Hàng loạt doanh nghiệp bị đánh cắp, rao bán thông tin trên mạng là hồi chuông cảnh báo cho vấn đề bảo vệ dữ liệu.
Liên tục bị đánh cắp, rao bán dữ liệu
Ngày 10/1, trên diễn đàn R***forums, tài khoản có tên cityofhanporridge đã công khai những dữ liệu nhạy cảm được cho là của Tổng công ty Tân Cảng Sài Gòn, một doanh nghiệp chuyên về khai thác cảng, dịch vụ logistics và vận chuyển đường biển. Người này khẳng định, bản thân có toàn quyền truy cập vào máy chủ và có thể lấy bất kỳ dữ liệu nào của Tân Cảng Sài Gòn.
Để chứng minh, hacker đã chia sẻ nhiều tệp dữ liệu chứa thông tin vận chuyển, thông tin về các container, hệ thống kiểm soát container, thông tin tàu thuyền, cách bố trí và mã cảng.
Hacker không chia sẻ cụ thể cách thức hành động của mình, đồng thời cũng không nói gì về việc sẽ rao bán các dữ liệu. Tuy vậy, người này úp mở khi cho biết, sẽ còn nhiều thông tin nữa được tiết lộ trong thời gian tới.
Cuối tháng 12/2021, cũng trên diễn đàn này, một thành viên cho biết, đã xâm nhập thành công vào máy chủ trang web Goonus.io của ONUS, một ứng dụng đầu tư tiền số do người Việt phát triển. Người này tuyên bố, đã nắm trong tay dữ liệu của 2 triệu người dùng ONUS, gồm họ và tên, email, thông tin trên thẻ căn cước, hình ảnh và video khuôn mặt của nạn nhân. Đây là những dữ liệu được dùng để eKYC (xác thực điện tử) của người dùng. Sau đó, hacker đã gửi tin nhắn đe dọa tống tiền 5 triệu USD tới ONUS thông qua Telegram.
Lãnh đạo startup này đã từ chối yêu cầu của hacker, đồng thời công khai vụ tấn công tới tất cả người dùng và cho biết, Công ty có ngân sách 5 triệu USD để đền bù cho việc mất mát tài sản của người dùng nếu bị thiệt hại.
Trước đó vài ngày, dữ liệu của khoảng 200 người dùng gồm địa chỉ email, số điện thoại của Bkav đã bị lộ lọt. Hồi tháng 8/2021, hacker có tên chunxong cũng rao bán bộ mã nguồn của Bkav với giá 250.000 USD. Công ty khi đó giải thích dữ liệu “bị rò rỉ từ nhân viên cũ”. Tuy nhiên, chunxong sau đó phủ nhận, đồng thời tung video chứng minh quá trình tấn công vào hệ thống của Bkav bằng kỹ thuật SQL Injection.
Trước khi xảy ra những vụ việc này, đã có khoảng 20 vụ rò rỉ dữ liệu ở quy mô lớn với gần 100.000 tài khoản online bị lộ, điển hình như vụ Nguyễn Kim bị rao bán thông tin 19.000 khách hàng với giá 800 USD; vụ rao bán 17 GB dữ liệu gồm ảnh chụp chứng minh thư, căn cước công dân, ảnh, video selfie, sổ hộ khẩu của người dùng; vụ hacker tuyên bố đang sở hữu cách khai thác lỗ hổng trên Zalo Chat và Zalo Pay của VNG...
Việc bị rao bán dữ liệu khách hàng như số điện thoại, email… khiến người dùng có thể trở thành nạn nhân của cuộc gọi rác, cuộc gọi lừa đảo, hoặc các hành vi mạo danh trên mạng. Các doanh nghiệp để lộ lọt dữ liệu khách hàng bị ảnh hưởng đến thương hiệu, uy tín.
Chống tấn công đánh cắp dữ liệu
“Sự việc này là một bài học lớn đối với ONUS và chắc chắn chúng tôi sẽ cố gắng hơn nữa để nâng cao vấn đề bảo mật trong ứng dụng của mình”, ông Trần Quang Chiến, CEO ONUS chia sẻ sau sự cố.
Những doanh nghiệp như ONUS chắc chắn sẽ phải thay đổi sau sự cố xảy ra. Nhưng rất nhiều doanh nghiệp khác lại thờ ơ với đầu tư cho bảo mật.
Theo ông Trần Minh Quảng, Giám đốc Trung tâm Phân tích và Chia sẻ nguy cơ an ninh mạng (Viettel Cyber Security), người dùng và doanh nghiệp sẽ luôn phải đối mặt với những nguy cơ mất an toàn thông tin mới. Các cuộc tấn công của tin tặc sẽ ngày càng nguy hiểm, tinh vi đến từ các tổ chức được đào tạo chuyên nghiệp, cùng tiềm lực tài chính dồi dào, đủ khả năng thực hiện những vụ việc có quy mô lớn.
Các cuộc tấn công vào doanh nghiệp Việt ngày càng tăng và sẽ là xu hướng chính trong những năm tới. Trong đó, dữ liệu người dùng sẽ là đích ngắm chính của tin tặc. Tuy nhiên, thời gian phản ứng của các doanh nghiệp trước mỗi cuộc tấn công là quá lâu, mất xấp xỉ 1 tháng để khắc phục, điều này không chỉ gây mất an toàn cho hệ thống, mà còn tạo ra nhiều rủi ro cho người dùng.
“Với sự gia tăng mạnh mẽ về nguy cơ rủi ro mất an toàn thông tin, các tổ chức, doanh nghiệp cần thích nghi và có biện pháp phản ứng hiệu quả, cũng như chú trọng vào bảo vệ an toàn thông tin nhiều hơn so với trước đây. Đặc biệt, những doanh nghiệp cung cấp dịch vụ cho người dùng cuối cần đẩy mạnh các biện pháp phòng, chống tấn công cho chính bản thân cũng như khách hàng, nhất là tổ chức ngân hàng, tài chính”, ông Quảng khuyến nghị.
Còn ông Nguyễn Ngọc Cương, Phó cục trưởng Cục An ninh mạng và phòng chống tội phạm công nghệ cao (A05) cho rằng, để hạn chế tình trạng mua bán dữ liệu cá nhân đang diễn ra tràn lan hiện nay, cần phải hoàn thiện quy định pháp luật về bảo vệ dữ liệu cá nhân. Theo đó, hoạt động thu thập dữ liệu cá nhân phải được diễn ra công khai, minh bạch, có sự đồng ý của chủ thể cũng như dưới sự quản lý của Nhà nước. Không những thế, cần hình sự hóa những hành vi vi phạm về bảo vệ dữ liệu cá nhân. Bên cạnh đó, cũng cần tăng mức xử phạt hành chính với những hành vi dạng trên để đủ sức răn đe đối tượng vi phạm.
Trong năm 2022, Bộ Thông tin và Truyền thông sẽ trình Chính phủ và Quốc hội để ban hành các quy định pháp luật cho vấn đề bảo vệ dữ liệu. Theo đó, Bộ định hướng xây dựng và phát triển đồng bộ hạ tầng dữ liệu quốc gia, mục tiêu đưa dữ liệu của người Việt về lưu trữ ở Việt Nam, hình thành hệ thống trung tâm dữ liệu quốc gia, các trung tâm dữ liệu vùng và địa phương kết nối đồng bộ, thống nhất.
Bên cạnh đó, Bộ cũng đang chủ trì xây dựng Luật Công nghiệp công nghệ số, đề cập đến các vấn đề từ quản lý, khai thác dữ liệu…, giúp chia sẻ, sử dụng dữ liệu được bảo vệ.