Bẫy đánh cắp thông tin bủa vây người dùng
Cập nhật ngày: 09/11/2018 09:42:44
Địa chỉ email của hơn 5,42 triệu người, khoảng 31.000 giao dịch ở Công ty CP Thế Giới Di Động bị lộ. Điều này một lần nữa cảnh báo thông tin của người dùng đang ẩn chứa rất nhiều nguy cơ.
Khách hàng thanh toán tiền bằng thẻ ngân hàng tại cửa hàng thiết bị di động ở Q.3, TP.HCM - Ảnh: QUANG ĐỊNH
Các chuyên gia vẫn khuyến cáo những người dùng có trong danh sách dữ liệu bị lộ nên chủ động thay đổi mật khẩu các tài khoản liên quan.
Chưa thể khẳng định bị hack
Thành viên có tên erwincho đã đưa lên diễn đàn RaidForums các tập tin dữ liệu được giới thiệu là kho thông tin khách hàng của Thế Giới Di Động. Lịch sử giao dịch, loại thẻ thanh toán, số thẻ thanh toán (một số hiện đầy đủ 16 số), số tiền giao dịch... bị công khai được cho là đã thực hiện vào tháng 6, tháng 7/2016.
Trao đổi với Tuổi Trẻ ngày 8-11, đại diện Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết cơ quan này đang xác minh vụ việc. Trong khi đó, các chuyên gia an ninh mạng đều cho rằng những thông tin được đưa lên mạng chưa đủ để khẳng định hệ thống mạng của Thế Giới Di Động đã bị tấn công và lộ dữ liệu.
Ông Ngô Tấn Vũ Khanh, Giám đốc phát triển thị trường VN của hãng bảo mật Kaspersky Lab, phân tích: giao dịch chính giữa khách hàng và Thế Giới Di Động hiện qua máy quẹt thẻ thanh toán (POS) và website thương mại điện tử.
Với quẹt thẻ, máy POS và hệ thống phần mềm của Thế Giới Di Động trên POS sẽ bị tách rời ra khỏi hệ thống thanh toán. Máy thanh toán bị kiểm soát (hay được cung cấp) bởi các đơn vị ngân hàng.
Máy POS chỉ lưu lại các thông tin cá nhân khách hàng khi mua hàng phục vụ cho các chương trình khuyến mãi hay các chương trình tích điểm, khách hàng thân thiết...
"Nhiệm vụ và chức năng của các máy POS không thể lưu lại thông tin thẻ tín dụng hay quốc tế của khách hàng" - ông Khanh nói và cho rằng Thế Giới Di Động không thể mạo hiểm thương hiệu để làm ra các phần mềm hay thiết bị để lưu lại các thông tin thẻ tín dụng của khách hàng.
Với giao dịch qua các website thương mại điện tử, ông Khanh cho rằng dù hacker có xâm nhập được hệ thống cũng không thể nào lấy được thông tin thẻ tín dụng từ máy chủ của Thế Giới Di Động.
"Đơn giản là vì Thế Giới Di Động sử dụng các cổng thanh toán trung gian. Ngay khi kích chuột vào chữ thanh toán Visa/Master hay các loại hình thanh toán khác, thông tin thanh toán sẽ được chuyển đến cổng thanh toán trung gian như: 123pay hay Napas", ông Khanh nói.
Đại diện Công ty an ninh mạng Bkav cũng cho rằng: "Hiện tại, với những thông tin này vẫn chưa thể khẳng định Thế Giới Di Động có bị lộ dữ liệu hay không".
* Ông TRẦN ĐĂNG KHOA (Cục An toàn thông tin, Bộ Thông tin và Truyền thông):
Đã cử cán bộ làm việc với Thế Giới Di Động
Hiện Cục đã cử cán bộ kỹ thuật trực tiếp làm việc Thế Giới Di Động và đang xác minh cụ thể cũng như đôn đốc, hướng dẫn doanh nghiệp bảo đảm an toàn thông tin. Các tổ chức, doanh nghiệp cần tăng cường triển khai các biện pháp đảm bảo an toàn thông tin, định kỳ kiểm tra, rà quét điểm yếu, kịp thời xử lý.
