Trên diễn đàn dành cho hacker tuần trước, một tin tặc đã đăng bán 17GB dữ liệu cá nhân KYC (Know Your Customer) của người dùng Việt Nam với nhiều ảnh chụp chứng minh thư nhân dân (CMTND), căn cước công dân (CCCD), sổ hộ khẩu, ảnh selfie… với mức giá 9.000 USD. Hacker tiết lộ có được số thông tin này thông qua Pi Network. Ngay sau đó, công tác điều tra đã được tiến hành. Mặc dù được khẳng định là không có liên quan đến Pi Network, tuy nhiên người dùng đã bắt đầu đặt ra nghi vấn về sự an toàn dữ liệu trên các nền tảng tiền điện tử này.
Trước đó, sàn giao dịch lớn nhất thế giới Binance cũng vướng phải nghi vấn làm lộ lọt thông tin KYC. Cụ thể, năm 2019, một hacker từng rao bán 10.000 tấm ảnh tương tự như dữ liệu KYC Binance với giá 300 BTC. Phía Binance đã đăng đàn bác bỏ thông tin này nhưng phía người dùng vẫn không khỏi lo lắng.
Ngành công nghiệp tiền điện tử toàn cầu phát triển chóng mặt kể từ sau cơn sốt Bitcoin hồi năm 2013. Chỉ sau năm năm, tổng giá trị vốn hóa của nó tăng gấp hơn mười lần. Tuy nhiên, tiền điện tử là thị trường non trẻ và đầy rẫy rủi ro. Các tình trạng lừa đảo và vi phạm bảo mật trên các nền tảng tiền điện tử vẫn xảy ra thường xuyên.
Thống kê từ năm 2011 đến năm 2021, thiệt hại liên quan đến dự án tiền điện tử lừa đảo trị giá lên gần 5 tỉ đô la, trong khi gần 3 tỉ đô la đã bị đánh cắp sau các vụ tấn công nhằm vào nền tảng tiền điện tử.
Ảnh minh họa: Finance Magnates. |
Quan điểm về KYC từng "dậy sóng" cộng đồng tiền điện tử
Trên diễn đàn nổi tiếng trong cộng đồng tiền điện tử Bitcoin Talk, một bài viết đề cập đến rủi ro của hệ thống KYC trên nền tảng tảng điện tử thu hút hàng trăm lượt tương tác.
Cụ thể, tài khoản … - chủ bài viết - phân tích rằng “Khi các nền tảng yêu cầu KYC, người dùng buộc phải cung cấp nhận dạng cá nhân của họ cho bên thứ ba (chẳng hạn như sàn giao dịch, ICO, v.v.). Sau thời điểm đó, họ không còn kiểm soát quy trình nữa và hoàn toàn phụ thuộc về bên thứ ba lưu trữ dữ liệu nhạy cảm.
Rõ ràng, những rủi ro đối với người dùng bình thường là không thể tránh khỏi khi họ buộc phải cung cấp dữ liệu cá nhân của mình cho những người không xác định hoặc một dịch vụ tập trung. Đơn giản là không có gì đảm bảo rằng dữ liệu cá nhân của chúng ta được an toàn ở đó, ngay cả các công ty lớn với tiêu chuẩn bảo mật cao cũng có thể bị tấn công bất ngờ”.
Ở phần bình luận bên dưới, nhiều người dùng khác tỏ ra đồng tình với ý kiến này. Họ không có nhu cầu KYC vì nhiều lý do. Trong đó, quan trọng nhất tính ẩn danh khi giao dịch và tránh lộ lọt dữ liệu cá nhân. Một số ý kiến khác cho rằng nền tảng tiền điện tử vận hành dựa trên mô hình phi tập trung. Vì vậy, ngay cả nhà phát triển cũng không thể dễ dàng can thiệp, đảo chiều giao dịch nếu xảy ra sự cố.
Bên cạnh đó, chính các nền tảng tiền điện tử cũng không thực sự quan tâm đến KYC. Một nghiên cứu năm 2020 cho thấy, 56% các nhà cung cấp dịch vụ tài sản ảo (VASP) trên thế giới cho phép người dùng rút hoặc nạp thêm tiền lên đến các giá trị nhất định mà không cần thông qua bất kỳ thủ tục định danh nào hoặc nếu có thì quy trình cũng tương đối đơn giản.
Cho đến nay, KYC vẫn cho thấy tính hiệu quả trong các hoạt động tài chính truyền thống. Phương pháp này giúp xác minh danh tính khi thực hiện giao dịch lớn, qua đó ngăn chặn hành vi đầu cơ hoặc rửa tiền (Anti Money Laundering - AML).
