Sự cố dữ liệu CIC: Ngân hàng đồng loạt cảnh báo chiêu trò lừa đảo
Sau sự cố dữ liệu tại CIC, các ngân hàng khẳng định hệ thống an toàn nhưng cảnh báo nguy cơ lừa đảo tinh vi gia tăng.
Ngân hàng lên tiếng trấn an khách hàng
Một sự cố an ninh mạng nghiêm trọng vừa xảy ra tại Trung tâm Thông tin tín dụng quốc gia (CIC), khi Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) công bố kết quả ban đầu cho thấy, có dấu hiệu vi phạm dữ liệu cá nhân. Ngay sau khi thông tin lan truyền, hàng loạt tổ chức tín dụng, trung gian thanh toán đã lên tiếng nhằm trấn an khách hàng, khẳng định hệ thống nội bộ vẫn an toàn, đồng thời khuyến cáo người dùng cảnh giác trước những chiêu trò lừa đảo có thể lợi dụng từ sự cố này.
Trong thông báo gửi tới khách hàng, Ngân hàng TMCP Việt Nam Thịnh Vượng (VPBank), cho biết, việc báo cáo dữ liệu lên CIC được ngân hàng này thực hiện tuân thủ nghiêm quy định về hoạt động thông tin tín dụng của Ngân hàng Nhà nước, cụ thể theo Thông tư số 15/2023/TT-NHNN và Quyết định số 573/QĐ-NHNN. VPBank khẳng định, nhiều thông tin nhạy cảm của khách hàng hoàn toàn được bảo mật trong hệ thống nội bộ và không đưa vào dữ liệu báo cáo CIC, bao gồm tên đăng nhập, mật khẩu đăng nhập, dữ liệu sinh trắc học, số thẻ tín dụng, thẻ ghi nợ cũng như mã CVV/CVC in trên mặt sau của thẻ.
Đại diện VPBank nhấn mạnh, hệ thống ngân hàng điện tử của họ đang vận hành với chuẩn bảo mật quốc tế cao nhất như ISO 27001, PCI DSS; đồng thời áp dụng nhiều lớp xác thực như sinh trắc học, OTP và SmartOTP. Điều này đồng nghĩa kẻ gian không thể trực tiếp chiếm đoạt tài sản của khách hàng từ sự cố CIC, nhưng vẫn có thể lợi dụng dữ liệu bị rò rỉ để phát tán mã độc, xây dựng kịch bản lừa đảo. Vì thế, VPBank khuyến cáo khách hàng nâng cao cảnh giác, không cài đặt ứng dụng từ nguồn không chính thống, không tiết lộ mã OTP/SmartOTP cho bất kỳ ai kể cả người tự xưng là nhân viên ngân hàng.
CIC hiện là một trong bốn tổ chức được phép cung cấp dịch vụ thông tin tín dụng tại Việt Nam.
Cùng với VPBank, Công ty Cổ phần 9Pay cũng nhanh chóng phát đi thông cáo báo chí, khẳng định dữ liệu khách hàng và hệ thống của 9Pay hoàn toàn không bị ảnh hưởng bởi sự cố. Lý do là 9Pay không chia sẻ hay truyền bất kỳ dữ liệu nào của mình và khách hàng sang CIC. Theo ông Nguyễn Thành Trung, Giám đốc công nghệ 9Pay, toàn bộ hoạt động lưu trữ, truyền tải, bảo vệ và sử dụng dữ liệu cá nhân của khách hàng luôn được quản lý chặt chẽ theo chuẩn PCI DSS cấp độ 1, là mức cao nhất trong ngành thẻ thanh toán.
9Pay cho biết, hệ thống bảo mật của họ được kiểm định độc lập hàng năm bởi các tổ chức quốc tế, định kỳ rà soát hàng quý, đồng thời áp dụng quy trình mã hóa toàn bộ thông tin thanh toán và định danh cá nhân. Không chỉ đảm bảo an toàn ở hạ tầng kỹ thuật, 9Pay còn đưa ra loạt quy định nội bộ về kỷ luật bảo mật, yêu cầu nhân sự tuyệt đối không chia sẻ thông tin đăng nhập, bật xác thực hai lớp và đổi mật khẩu định kỳ. Bên cạnh đó, công ty cũng cảnh báo khách hàng về những chiêu trò lừa đảo gia tăng sau sự cố như giả mạo ngân hàng để chiếm đoạt OTP, mạo danh CIC để vay nóng, xóa nợ, hay đăng ký trái phép dịch vụ tài chính.