Người dùng cũng cần cân nhắc kỹ trước khi cung cấp thông tin của mình cho các dịch vụ trên mạng, cần có thói quen định kỳ thay đổi các thông tin xác thực để giảm thiểu nguy cơ lộ lọt.
|
Nhiều doanh nghiệp Việt bảo mật kém
Theo ông Trần Đăng Khoa, đại diện Cục An toàn thông tin (Bộ Thông tin và Truyền thông), các đơn vị cung cấp dịch vụ thu thập, lưu trữ truyền gửi thông tin cá nhân phải tuân thủ nghiêm Luật an toàn thông tin mạng để bảo vệ thông tin cá nhân cho khách hàng.
Các đơn vị này phải có biện pháp kỹ thuật mã hóa, tuân thủ các quy chuẩn, tiêu chuẩn để đảm bảo không bị lộ lọt, ảnh hưởng quyền và lợi ích của người dân.
Trong khi đó, theo kết quả cuộc khảo sát công bố tháng 10/2018 do Công ty PwC phối hợp với Phòng thương mại và công nghiệp VN (VCCI) và Hội đồng doanh nghiệp vì sự phát triển bền vững VN (VBCSD) thực hiện, "không giải quyết được các vấn đề về an ninh, bảo mật dữ liệu" là một trong ba thách thức lớn nhất mà các doanh nghiệp VN đang gặp phải trong hành trình chuyển đổi số theo cách mạng công nghiệp 4.0.
Qua vụ việc của Thế Giới Di Động, ông Ngô Tấn Vũ Khanh nhấn mạnh đây là một hồi chuông cảnh báo cho các công ty lớn. Nếu cài đặt phần mềm bảo mật vào các máy POS, hacker có thể chiếm quyền điều khiển máy làm bàn đạp tấn công các giao dịch nếu thiết lập được một giao thức đủ tốt. Hiện nay tỉ lệ các công ty bán lẻ tại VN quan tâm đến bảo mật trên các máy POS chưa tới 5%.
Nhiều cuộc khảo sát cũng cho thấy bảo mật kém hoặc không chú trọng đến công tác bảo mật là đặc điểm cố hữu của nhiều người dùng cũng như một số doanh nghiệp Việt. Trong khi nhiều doanh nghiệp đã bị thiệt hại do các sự cố liên quan đến an ninh mạng, như: vụ website Vietnamairlines, website các cảng hàng không ở VN...
Không lưu trữ thông tin của khách
Ngày 8/11, dù thẻ của khách hàng đã bị tiết lộ cả 16 số nhưng trao đổi với Tuổi Trẻ Online, ông Đặng Thanh Phong, trưởng phòng truyền thông TGDĐ, cho biết doanh nghiệp này đã kiểm tra và khẳng định "hệ thống vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng. Mọi thông tin của khách hàng vẫn được bảo mật".
Liên quan đến các thông tin thẻ của khách hàng, như số thẻ, ngày hết hạn, ngày giờ mua hàng... đã bị tiết lộ, ông Phong tái khẳng định công ty không lưu trữ những thông tin này "nên không thể có việc thông tin này bị lộ từ hệ thống của TGDĐ".
Theo ông Phong, khi khách hàng mua hàng và cà thẻ tại cửa hàng, máy POS đọc thẻ của khách chính là máy của NH, từ đó chuyển dữ liệu về bốn NH mà hãng đang liên kết. Hệ thống của TGDĐ cũng không thể can thiệp vào quá trình này cũng như không được phép lưu trữ bất cứ thông tin nào của khách hàng.
|
Tình hình sẽ nóng hơn
Nhiều hãng bảo mật đã dự đoán tình hình an toàn thông tin của VN sẽ còn "nóng" hơn, các cuộc tấn công sẽ có sự góp mặt của các công nghệ thông minh hơn khi VN quyết tâm xây dựng thành phố thông minh, với thiết bị cảm biến, camera và các thiết bị IoT (internet vạn vật).
Dữ liệu từ Kaspersky Lab ghi nhận VN nằm trong top 3 quốc gia chịu ảnh hưởng về các cuộc tấn công nhắm vào những thiết bị IoT khi chiếm tỉ lệ tới 15% số lượng các cuộc tấn công trên toàn cầu (Trung Quốc chiếm 17%, Nga chiếm 8%).