Thực tế, các giao dịch được thực hiện với tài sản kỹ thuật số được theo dõi và ghi lại trên blockchain, nhưng bản thân những người tham gia vẫn ẩn danh qua tên đăng nhập. Điều này có thể khiến tội phạm dễ dàng trà trộn để lừa đảo nạn nhân hoặc tiến hành rửa tiền. Nạn nhân không thể truy cứu trách nhiệm với kẻ lừa đảo khi không có thông tin. Vì vậy, một số nền tảng lớn đã yêu cầu KYC để nâng cao sự tin tưởng của người dùng hợp pháp bằng cách xác minh thông tin giao dịch.
Dữ liệu KYC: thách thức mới đối với các nền tảng giao dịch tiền điện tử
Trong khi các vụ tấn công liên quan đến giao dịch tiền điện tử giảm dần thì các vụ vi phạm dữ liệu cá nhân KYC vẫn thường xuyên xảy ra và có xu hướng tăng.
Thống kê của Chainalysis. Ảnh: Finance Magnates. |
Khi giao thức bảo mật trên giao dịch trên blockchain liên tục được cải tiến, tin tặc bắt đầu chuyển hướng sang mục tiêu khác là dữ liệu KYC của người dùng.
Số lượng dữ liệu định danh khách hàng (KYC) và yêu cầu chống rửa tiền (AML) ngày càng tăng trên các sàn giao dịch tiền điện tử đã biến nơi này trở thành các “mỏ vàng” thực sự về dữ liệu.
Mặc dù các biện pháp bảo mật để quản lý tài sản trên các sàn giao dịch tiền điện tử dường như đang được cải thiện, nhưng không rõ liệu các biện pháp an toàn dữ liệu cá nhân có được tuân thủ hay không.
Mark Hornsby - Giám đốc công nghệ tại Công ty lưu ký tiền điện tử Trustology - nói với Finance Magnates rằng, các biện pháp an toàn dữ liệu cá nhân trên nền tảng “gần như chắc chắn” không an toàn bằng các biện pháp được thực hiện để lưu ký tài sản tiền điện tử.
Ông dẫn chứng, năm 2020, một hacker tấn công tài khoản nhân viên tiếp thị và dịch vụ khách hàng của CryptoTrader trên nền tảng trung tâm hỗ trợ đã chiếm đoạt tên, địa chỉ email, hồ sơ xử lý thanh toán và tin nhắn của khách hàng, một số trong đó chứa thông tin thu nhập tiền điện tử.
Tin tặc hiện đang cố gắng bán thông tin này trên một diễn đàn dark web. Cùng thời điểm đó, Công ty ví tiền điện tử Ledger đã tiết lộ một vụ vi phạm dữ liệu đã làm lộ ra khoảng một triệu địa chỉ email và 9.500 thông tin khách hàng của họ. Đây chỉ là hai trong số rất nhiều vụ tấn công chưa từng được công bố hoặc không có bằng chứng.
Hornsby giải thích: “Chúng ta đang bị tấn công hàng ngày và chắc chắn sẽ không tránh khỏi việc bị tin tặc nhòm ngó. Đây không phải là vấn đề riêng của ngành tiền điện tử. Việc bảo vệ dữ liệu người dùng khỏi bị tấn công là thách thức lớn đối với nhiều lĩnh vực”.
Jacob Yocom-Piatt - đồng sáng lập và trưởng dự án cho mạng lưới tiền điện tử Decred - nhận định, bảo vệ dữ liệu cá nhân là một quá trình phức tạp hơn nhiều so với bảo vệ tài sản kỹ thuật số.
“Bảo vệ tài sản kỹ thuật số là vấn đề bảo vệ một lượng rất nhỏ thông tin, gồm các mã khóa riêng tư của bạn. Có nhiều công cụ hơn để thực hiện việc này” - ông nói thêm.
Tuy nhiên, “việc bảo vệ dữ liệu người dùng là thách thức hơn vì phạm vi tấn công lớn hơn nhiều. Có một lượng lớn thông tin nhận dạng cá nhân (Personally Identifiable Information - PII) phải được bảo vệ, nhưng dữ liệu này cần được xem xét đồng thời”.
Đối với nhiều sàn giao dịch tiền điện tử, việc xử lý dữ liệu AML và KYC là một tập hợp trách nhiệm mới. Nhiều nền tảng đã áp dụng các yêu cầu về dữ liệu định danh và phòng chống rửa tiền chỉ để tuân thủ yêu cầu của các cơ quan quản lý, chưa thực sự đặt trọng tâm vào việc bảo vệ dữ liệu, góp phần gây ra mất an toàn dữ liệu chung.
Sự mơ hồ về quy định xung quanh việc bảo vệ dữ liệu cá nhân dường như không ảnh hưởng nhiều đến các nền tảng tiền điện tử. Trên thực tế, một số nền tảng đã coi đó như một luận cứ để khẳng định mình là người dẫn đầu ngành khi nói đến việc xử lý và bảo vệ dữ liệu cá nhân.
