Rủi ro lộ lọt tài khoản - Nhận diện và phương pháp phòng chống

Thực trạng lộ lọt thông tin trên không gian mạng

Trong kỷ nguyên số, thông tin cá nhân trở thành tài sản quý giá và cũng là mục tiêu tấn công của nhiều kẻ xấu. Việc lộ lọt thông tin tài khoản không chỉ gây ra những phiền toái mà còn tiềm ẩn nhiều rủi ro lớn về tài chính, danh tiếng và thậm chí cả an ninh quốc gia.

Hiện nay, tình trạng lộ lọt thông tin cá nhân trên không gian mạng ngày càng nghiêm trọng, không chỉ ở Việt Nam mà trên toàn cầu. Các báo cáo của các tổ chức bảo mật cho thấy hàng tỷ tài khoản bị xâm phạm mỗi năm. Các cuộc tấn công mạng nhắm vào các doanh nghiệp lớn, cơ quan chính phủ và cả người dùng cá nhân.

Theo báo cáo từ IBM Cost of a Data Breach Report 2023, trên toàn cầu, chi phí trung bình của một vụ lộ lọt dữ liệu là 4,45 triệu USD, cao nhất trong vòng hai thập kỷ qua. Cũng trong năm 2023, hơn 2 tỷ bản ghi dữ liệu cá nhân bị đánh cắp, chủ yếu qua các vụ tấn công mạng và lỗ hổng bảo mật​.

Tại Việt Nam, vấn đề này đang ở mức báo động:

Năm 2022, khoảng 20 triệu tài khoản người dùng bị rao bán trên các diễn đàn hacker, bao gồm thông tin nhạy cảm như số điện thoại, CCCD, và mật khẩu​…

Theo báo cáo tình hình nguy cơ mất an toàn thông tin tại Việt Nam trong 6 tháng đầu năm 2024, hệ thống Viettel Threat Intelligence của Công ty An ninh mạng Viettel (VCS) đã ghi nhận nhiều nguy cơ mất an toàn thông tin mới xuất hiện có ảnh hưởng tới các tổ chức, doanh nghiệp tại Việt Nam, trong đó nổi bật là lộ lọt, rò rỉ dữ liệu, thông tin cá nhân bị đánh cắp tăng 50% so với cùng kỳ năm 2023; lừa đảo gian lận tài chính tăng và xu hướng tấn công mã hóa dữ liệu đòi tiền chuộc với số lượng dữ liệu bị mã hóa lớn.

Số lượng dữ liệu bị tấn công mã hóa lên đến 3 Terabyte với tổng thiệt hại ước tính hơn 10 triệu USD. Điển hình có thể kể đến vụ tấn công của nhóm Lockbit vào một công ty tài chính vào hồi tháng 3 năm nay đã gây ra gián đoạn dịch vụ trong thời gian dài.

Theo thống kê của Cục An toàn thông tin, hơn 80.000 tài khoản thuộc cơ quan nhà nước từng bị lộ lọt trong các vụ vi phạm an ninh mạng​. Đầu tháng 5/2024 hơn 15000 dòng dữ liệu gồm thông tin cá nhân, tài khoản, mật khẩu của sinh viên Đại học Văn Lang bị rò rỉ trên Internet.

Gần đây nhất là vào cuối tháng 9/2024, Tổng công ty cổ phần Bảo hiểm AAA đã bị rò rỉ hơn 465 nghìn thông tin tài khoản của khách hàng trên dark web.

Rủi ro của lộ lọt thông tin

Hậu quả của lộ lọt thông tin rất nghiêm trọng, cả về mặt kinh tế, xã hội và an ninh:

Mất mát tài chính: Kẻ gian sử dụng thông tin cá nhân để thực hiện giao dịch bất hợp pháp, vay nợ tín dụng hoặc lừa đảo qua mạng. Theo báo cáo từ Javelin Strategy & Research, trong năm 2022, các vụ gian lận do lộ lọt tài khoản gây thiệt hại đến 56 tỷ USD trên toàn cầu.

Danh tiếng: Nhiều doanh nghiệp bị thiệt hại nghiêm trọng về uy tín khi thông tin khách hàng bị xâm phạm, dẫn đến mất lòng tin từ người dùng.

An ninh quốc gia: Thông tin lộ lọt từ các cơ quan chính phủ có thể bị lợi dụng để tấn công hạ tầng quan trọng hoặc tạo bất ổn chính trị.

Mất danh tính: Thông tin cá nhân bị lộ có thể bị sử dụng để giả mạo danh tính, đăng ký các dịch vụ trực tuyến, thực hiện các hoạt động bất hợp pháp.

Quấy rối: Nạn nhân có thể bị quấy rối bởi các cuộc gọi, tin nhắn rác, email spam.

Mất việc làm: Trong một số trường hợp, việc thông tin cá nhân bị rò rỉ có thể ảnh hưởng đến công việc và sự nghiệp của nạn nhân.

