Theo một lập trình viên ở Hà Nội với việc dữ liệu được rao bán có nhiều thông tin như trên, rất có thể đã bị rò rỉ từ một kho nào đó rất lớn, trong khi đó các nhà mạng cho biết, chưa phát hiện ra lỗ hổng từ hệ thống và đang tiến hành kiểm tra.
Lời toà soạn
Với việc dữ liệu được ví như “vàng”, thời gian qua tình trạng mua bán dữ liệu cá nhân tại Việt Nam diễn ra phổ biến, công khai và có hệ thống. Thậm chí, nhiều dữ liệu về thông tin cá nhân bị rao bán công khai trong thời gian dài. Mặc dù ngày 1/7/2023, Chính phủ đã ban hành Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, thế nhưng tình trạng này vẫn chưa có dấu hiệu thuyên giảm. Phóng viên VietNamNet đã phát hiện ra một kho dữ liệu lớn về thông tin cá nhân được bán công khai trên Telegram, xin chuyển đến độc giả thông tin về hoạt động này.
Trong loạt dữ liệu bot tự động tiến hành rao bán trên Telegram, theo anh P.V.H, một lập trình viên tại Hà Nội am hiểu về lĩnh vực này, rất nhiều người khi nhìn thấy từ số điện thoại ra thông tin thuê bao bị lộ như trên, sẽ cho rằng dữ liệu xuất phát từ nhà mạng. Tuy nhiên, với việc người bán có thông tin cả 3 nhà mạng, biển số xe, MoMo, thanh toán tiền điện, tra được thông tin từ tên – năm sinh – địa chỉ, bên cạnh đó tra được căn cước công dân ra hộ khẩu… thì có thể khối dữ liệu này xuất phát từ một kho nào đó lớn hơn rất nhiều.
Anh H. cũng cho biết, thực tế thị trường mua bán dữ liệu ở Việt Nam rất sôi động, bởi nhiều người hay nói dữ liệu là “vàng”, nên nhiều bên sẽ đi thu thập dữ liệu ở rất nhiều nơi để bán cho các bên cần. Nhưng từ trước đến nay, việc này được thực hiện rất âm thầm và các công ty kinh doanh dữ liệu thực hiện việc mua bán rất kín, chủ yếu là khách hàng doanh nghiệp và bán theo gói có giá trị lớn. Còn ở đây, dữ liệu “khủng” như vậy được rao bán một cách công khai cho mọi khách hàng, điều này cho thấy khả năng một vài lập trình viên đang làm cho một công ty thu thập dữ liệu lớn nào đó, móc ra bán bên ngoài. Đây là hành động rất liều lĩnh, bởi như vậy là vi phạm pháp luật.
Trong các dữ liệu bị rao bán tự động trên Telegram, một thông tin rất quan trọng đó là từ số điện thoại có thể tra cứu được thông tin thuê bao di động. Theo đó, sau khi tiến hành tra cứu một số điện thoại di động sẽ được trả về những thông tin như: họ tên, loại khách hàng, đối tượng khách hàng, đối tượng sử dụng,ngày tháng năm sinh, quốc tịch, số giấy tờ, ngày cấp, nơi cấp, hộ khẩu, thời gian cập nhật, thời gian hợp đồng, địa điểm giao dịch, nơi đăng ký, điện thoại điểm giao dịch, ngày sử dụng, thanh toán và nhà mạng.
Đáng chú ý, người dùng có thể tra cứu được thông tin thuê bao của cả ba nhà mạng lớn là Viettel, MobiFone và VinaPhone. Chính vì thế, trong những ngày qua, trên mạng xã hội nhiều người cho rằng, việc lộ lọt thông tin này có thể xuất phát từ các nhà mạng. Để làm rõ vấn đề này, PV VietNamNet đã tiến hành trao đổi với các nhà mạng và nhận được trả lời như sau.
Đại diện Tập đoàn Công nghiệp Viettel cho biết, hiện nay, phía an ninh mạng và công nghệ thông tin của Tập đoàn Viettel đang tiến hành kiểm tra. Trước mắt, chưa tìm thấy lỗ hổng phía Viettel. Đại diện nhà mạng này cũng hứa sẽ cung cấp thông tin ngay khi có kết quả.
Đại diện Tổng Công ty MobiFone cũng chia sẻ, hiện nhà mạng đã tiếp nhận đầy đủ các thông tin về vấn đề báo VietNamNet đề cập. MobiFone đang tiến hành rà soát nội bộ, kiểm tra hệ thống và các thông tin liên quan đến vấn đề nêu trên. Đến thời điểm hiện tại, MobiFone vẫn chưa phát hiện lỗ hổng nào từ phía nhà mạng này. Công ty sẽ tiếp tục kiểm tra toàn diện và sẽ cập nhật kết quả xác minh về vấn đề này với báo.
Còn đại diện VinaPhone trả lời, hiện bộ phận an ninh mạng của nhà mạng đang tiến hành kiểm tra rà soát, hiện nay chưa phát hiện lỗ hổng nào trong hệ thống.
Việc buôn bán dữ liệu các nhân một cách tự động và công khai trên Telegram trong những ngày qua theo anh P.V.H đây là lần đầu tiên xuất hiện. Bởi trước đây việc buôn bán này thường diễn ra ở các website nước ngoài, hoặc trao đổi trong các group kín, liên hệ qua Zalo, Viber… và đây là các hành vi vi phạm pháp luật.
Một điều nữa là hoạt động này diễn ra ngay khi Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân được Chính phủ ban hành vừa có hiệu lực từ 1/7. Trong đó, Nghị định nêu rõ quy định về thu thập, chuyển giao, mua, bán trái phép dữ liệu cá nhân. Theo đó, tổ chức, cá nhân có liên quan tới xử lý dữ liệu cá nhân phải áp dụng các biện pháp bảo vệ dữ liệu cá nhân để ngăn chặn tình trạng thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị dịch vụ của mình. Việc thiết lập các hệ thống phần mềm, biện pháp kỹ thuật hoặc tổ chức các hoạt động thu thập, chuyển giao, mua, bán dữ liệu cá nhân không có sự đồng ý của chủ thể dữ liệu là vi phạm pháp luật. Đối tượng vi phạm sẽ bị xử phạt hành chính và xử lý hình sự.
Về tình trạng mua bán dữ liệu cá nhân tại Việt Nam trong thời gian qua, ngày 7/6, phát biểu tại hội nghị phổ biến, hướng dẫn về Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân, Trung tướng Nguyễn Minh Chính, Cục trưởng Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an cũng cho biết, hiện nay, tình trạng mua bán dữ liệu cá nhân hiện đang diễn ra phổ biến, công khai với các dữ liệu thô và dữ liệu cá nhân đã qua xử lý; thậm chí cam kết “bảo hành” và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua.
Một số vụ việc điển hình trước đây như việc công ty VNG để lộ hơn 163 triệu tài khoản khách hàng, công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng. Tin tặc cũng đã tấn công vào hệ thống máy chủ của Vietnam Airlines, đăng tải lên mạng 411.000 tài khoản khách hàng thành viên của chương trình Bông sen vàng.
Thời gian qua, Bộ Công an đã phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép lớn nhất từng được phát hiện lên tới gần 1.300GB, với hàng tỷ dữ liệu cá nhân, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.
Ghi nhận từ hệ thống Viettel Cyber Security, chỉ trong quý đầu tiên của năm nay, đã phát hiện được 10 vụ rò rỉ dữ liệu lớn, với nhiều dữ liệu mã nguồn hệ thống và dữ liệu người dùng bị rao bán.