Mặt khác, việc thiếu bộ khung quy định ở nhiều quốc gia đã cho phép các nền tảng không chú trọng tới nhiệm vụ bảo vệ dữ liệu khách hàng khiến dữ liệu dễ bị tấn công.
Drew Porter - Chủ tịch kiêm nhà sáng lập tại Red Mesa - cho biết, người dùng các nền tảng tiền điện tử nên xem xét dữ liệu cung cấp cho các nền tảng đó có dễ bị lộ hay không.
“Những dự án này đang tập trung vào các tính năng và khả năng mở rộng chứ không tập trung quá nhiều vào bảo mật, và thêm rằng các nguồn tin trong ngành đã nói rằng“ bảo mật và quyền riêng tư là điều cần suy nghĩ sau đối với nhiều người, vì trong mắt nhiều người, đó là việc kiếm tiền” - ông nhận định.
Do đó, lý do đằng sau mối đe dọa về dữ liệu cá nhân là độ phức tạp khi thu thập và xử lý dữ liệu, cũng như việc thiếu các quy định thực thi rõ ràng khi bảo vệ dữ liệu.
Để đối phó với sự phức tạp của việc xử lý và lưu trữ nhiều phần dữ liệu cá nhân nhạy cảm, các nền tảng tiền điện tử phải đánh giá phần thông tin nào là thực sự cần thiết. Mark Hornsby - công ty lưu ký tiền điện tử Trustology giải thích: “Trước tiên, các công ty nên luôn tập trung vào việc giảm thiểu dữ liệu. Bạn càng giữ ít dữ liệu về khách hàng của mình càng tốt".
Ngoài ra, dữ liệu cần được gửi đến hoặc lưu giữ bởi các công ty uy tín và được mã hóa liên tục. “Việc sử dụng hàm băm thích ứng là một cách lý tưởng để ngăn không cho dữ liệu bị truy xuất" - Hornsby nói thêm.
Ảnh minh họa: Finance Magnates. |
Một phần khác của giải pháp cho vấn đề bảo mật dữ liệu là sự liên kết giữa các nền tảng để cùng tìm ra giải pháp tốt nhất. Có nhiều ví dụ về sự hợp tác này trong lĩnh vực tiền điện tử để phát triển các tiêu chuẩn ngành , tiêu biểu như CryptoUK và Hiệp hội Blockchain Nhật Bản.
Mark Hornsby nhận xét: “Ngành công nghiệp cần hợp tác để đảm bảo rằng phương pháp hay nhất được ghi lại và sẵn sàng cung cấp. Bằng cách chia sẻ kiến thức và mã nguồn, chúng tôi có thể giúp giảm khả năng xảy ra và tác động của sự kiện vi phạm dữ liệu”.
Điều quan trọng nhất là nâng cao nhận thức người dùng
Ngoài việc các đơn vị cung cấp dịch vụ duy trì tính bảo mật, người dùng cũng phải cảnh giác khi ủy thác dữ liệu cho các nền tảng tiền điện tử. Mark Hornsby nói rằng, giáo dục người dùng về an toàn dữ liệu cá nhân có thể là phần quan trọng nhất của vấn đề bảo mật dữ liệu.
"Người dùng nên được khuyến khích và phổ biến cách dùng mật khẩu tốt" - ông nói. Hornsby đề xuất người dùng nên sử dụng trình quản lý mật khẩu và tạo mật khẩu ngẫu nhiên, duy nhất cho mỗi trang web/ứng dụng, luôn bật xác thực 2 yếu tố và kiểm soát dữ liệu chia sẻ. Người dùng cũng nên nghiên cứu các công ty mà họ đang ủy thác dữ liệu, tìm hiểu xem có sự cố nào trước đây liên quan đến việc đánh cắp dữ liệu hay chưa.
Tuy nhiên, nếu dữ liệu được ủy thác cho một bên thứ ba tập trung, mức độ rủi ro liên quan đến việc lộ lọt sẽ tăng lên đáng kể. Jacob Yocom-Piatt - đồng áng lập Decred - nói: “Người dùng không bao giờ có thể chắc chắn rằng dữ liệu cá nhân của họ được bảo mật đúng cách bằng các nền tảng mà họ chọn sử dụng. Bằng cách cho phép ai đó quản lý dữ liệu của bạn, cho dù chúng ta đang nói về khóa cá nhân hay PII, bạn luôn có nguy cơ bên thứ ba đáng tin cậy đó bị tấn công và mất quyền kiểm soát dữ liệu của bạn”.
(Theo Viettimes, Finance Magnates, Bitcoin Talk, PYMNTS)
Làm gì khi phát hiện dữ liệu cá nhân bị rao bán?
Nếu dữ liệu cá nhân của bạn bị rò rỉ và rao bán, cần hành động thật nhanh để tránh thiệt hại.