Ngay các ứng dụng hẹn hò phổ biến, các nhà nghiên cứu bảo mật cũng đã cảnh báo có ứng dụng chuyển dữ liệu không được mã hóa của người dùng thông qua giao thức truy cập web không an toàn. Những ứng dụng này có hàng triệu lượt cài đặt trên thế giới và chỉ cần một lỗ hổng, người dùng có thể bị tấn công.
Tuy chưa có kết luận về việc lộ thông tin khách hàng của Thế Giới Di Động nhưng theo ông Trần Đăng Khoa, bất kỳ hành vi tấn công mạng trái phép gây ảnh hưởng tới quyền, lợi ích hợp pháp của các tổ chức, người dân đều phạm pháp.
Trong trường hợp bị tấn công mạng, các tổ chức cần nhanh chóng khắc phục và kịp thời thông báo cho Cục An toàn thông tin và các cơ quan chức năng liên quan để phối hợp xử lý.
Nhiều nơi siết chặt quy định
Chuyện lộ thông tin khách hàng ngày càng phổ biến trên thế giới, từ bê bối chấn động của Facebook cho đến gần đây tập đoàn tài chính HSBC thừa nhận tài khoản của các khách hàng Mỹ bị tin tặc đánh cắp. Nhiều nơi đã đẩy mạnh bảo vệ thông tin của công dân.
Châu Âu hồi giữa 2018 đã siết chặt việc các công ty thu thập, lưu trữ và xử lý thông tin người dùng. Theo đó, các công ty phải minh bạch và thông báo với người dùng về việc việc thu thập thông tin, buộc phải chấp nhận yêu cầu của những người muốn xóa bỏ hoặc xem/ chỉnh sửa thông tin của mình.
Trường hợp bị rò rỉ thông tin, doanh nghiệp phải thông báo cho người dùng trong vòng 72 giờ thay vì giấu nhẹm. Các công ty vi phạm sẽ đối mặt với hình phạt lên đến 20 triệu euro hoặc 4% lợi nhuận toàn cầu của năm trước đó, tùy vào mức nào cao hơn.
Tại Mỹ, Thượng nghị sĩ Ron Wyden của Oregon mới đây đề xuất đạo luật về bảo vệ thông tin mạnh mẽ, trong đó các công ty có thể đối mặt với mức phạt rất nặng và lãnh đạo cũng có nguy cơ bị bỏ tù 10 đến 20 năm nếu vi phạm.
T.PHƯƠNG
|
* Luật sư NGUYỄN HUY VIỆT (Đoàn luật sư TP.HCM):
Thương nhân phải bảo mật thông tin khách hàng
Bộ luật dân sự cũng như Luật bảo vệ người tiêu dùng đều có các quy định bắt buộc thương nhân cung cấp sản phẩm, dịch vụ phải chịu trách nhiệm bảo mật thông tin của khách hàng. Tuy nhiên, chế tài cho việc lộ thông tin khách hàng chưa đủ mạnh.
Theo Nghị định 185/2013, việc để lộ thông tin khách hàng có thể bị xử phạt đến 20 triệu đồng. Nếu thông tin liên quan đến bí mật cá nhân người tiêu dùng thì người vi phạm bị phạt tiền gấp hai lần mức phạt trên. Ngoài ra, tùy tính chất, mức độ xâm phạm thông tin khách hàng mà người vi phạm có thể bị xử lý hình sự.
Thời gian qua đã xảy ra rất nhiều vụ thông tin của khách hàng bị tiết lộ. Người dân nên mạnh mẽ từ chối yêu cầu cung cấp thông tin vô lý của bên cung cấp sản phẩm, dịch vụ.
* Luật sư TRẦN MINH HẢI (Công ty luật Basico):
Nên giới hạn quyền yêu cầu cung cấp thông tin
Pháp luật quy định bất cử thương nhân nào cũng phải có trách nhiệm trong việc bảo mật thông tin khách hàng đã cung cấp. Vì vậy, thông tin khách hàng bị lộ từ đâu thì đơn vị kinh doanh cũng có lỗi và chịu trách nhiệm.
