Những bê bối lộ thông tin khách hàng để lại hậu quả lâu dài
Trong dự thảo hồ sơ đề nghị xây dựng luật Bảo vệ dữ liệu cá nhân, Bộ Công an đề cập tình trạng lộ, mua bán dữ liệu cá nhân hiện nay diễn ra phổ biến, công khai và ngày càng phức tạp. Trong đó, có rất nhiều doanh nghiệp lớn đã có hành vi mua bán, làm lộ thông tin khách hàng - thực trạng đến hồi báo động.
Dữ liệu cá nhân. Ảnh minh họa
Người dùng có lý do để lo lắng trước bê bối lộ thông tin khách hàng của nhiều doanh nghiệp lớn
Theo Bộ Công an, một trong những nguyên nhân dẫn đến việc lộ lọt dữ liệu là do người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân; sự lộ lọt trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh; hoặc lộ lọt do biện pháp bảo vệ không tương xứng.
Thông tin khách hàng hay còn gọi là dữ liệu khách hàng (customer data) là tập hợp các dữ liệu liên quan đến cá nhân hoặc tổ chức sử dụng sản phẩm, dịch vụ của doanh nghiệp. Dữ liệu này bao gồm thông tin cá nhân, giao dịch, tương tác, hành vi và thiết bị. Việc thu thập thông tin khách hàng mang lại nhiều lợi ích cho doanh nghiệp như hiểu rõ nhu cầu khách hàng, cung cấp dịch vụ phù hợp, tăng cường hiệu quả marketing, phân tích thị trường và phát triển sản phẩm.
Thông thường, thông tin của khách hàng được các doanh nghiệp thu thập trong hệ thống sẽ gồm những yếu tố sau đây: Họ tên, tuổi (hoặc ngày tháng năm sinh), giới tính, số điện thoại/email, nghề nghiệp, tình trạng hôn nhân, thu nhập/ khả năng tài chính , số thẻ tín dụng (đối với các ngân hàng, dịch vụ tài chính, dịch vụ mua sắm trực tuyến),...
Như vậy, thông tin khách hàng là những thông tin cá nhân của người tiêu dùng, được tổng hợp và lưu trữ bởi các doanh nghiệp cung cấp sản phẩm, dịch vụ để phục vụ mục đích phân tích thị trường và nâng cao chất lượng sản phẩm.
Vào ngày 7/11/2018, trên một diễn đàn bất ngờ xuất hiện các tập tin chứa dữ liệu nhạy cảm có liên quan đến hơn 30.000 giao dịch thẻ ngân hàng và khoảng 5,4 triệu email khách hàng, cùng với 61.000 email của nhân viên. Dữ liệu này được cho là do hacker tấn công vào hệ thống siêu thị Thế giới Di động. Thông tin bị lộ bao gồm chi tiết thời gian mua sắm, số thẻ thanh toán (một số đã bị che), số tiền giao dịch và phí thanh toán.
Thế giới di động phủ nhận việc để lộ thông tin khách hàng.
Sự việc đã gây lo ngại lớn cho nhiều chủ thẻ đã giao dịch tại hệ thống bán hàng của doanh nghiệp này, khiến giá trị vốn hóa thị trường của công ty này "bốc hơi" gần 650 tỉ đồng trong một ngày, ngay tại thời điểm lộ thông tin khách hàng.
Mặc dù đại diện Thế giới di động bác bỏ thông tin này, nhưng trước tình trạng rò rỉ thông tin khách hàng, các lãnh đạo của nhiều ngân hàng vẫn khuyến cáo chủ thẻ ATM, thẻ tín dụng đã từng thanh toán ở hệ thống siêu thị này nên khóa tính năng thanh toán online, đổi mã PIN thẻ ATM hoặc khóa thẻ.
Chiều 10/11/2018, trên diễn đàn RaidForums, thông tin được cho là dữ liệu từ hệ thống Con Cưng đã xuất hiện. Thành viên herasvn chia sẻ thông tin từ nhân viên và ban điều hành công ty Con Cưng (concung.com), bao gồm họ tên, chứng minh nhân dân, tình trạng hôn nhân, giới tính, địa chỉ email (đuôi concung.com), và vị trí chuyên viên marketing của một cá nhân. Con Cưng, một hệ thống bán lẻ lớn tại Việt Nam, là mục tiêu thường xuyên của các hacker nhắm vào dữ liệu khách hàng.