Nguyên nhân lộ lọt thông tin

Các cuộc tấn công mạng ngày càng tinh vi, các lỗ hổng bảo mật trong hệ thống và hành vi của người dùng là những nguyên nhân chính dẫn đến tình trạng này.

Nguyên nhân chính dẫn đến tình trạng lộ lọt thông tin bao gồm:

Tấn công mạng: Các hình thức như phishing, ransomware, và khai thác lỗ hổng 0-day là nguyên nhân chính. Tại Việt Nam, hơn 1,5 triệu máy tính bị nhiễm mã độc trong năm 2023, dẫn đến rủi ro cao về lộ lọt dữ liệu​.

Tấn công chuỗi cung ứng: Các hacker ngày càng nhắm vào các nhà cung cấp dịch vụ để xâm nhập vào hệ thống của các tổ chức lớn hơn.

IoT: Các thiết bị IoT trở thành mục tiêu tấn công mới, với nguy cơ bị lợi dụng để tạo ra các botnet tấn công quy mô lớn.

Lỗi cấu hình hệ thống: Các lỗ hổng bảo mật trong phần mềm, hệ điều hành, cơ sở dữ liệu có thể bị khai thác để xâm nhập hệ thống và đánh cắp thông tin.

Mật khẩu yếu: Việc sử dụng mật khẩu quá đơn giản, dễ đoán là nguyên nhân hàng đầu dẫn đến việc tài khoản bị hack.

Sai lầm của con người: Việc chia sẻ thông tin cá nhân trên các mạng xã hội, các trang web không đáng tin cậy cũng là nguyên nhân dẫn đến rò rỉ thông tin.

Thực tế cho thấy, ý thức về bảo mật thông tin của người dùng còn hạn chế, cơ sở hạ tầng công nghệ thông tin chưa thực sự hoàn thiện và các hoạt động tấn công mạng ngày càng tinh vi là những nguyên nhân chính dẫn đến lộ lọt thông tin tại Việt Nam.

Cách khắc phục và đề phòng lộ lọt thông tin

Các cá nhân và tổ chức cần thực hiện đồng bộ các biện pháp bảo vệ:

Đối với cá nhân: Sử dụng mật khẩu mạnh, dài tối thiểu 12 ký tự, bao gồm chữ cái, số, và ký tự đặc biệt. Nên sử dụng trình quản lý mật khẩu để tránh sử dụng lại mật khẩu cũ.

Cảnh giác với phishing: Không bấm vào các liên kết hoặc tải tệp từ nguồn không tin cậy.

Xác thực đa yếu tố (MFA): Bật xác thực hai lớp cho các tài khoản quan trọng để tăng cường bảo mật.

Đối với tổ chức: Áp dụng mã hóa dữ liệu: Mã hóa toàn bộ dữ liệu nhạy cảm để đảm bảo thông tin vẫn an toàn ngay cả khi bị xâm phạm.

Cập nhật hệ thống thường xuyên: Đảm bảo hệ điều hành, phần mềm và firmware luôn được cập nhật bản vá bảo mật mới nhất.

Huấn luyện nhân viên: Tổ chức các khóa đào tạo định kỳ về nhận thức an toàn thông tin, tập trung vào các rủi ro phổ biến như phishing và ransomware.

Kiểm tra bảo mật định kỳ: Thực hiện kiểm thử xâm nhập (penetration testing) để phát hiện và khắc phục các lỗ hổng bảo mật.

Mặt khác, Chính phủ Việt Nam đã triển khai nhiều chính sách nhằm phòng, chống lộ lọt thông tin. Việc tuân thủ các quy định này cũng sẽ giúp giảm thiểu nguy cơ về mất an toàn thông tin dữ liệu:

Nghị định 64/2007/NĐ-CP: Quy định về ứng dụng công nghệ thông tin và bảo vệ thông tin trong cơ quan nhà nước.

Luật An ninh mạng 2018: Tăng cường trách nhiệm của các tổ chức trong việc bảo vệ dữ liệu cá nhân và đảm bảo an toàn thông tin.

Chương trình Chuyển đổi số Quốc gia: Yêu cầu các cơ quan, tổ chức áp dụng công nghệ hiện đại, nâng cao năng lực an toàn thông tin​.

Quy định về bảo vệ dữ liệu cá nhân năm 2024 thực hiện theo Nghị định 13/2023/NĐ-CP. Nghị định quy định chi tiết về 11 quyền của chủ thể dữ liệu trong bảo vệ dữ liệu cá nhân.

Việc lộ lọt thông tin đang trở thành vấn đề cấp bách trong thời đại số hóa. Các cá nhân và tổ chức cần phối hợp chặt chẽ với nhau, áp dụng công nghệ hiện đại và trang bị cho mình những kiến thức và kỹ năng cần thiết về an toàn thông tin để giảm thiểu rủi ro, góp phần xây dựng một môi trường mạng an toàn hơn./.