Sự chủ động của các ngân hàng và công ty fintech không chỉ nhằm trấn an dư luận, mà còn thể hiện trách nhiệm trong bảo vệ khách hàng giữa lúc an ninh mạng ngày càng phức tạp. Cả VPBank và 9Pay đều khẳng định, việc giữ vững niềm tin khách hàng mới là yếu tố then chốt giúp thị trường tài chính, ngân hàng duy trì ổn định trong khủng hoảng.
Ngân hàng Nhà nước khẳng định an toàn hệ thống và siết chặt bảo mật
Trước đó, chiều 12/9, Ngân hàng Nhà nước Việt Nam cũng chính thức phát đi thông tin về sự cố tại CIC. Theo cơ quan quản lý, ngay khi vụ việc xảy ra, CIC đã báo cáo khẩn và phối hợp cùng các cơ quan chức năng để xác minh, xử lý, đồng thời bảo đảm hoạt động của hệ thống không bị gián đoạn.
Ngân hàng Nhà nước nhấn mạnh, thông tin tín dụng do CIC thu thập theo quy định pháp luật không bao gồm dữ liệu về tài khoản tiền gửi, sổ tiết kiệm, tài khoản thanh toán, số thẻ ghi nợ, thẻ tín dụng, mã số bảo mật hay lịch sử giao dịch thanh toán. Như vậy, các dữ liệu cốt lõi liên quan đến tài sản khách hàng tại ngân hàng vẫn được giữ an toàn. Bên cạnh đó, hệ thống công nghệ thông tin của các ngân hàng và tổ chức tín dụng hoạt động độc lập, không bị ảnh hưởng trực tiếp từ sự cố tại CIC.
Đồng thời, Ngân hàng Nhà nước chỉ đạo các tổ chức tín dụng tăng cường rà soát, tuân thủ nghiêm ngặt quy định về an ninh, bảo mật hệ thống, bảo vệ quyền và lợi ích hợp pháp của khách hàng. Cơ quan này cũng khẳng định mọi hành vi thu thập, khai thác, sử dụng hay cung cấp trái phép thông tin tín dụng sẽ bị xử lý theo pháp luật.
Cùng với các biện pháp kỹ thuật, Ngân hàng Nhà nước đưa ra khuyến nghị đối với khách hàng. Theo đó, người dân cần chủ động phòng tránh các nguy cơ bị kẻ xấu lợi dụng thông tin lộ lọt để phát tán mã độc, lừa đảo, chiếm đoạt tài sản. Việc tuân thủ hướng dẫn từ cơ quan chức năng và tổ chức tín dụng là cần thiết để bảo vệ quyền lợi hợp pháp.
Sự cố tại CIC không chỉ gióng lên hồi chuông cảnh báo về rủi ro an ninh mạng trong ngành tài chính, ngân hàng, mà còn cho thấy tầm quan trọng của niềm tin trong giao dịch số. Khi các tổ chức tín dụng đồng loạt lên tiếng khẳng định an toàn hệ thống và cam kết bảo mật dữ liệu, thông điệp mạnh mẽ được gửi tới khách hàng là tài sản vẫn trong vòng kiểm soát, nhưng sự cảnh giác từ chính người dùng mới là lớp phòng thủ cuối cùng.
Khi thông tin về sự cố dữ liệu tại CIC lan rộng trên mạng xã hội, chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) đã lên tiếng nhằm làm rõ. Cụ thể, trên trang cá nhân, chuyên gia an ninh mạng này khẳng định: "Ngân hàng KHÔNG có gửi thông tin thẻ tín dụng (số thẻ, ngày hết hạn, CVV/CVC), OTP, mật khẩu của khách hàng lên CIC. Vì vậy, giao dịch và thông tin thẻ tín dụng của bạn sẽ không bị ảnh hưởng từ sự cố này."Dù giao dịch sẽ không bị ảnh hưởng nhưng Hiếu PC cũng đưa ra cảnh báo rằng, tội phạm mạng có thể lợi dụng sự cố để lừa đảo, do đó người dùng cần tuyệt đối cảnh giác với các cuộc gọi, tin nhắn hay email mạo danh ngân hàng, CIC hoặc cơ quan công an.
