu kém của phía Long Châu, hay do đơn vị vận chuyển đã làm lộ thông tin.

Thực ra việc lộ những thông tin như họ tên, số điện thoại rồi bị quấy rầy liên tục bởi những cuộc gọi rác có lẽ ai cũng đã từng là nạn nhân. Thế nhưng, việc lộ chi tiết đầy đủ một đơn hàng trong một thời gian ngắn như của chị Lan, thì đây là lần đầu và cũng khá đáng lo, vì không phải lúc nào mọi người cũng đủ cảnh giác để nhận ra.

Thực tế hồi cuối tháng 2, trên nhiều nền tảng mạng xã hội cũng có không ít bài phản ánh của người tiêu dùng, liên quan đến việc có người tự xưng là nhân viên giao hàng của Viettel Post. Người này đọc rõ thông tin cửa hàng, đơn hàng, số tiền khiến không ít khách dính bẫy lừa.

Về sự cố này, phía Viettel Post cho hay đã chủ động liên hệ và làm việc chặt chẽ với Bộ Công an để điều tra, truy vết nguồn gốc các vụ việc giả mạo, xử lý và ngăn chặn hành vi gian lận.

Lỗ hổng an ninh mạng

Việc lộ, lọt thông tin cá nhân được nói đến nhiều khi những cuộc gọi từ các công ty bảo hiểm, bất động sản, các dịch vụ từ chăm sóc sắc đẹp, mời mở thẻ tín dụng, giáo dục… liên tục “tra tấn” người tiêu dùng.

Thế nhưng, có điều lạ là người tiêu dùng càng phản ánh thì những hình thức trục lợi từ thông tin cá nhân không những không giảm mà ngày càng tinh vi hơn. Từ gọi mời mua, đến sử dụng dịch vụ chuyển qua những cuộc gọi lừa đảo như lừa thanh toán tiền hàng, lừa thanh toán tiền điện để chiếm đoạt tài khoản cá nhân…

Số tiền các nạn nhân bị lừa không dừng ở vài trăm ngàn, vài triệu đồng, mà có những vụ việc hàng tỷ đồng. Phải chăng sự phát triển về công nghệ, sự bùng nổ của thương mại điện tử, đang khiến Việt Nam trở thành mảnh đất màu mỡ cho mua-bán, đánh cắp thông tin cá nhân.

Theo Công ty an ninh mạng Viettel (Viettel Cyber Security - VCS), tình hình an ninh mạng trong nửa đầu năm 2024 được xây dựng dựa trên dữ liệu từ hệ thống tri thức an ninh mạng Viettel (Viettel Threat Intelligence). Theo đó, Viettel Threat Intelligence ghi nhận hơn 61 triệu tài khoản bị lộ lọt, tăng 1,5 lần so với cùng kỳ năm 2023 (hơn 41 triệu tài khoản).

Mạng xã hội, ngân hàng, giao dịch trực tuyến, giáo dục, y tế… là những lĩnh vực có số lượng bản ghi thông tin cá nhân bị đánh cắp nhiều. Một báo cáo khác từ Trung tâm An toàn thông tin của VNPT cũng cho thấy, trong 6 tháng đầu năm 2024, Việt Nam hiện đang là một trong 10 quốc gia bị tấn công mã độc tống tiền (ransomware) nhiều nhất thế giới. Đặc biệt, ransomware tăng đột biến so với năm 2023.

Tỷ lệ doanh nghiệp, tổ chức bị tấn công ransomware năm 2023 là 66%, nhưng chỉ tính riêng nửa đầu năm 2024 tỷ lệ bị tấn công đã tăng lên 59% các cuộc tấn công vào hệ thống thông tin.

Ai bảo vệ khách hàng?

Nói về vấn đề vì sao thông tin khách hàng bị lộ, trong Hội thảo an ninh dữ liệu trên không gian mạng diễn ra hồi năm 2024, nhiều chuyên gia phân tích các lý do dẫn đến lộ thông tin khách hàng như: mã hóa dữ liệu, tấn công APT…

Theo ông Lê Quang Hà, Phó Giám đốc Công ty an ninh mạng Viettel, hiện nay có tới 74% vụ lộ lọt dữ liệu liên quan tới yếu tố con người (nhân viên, quản trị viên) và xuất phát từ nội bộ doanh nghiệp. Nguyên nhân có thể do vô ý, hoặc cố tình phá hoại, tư lợi, hay bị tấn công bàn đạp. Trong đó, 56% sự cố từ nội bộ là do vô ý và 26% do tội phạm mạng hoặc người dùng chủ ý xấu trong tổ chức.

Nhìn lại những vụ việc được thông tin trên các phương tiện truyền thông hoặc được chia sẻ trên mạng xã hội, đã có rất nhiều khách hàng bị lừa chuyển tiền hoặc chiếm quyền truy cập tài khoản cá nhân từ đó bị đánh cắp tiền.

Trong những trường hợp như thế này, khách hàng thường không biết kêu ai vì không biết ai đã làm lộ, lọt thông tin của mình cho đối tượng lừa đảo. Thêm nữa, chính bản thân người dân đã chuyển tiền, hoặc nhấn vào các đường link lạ, thông báo mã OTP cho đối tượng lừa đảo để chiếm quyền kiểm soát tài khoản ngân hàng. Điều này thường được cho là sự bất cẩn, thiếu thận trọng của cá nhân.

Mới đây, Chính phủ vừa ban hành Nghị định 24/2025 sửa đổi, bổ sung nhiều quy định xử phạt vi phạm hành chính về bảo vệ quyền lợi người tiêu dùng. Nghị định có hiệu lực từ ngày 21-2. Theo đó, sẽ phạt tiền từ 20-30 triệu đồng đối với các hành vi: thực hiện thu thập, sử dụng thông tin của người tiêu dùng khi chưa được người tiêu dùng đồng ý theo quy định.

Phạt tiền từ 30-40 triệu đồng đối với hành vi không có biện pháp bảo đảm an toàn, an ninh thông tin của người tiêu dùng. Đặc biệt, nếu chuyển giao thông tin của người tiêu dùng cho bên thứ ba khi chưa có sự đồng ý của người tiêu dùng theo quy định, cũng sẽ bị phạt tiền từ 30-40 triệu đồng.

Đây là mức tăng hơn nhiều so với Nghị định 98 về xử phạt vi phạm hành chính, hành vi vi phạm về bảo vệ thông tin của người tiêu dùng chỉ bị phạt từ 10-20 triệu đồng.

Nghị định 24 thoạt nhìn là tin vui với người tiêu dùng. Song không ít người cũng đang đặt câu hỏi. Trừ những vụ việc lớn, cơ quan chức năng vào cuộc điều tra, còn những vụ việc lừa số tiền nhỏ làm sao biết đơn vị nào không đảm bảo thông tin cá nhân của mình để tố cáo, từ đó có cơ sở xử phạt.

Chưa kể, với tâm lý ngại phiền phức, mất thời gian, nhiều người tiêu dùng sẽ bỏ qua những vụ việc nhỏ. Đây cũng là cơ sở để những kẻ đánh cắp, mua bán thông tin cá nhân vẫn ngang nhiên thực hiện hành vi lừa đảo của mình.

ĐỨC MẠNH