Vụ hacker rao bán hồ sơ 300.000 sinh viên: Việc xâm nhập dữ liệu các trường đại học Việt Nam có thực sự dễ dàng?
An toàn thông tin - Ngày đăng : 13:46, 17/08/2021
"Tôi sở hữu nhiều dữ liệu quan trọng, có thể hữu ích cho mục đích tiếp thị, quảng cáo", tài khoản "X***1983" viết.
Theo bài đăng của tài khoản X***1983, đây là dữ liệu hồ sơ của hơn 300.000 sinh viên các trường đại học tại Việt Nam.
Ngoài các thông tin cơ bản của sinh viên như tên tuổi, địa chỉ và số điện thoại, tệp dữ liệu còn chứa nhiều thông tin nhạy cảm như tài khoản ngân hàng, hình ảnh chứng minh nhân dân, địa chỉ liên lạc phụ huynh… Tuy nhiên, hacker không nêu rõ các dữ liệu này được thu thập từ khi nào.
Bài đăng của X***1983 bao gồm mẫu thông tin cá nhân của hai sinh viên năm nhất đang theo học tại Học viện Hàng không Việt Nam. Ngoài ra, tài khoản này còn đính kèm nhiều dữ liệu bao gồm danh sách lớp học, ảnh chứng minh nhân dân của sinh viên. Bên cạnh đó, hacker này để lại địa chỉ email để người mua liên hệ.
Bảo mật hồ sơ sinh viên ra sao?
Trước vấn đề này, nhiều câu hỏi đặt ra, vấn đề bảo mật thông tin, an ninh mạng tại các trường đại học ra sao? Sáng 17/8, trao đổi với PV Dân Việt, PGS.TS. Nguyễn Phong Điền - Phụ trách Đào tạo và Công tác sinh viên Trường ĐH Bách khoa Hà Nội nhấn mạnh, việc bảo mật hồ sơ sinh viên của trường được quản lý rất chặt chẽ.
"Bách khoa là trường công nghệ nên các phương tiện bảo mật thông tin chúng tôi thực hiện rất chặt chẽ. Đại học Bách khoa rất coi trọng bảo mật sinh viên, đặc biệt dữ liệu thân nhân của các em, máy chủ vật lý được đặt tại nơi vô cùng cẩn mật.
Nếu chỉ đơn giản họ tên, mã số sinh viên, số điện thoại có thể thu thập trong thời gian dài sẽ ra danh sách đó nhưng hồ sơ sinh viên rất khó để truy cập vào Bách khoa được, trừ trường hợp rất cao thủ ngoài tầm kiểm soát của chúng tôi", PGS.TS. Nguyễn Phong Điền thông tin.
Cũng trao đổi với PV Dân Việt, PGS.TS Phạm Hồng Chương, Hiệu trưởng Trường đại học Kinh tế Quốc dân Hà Nội nhấn mạnh việc quản lý tại trường được thực hiện rất chặt chẽ.
"Về chuyên môn tất cả các phần mềm sử dụng tại trường đều bảo mật tối đa. Nhà trường có hẳn Trung tâm ứng dụng công nghệ thông tin phụ trách, đảm nhận toàn bộ phần mềm bảo mật cơ sở dữ liệu. Chúng tôi có phần mềm bản quyền bảo vệ bảo mật.
Tất cả hồ sơ sinh viên chính quy chúng tôi đều quản lý hết, số hoá toàn bộ dữ liệu. Sinh viên tốt nghiệp sẽ xếp thành kho riêng, kho đó sẽ được tích trữ để dùng tra cứu văn bằng. Đối với sinh viên đang học sẽ lưu trữ cơ sở dữ liệu online", ông Chương nêu.
Ông Phan Huy Phú, Hiệu trưởng Đại học Thăng Long cho biết, phía nhà trường có cách quản lý hồ sơ sinh viên trong mạng nội bộ, chỉ có nhà trường quản lý thông tin không đưa lên mạng, trường quản lý trong mạng nội bộ, chỉ nhà trường quản lý ngoài ra "không hacker nào có thể xâm nhập lấy cắp dữ liệu được".
Chuyên gia Hiếu PC đưa ra lời khuyên về bảo mật hồ sơ sinh viên
Khi được hỏi về vấn đề này, chuyên viên an toàn thông tin mạng Ngô Minh Hiếu (Hiếu PC), thành viên sáng lập dự án Chống Lừa Đảo – chongluadao.vn, cho biết:
"Thường những dữ liệu này, các tin tặc (hacker) có thể làm 3 điều sau để trục lợi: a/ Bán dữ liệu trên các diễn đàn underground hoặc Telegram Bot. b/ Mua lại dữ liệu này để đi lừa đảo hoặc phishing. c/ Mua lại dữ liệu này và đi bán với giá cao hơn ở một nơi khác.
Kẻ xấu (scammer) thường mua dữ liệu này: a/ Nhằm mục đích lừa đảo, đe dọa, tống tiền và quấy rối.... b/ Để có thông tin làm CMND, CCCD giả rồi dùng vào nhiều mục đích xấu như mua bán, lừa đảo.... c/ Nhằm mục đích marketing quảng cáo".
Chuyên gia Hiếu PC cũng đưa ra lời khuyên cho các trường đại học nói riêng: "Các trường đại học cần tăng cường bảo mật qua kiểm thử, tường lửa cho Web và siết chặt các quyền điều hành trên hệ thống. Đồng thời mã hóa những dữ liệu nhạy cảm, để giảm thiểu khả năng thất thoát trong trường hợp có bị hack.
Ngoài ra, những nạn nhân nên thay đổi mật khẩu ngay cho các tài khoản online với độ khó cao hơn, xóa hết các phiên đăng nhập hiện tại và tăng cường bảo mật như xài bảo mật 2 bước qua Google Authenticator. Khi có trường hợp bị lừa đảo, hoặc kẻ xấu lợi dụng danh tính của nạn nhân đi lừa người khác, cần khai báo lên cơ quan Công An gần nhất để tránh bị rắc rối và ảnh hưởng...".