Khách hàng bị lộ thông tin có thể yêu cầu cơ quan quản lý thị trường vào cuộc để xử phạt hành chính hoặc yêu cầu Hội bảo vệ người tiêu dùng phân xử, thậm chí gửi đơn kiện ra tòa. Nhưng để tòa chấp nhận mức yêu cầu bồi thường, sẽ phải chứng minh thiệt hại cụ thể trong khi điều này không hề dễ.
Việc khách hàng bị tiết lộ thông tin trong khi các chế tài không đủ mạnh rất nhức nhối hiện nay. Với thực tế hiện nay, nên chăng cần có quy định pháp luật giới hạn lại quyền yêu cầu khách hàng cung cấp thông tin của thương nhân. Ví dụ thương nhân không được yêu cầu khách hàng cung cấp một loạt thông tin liên quan mà chỉ cung cấp những thông tin tối thiểu khi giao dịch.
ÁI NHÂN
|
Món lợi lớn
Khách hàng thực hiện khóa thẻ ngân hàng do lo sợ bị mất tiền khi có thông tin bị rò rỉ - Ảnh: TUYẾT KIỀU
Nhiều người cài ứng dụng trên di động, máy tính... mà không biết đang bị moi thông tin.
Nhiều kiểu cài cắm
Theo ghi nhận, hiện khi cài đặt ứng dụng cho thiết bị di động, máy tính, người dùng luôn chứng kiến rất nhiều ứng dụng tìm cách truy cập vào các thông tin trên smartphone dù tính năng của ứng dụng đó chẳng liên quan gì đến các thông tin này. Như ứng dụng chỉnh sửa ảnh cũng yêu cầu được quyền truy cập danh bạ điện thoại, đọc nội dung tin nhắn. Hay ứng dụng đèn pin cũng đòi quyền truy cập các nội dung trong bộ nhớ, hình ảnh...
Với các website, người dùng luôn được khuyến nghị cung cấp các thông tin cá nhân như địa điểm, số điện thoại, email, địa chỉ nhà... để được phục vụ tốt hơn. Các mạng xã hội lại càng dễ thu thập thông tin cá nhân, không chỉ qua hình thức bắt buộc (thông tin đăng nhập, xác thực tài khoản) mà còn cả khuyến khích người dùng chia sẻ hình ảnh, video, chỗ ở, công việc, người thân... Nhiều người đang âm thầm thu thập thông tin này.
Việc sử dụng mã độc để tấn công thu thập thông tin người dùng cũng đang được cài cắm khắp nơi: ẩn trong website, đường dẫn, phần mềm...
Lợi nhuận tỉ "đô"
Thông tin bị rò rỉ đang là món hàng được mua bán nhộn nhịp trên những Dark Web (thường gọi là web ngầm). Theo thống kê từ Công ty phân tích dữ liệu Experian, rất nhiều loại thông tin với giá bán dao động từ 1 đến 2.000 USD.
Chẳng hạn những thông tin về số an sinh xã hội (công dân Mỹ) thường có giá 1 USD, hộ chiếu (Mỹ) 1.000 - 2.000 USD. Các dữ liệu là tài khoản các trang mạng xã hội như Facebook, Uber, Twitter thường có giá 1 - 7 USD...
Những công ty khai thác các thông tin người dùng còn thu lợi nhiều hơn. Theo ông Robert Trọng Trần, giám đốc dịch vụ an ninh mạng và bảo mật PwC VN, ngành quảng cáo kỹ thuật số ở Mỹ kiếm được trung bình 240 USD từ dữ liệu mỗi người dùng trong năm 2016, theo tính toán của sàn giao dịch dữ liệu Wibson. Nếu tính 1 triệu người dùng, con số kiếm được từ quảng cáo là 240 triệu USD, 10 triệu người dùng là 2,4 tỉ USD.
"Thông tin người dùng hiện đang được xem là một trong những dữ liệu quan trọng nhất. Ví dụ như tuổi, vị trí địa lý, lịch sử mua hàng và hành vi duyệt web của một người sẽ trở thành một yếu tố quan trọng cho ngành quảng cáo, tạo ra hàng chục tỉ USD hằng năm" - ông Robert Trọng Trần nhận định.
ĐỨC THIỆN
|
ĐỨC THIỆN - THANH HÀ - T.V.N (TTO)