Vietnam Airlines và cú sốc rò rỉ dữ liệu thông tin khách hàng.
Trước đó, vào năm 2016, một cuộc tấn công mạng nghiêm trọng đã dẫn đến việc rò rỉ danh sách hơn 400.000 tài khoản khách hàng của chương trình Bông sen vàng thuộc Vietnam Airlines. Dữ liệu bị lộ bao gồm thông tin nhạy cảm như họ tên, ngày sinh, địa chỉ, nơi làm việc, số điện thoại, quốc tịch, ngày tham gia chương trình, điểm tích lũy và mật khẩu tài khoản GLP. Địa chỉ email của khách hàng được che giấu bằng các ký tự xxxxx để giảm thiểu rủi ro.
Vietnam Airlines đã ngay lập tức khẳng định rằng thông tin giao dịch và thanh toán của khách hàng trong quá trình đặt chỗ và mua vé vẫn được đảm bảo an toàn. Hãng phát đi thông báo khẩn cấp để yêu cầu hội viên đổi ngay mật khẩu tài khoản Bông sen vàng khi hệ thống được khắc phục. Đồng thời, Vietnam Airlines thực hiện nhiều biện pháp bảo vệ quyền lợi của khách hàng trong bối cảnh an ninh mạng ngày càng phức tạp.
Xuất hiện nhiều công ty thu thập dữ liệu trái phép
Lực lượng công an bắt giữ một đường dây mua bán thông tin khách hàng.
Bộ Công an đã phát hiện nhiều công ty mới thành lập, chuyên thu thập dữ liệu cá nhân trái phép nhằm mục đích kinh doanh. Những công ty này phát triển phần mềm ẩn giao dịch trên mạng để tự động thu thập thông tin và phân tích thành tập dữ liệu có giá trị.
Ngoài ra, họ còn phát tán mã độc nhằm thu thập dữ liệu cá nhân từ máy tính và thiết bị di động, tổ chức tấn công vào hệ thống máy tính của các cơ quan, tổ chức và doanh nghiệp nhằm chiếm đoạt dữ liệu.
Thời gian qua, hàng trăm cá nhân và tổ chức đã bị phát hiện liên quan đến việc bán dữ liệu cá nhân. Nhiều đường dây mua bán dữ liệu quy mô lớn đã bị lực lượng chức năng phát hiện và xử lý. Số lượng dữ liệu cá nhân bị thu thập và giao dịch trái phép lên tới hàng nghìn GB.
Chỉ trong hai năm từ 2019 đến 2020, Bộ Công an đã phát hiện hàng trăm cá nhân và tổ chức bán dữ liệu cá nhân, với nhiều đường dây quy mô lớn bị triệt phá. Gần 1,300GB dữ liệu cá nhân thu thập và mua bán trái phép đã được phát hiện, bao gồm thông tin nhạy cảm về cá nhân và tổ chức tại Việt Nam, như dữ liệu khách hàng của EVN, phụ huynh và học sinh trên toàn quốc, cùng với thông tin từ các ngân hàng như BIDV, Techcombank, AgriBank.
Tính riêng trong năm 2023, Bộ Công an đã xác minh 16 vụ việc liên quan đến việc lộ, rao bán thông tin và bí mật nhà nước trên không gian mạng.
Qua công tác điều tra, cơ quan chức năng đã phát hiện dữ liệu bị rao bán công khai trên các nền tảng và diễn đàn như BreachedForums, Telegram và Facebook, với độ ẩn danh cao và phương thức thanh toán chủ yếu qua tiền mã hóa, làm cho việc truy vết trở nên khó khăn.
Đáng chú ý, nhóm Telegram "Data Pro 298" với 4.685 thành viên cung cấp dịch vụ tra cứu thông tin viễn thông, Facebook, điện lực, ví điện tử Momo và thông tin biển số xe. Trong khi đó, nhóm "Tra cứu thông tin toàn quốc" với 2.700 thành viên cung cấp dữ liệu cá nhân công dân Việt Nam theo thời gian thực. Diễn đàn tin tặc "Nohide.space" (có nguồn gốc từ Nga) cũng rao bán thông tin đăng nhập từ nhiều hệ thống quan trọng của Việt Nam.
Tình trạng buôn bán dữ liệu cá nhân gia tăng một cách công khai, từ thông tin thô như dữ liệu thuê bao điện thoại, khách hàng ngân hàng đến dữ liệu đã qua xử lý với chi tiết về cá nhân như họ tên, ngày sinh, số Chứng minh thư nhân dân, căn cước công dân, địa chỉ, và số tài khoản ngân hàng. Rất nhiều hành vi vi phạm vẫn chưa bị xử lý do thiếu quy định pháp lý chặt chẽ.
Nhiều doanh nghiệp thu thập dữ liệu cá nhân lại thiếu quy trình kiểm soát nghiêm ngặt trong việc chia sẻ và bán thông tin cho các đối tác thứ ba, tạo cơ hội cho việc lạm dụng và buôn bán trái phép thông tin cá nhân.
Trong báo cáo đánh giá chính sách về Luật Bảo vệ dữ liệu cá nhân, Bộ Công an đã chỉ ra rằng trong năm 2023, hoạt động mua bán dữ liệu cá nhân và dữ liệu nhạy cảm diễn ra phức tạp với nhiều phương thức và thủ đoạn tinh vi.
Lộ thông tin cá nhân: Khách hàng là người chịu thiệt
Khi gõ cụm từ tìm kiếm trên Google "mua thông tin khách hàng" đã xuất hiện 200 triệu kết quả trong 0,19 giây.
Theo ông Đào Minh Tuấn, Chủ tịch Hội thẻ Ngân hàng Việt Nam, trong những năm gần đây, tội phạm thẻ đã gia tăng đáng kể trên toàn cầu. Sự phát triển nhanh chóng của công nghệ thông tin và việc áp dụng các công nghệ mới trong kinh doanh tạo ra nhiều thách thức cho các ngân hàng khi phải đối mặt với các loại tội phạm mới. Tội phạm công nghệ cao với nhiều phương thức lừa đảo tinh vi đang nhắm đến việc chiếm đoạt tài sản của khách hàng.
Ông Ngô Tấn Vũ Khanh, Giám đốc phát triển hãng bảo mật Kaspersky Lab Việt Nam, nhấn mạnh rằng những sự cố này là lời cảnh tỉnh cho các doanh nghiệp lớn, nhất là những công ty có hệ thống công nghệ thông tin quy mô lớn, về việc cần chú trọng đến vấn đề bảo mật thông tin.
Ông cảnh báo rằng sẽ rất nghiêm trọng nếu thông tin cá nhân của khách hàng như email, số điện thoại, địa chỉ, và chi tiết giao dịch bị lộ. Doanh nghiệp có thể phải trả giá đắt chỉ vì một sai sót nào đó trong hệ thống bảo mật của họ.
Trên thế giới, nhiều doanh nghiệp đã phải gánh chịu hậu quả nặng nề khi để lộ thông tin khách hàng. Chẳng hạn, Ủy ban Chứng khoán và Sàn giao dịch Mỹ (SEC) đã phạt Yahoo 35 triệu USD vì che giấu vụ lộ 500 triệu thông tin khách hàng vào năm 2014. Tương tự, Văn phòng Ủy viên Thông tin Anh (ICO) đã phạt Facebook 500.000 bảng Anh, tương đương khoảng 645.000 USD, vì thu thập và để lộ thông tin thành viên.
Theo các chuyên gia, với tốc độ lan truyền thông tin nhanh chóng như hiện nay, một khi thông tin bị lộ, việc khôi phục sẽ vô cùng khó khăn. Do đó, khi phát hiện sự cố, người dùng cần xem xét lại hệ thống của mình, tìm kiếm lỗ hổng và thực hiện các giải pháp kỹ thuật để ngăn chặn nguy cơ trong tương lai.
An toàn thông tin hiện đang là vấn đề được ưu tiên hàng đầu ở cả cấp quốc gia lẫn cá nhân trong xã hội hiện đại. Việc bảo mật thông tin cá nhân của khách hàng trong thương mại điện tử còn nhiều bất cập và chưa được đảm bảo một cách đầy đủ. Việc nghiên cứu và xây dựng các giải pháp hoàn thiện về mặt pháp lý là rất quan trọng và cấp thiết nhằm nâng cao hiệu quả bảo vệ thông tin cá nhân của khách hàng trong hoạt động thương mại.
Nguồn: Tổng hợp
