Tăng cường bảo vệ thông tin người dùng qua trường hợp Thế giới di động

Hãy tự cứu mình trước

Trước việc nhiều tài khoản thẻ ngân hàng bị đăng tải công khai trên diễn đàn RaidForums, nghi dữ liệu của khách hàng Công ty cổ phần Đầu tư Thế giới di động (MWG) bị rò rỉ, cơ quan chức năng cho biết, đang xác minh vụ việc. Trong khi chuyên gia an ninh mạng khuyến cáo, khách hàng là chủ số thẻ bị lộ cần liên hệ với ngân hàng để khóa thẻ.

Mấy ngày qua, trên Diễn đàn RaidForums, một tài khoản tên erwincho đăng tải liên tiếp nhiều tệp thông tin có chứa thông tin cá nhân người dùng. Tập tin ban đầu chứa danh sách 5,4 triệu địa chỉ email kèm theo thông tin thẻ tín dụng đã bị mã hóa và một số thông tin thanh toán khác. Sau đó, tài khoản này tiếp tục đăng tải tập tin chứa 61.000 địa chỉ email có đuôi @thegioididong.com.

Tối ngày 7/11, tài khoản erwincho tiếp tục tung ra một hình ảnh gồm thông tin thẻ ngân hàng, số tiền giao dịch và các giao dịch từ năm 2016. Một số thông tin quan trọng khác như tên chủ thẻ, thời hạn dùng và số CGV (Card Verification Value), mã dùng xác minh thẻ Visa gồm cả thẻ ghi nợ và thẻ tín dụng vẫn chưa bị lộ.

Những thông tin trên làm dấy lên nghi ngờ Thế giới di động bị tin tặc (hacker) tấn công và đánh cắp dữ liệu. Đại diện Thế giới di động cho biết, đã kiểm tra các thông tin được phản ánh và khẳng định hệ thống CNTT của Thế giới di động vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng.

Theo đại diện Thế giới di động, với những người khẳng định bị lộ thông tin thì sớm thay đổi mật khẩu, mã sử dụng hoặc liên hệ với ngân hàng để khóa thẻ. Còn đối với những cá nhân còn nghi ngờ chưa bị lộ thông tin cá nhân, nhất là liên quan đến tài khoản ngân hàng thì thường xuyên theo dõi số dư, nếu phát hiện có đột biến thì tạm dừng giao dịch. Mỗi cá nhân hãy tự đảm bảo an toàn cho mình trước khi trông chờ vào sự trợ giúp của bên ngoài.

Chưa khẳng định được gì

Sau khi ghi nhận thông tin về khả năng khách hàng sử dụng dịch vụ của MWG bị lộ, lọt một số thông tin cá nhân, Cục An toàn thông tin (ATTT), Trung  tâm VNCERT thuộc Bộ TTTT đã cử cán bộ kỹ thuật trực tiếp làm việc với MWG để hỗ trợ trong công tác đảm bảo ATTT.

Ông Trần Đăng Khoa, đại diện Cục ATTT cho biết: “Hai bên đang phối hợp với nhau để xác nhận thông tin, điều này cần nhiều bước để xác minh xem việc lộ lọt thông tin là có thật hay không. Đến thời điểm ngày 09/11/2018) chưa nhận thấy có dấu hiệu tấn công vào các thành phần hệ thống liên quan tới thông tin cá nhân bị công bố. Cục ATTT tiếp tục phối hợp với MWG và các cơ quan chức năng liên quan kiểm tra, rà soát”.

Các bên liên quan đều cần nâng cao khả năng phòng vệ

Xu hướng tấn công mạng để khai thác thông tin cá nhân của người dùng trở nên đặc biệt phổ biến trong năm 2018. Điển hình là tháng 7/2018, truyền thông đưa tin 1,5 triệu khách hàng của SingHealth bị lộ, lọt, trong đó có cả thông tin của Thủ tướng Singapore Lý Hiển Long. Mới đây nhất, tháng 10/2018, truyền thông cũng đưa tin Lầu Năm Góc (Hoa Kỳ) cũng bị lộ thông tin của 30.000 nhân viên.

Tại Việt Nam, trước đây cũng đã xuất hiện một số vụ việc ảnh hưởng đến dư luận xã hội khi có thông tin cho rằng người sử dụng dịch vụ trên mạng bị lộ, lọt thông tin cá nhân như: thư điện tử, số thẻ tín dụng, lịch sử giao dịch ngân hàng, giao dịch thương mại điện tử do đối tượng tấn công tăng cường thu thập thông tin cá nhân phục vụ các chiến dịch tấn công mạng, đặc biệt là phục vụ tấn công lừa đảo (phishing).

Với nhận thức hiện nay của một bộ phận người dùng, cơ quan, tổ chức, doanh nghiệp ở Việt Nam về việc bảo vệ thông tin cá nhân thì thông tin email có thể được thu thập từ nhiều nguồn khác nhau đã từng lộ, lọt trước đây hoặc thông qua lừa đảo.

Cục ATTT thường xuyên khuyến nghị các đơn vị cần tăng cường triển khai các biện pháp đảm bảo ATTT cho hệ thống thông tin phục vụ hoạt động nội bộ cũng như cung cấp dịch vụ trên mạng cho người sử dụng. Để tiếp tục tăng cường hơn nữa công tác bảo đảm ATTT, đặc biệt là bảo vệ thông tin cá nhân, bảo vệ quyền và lợi ích hợp pháp của người dùng, doanh nghiệp, tổ chức, Cục ATTT khuyến cáo:

Các tổ chức, doanh nghiệp tăng cường triển khai các biện pháp quản lý và kỹ thuật nhằm bảo đảm ATTT cho hệ thống thông tin phục vụ hoạt động nội bộ cũng như cung cấp dịch vụ trên mạng cho người sử dụng. Chủ động rà soát các điểm yếu, lỗ hổng trên hệ thống thông tin; theo dõi, giám sát phát hiện sớm nguy cơ, dấu hiệu tấn công mạng, kịp thời xử lý các vấn đề phát sinh.

Với những doanh nghiệp không chuyên hoặc chưa có đội ngũ cán bộ chuyên trách về ATTT, Cục ATTT khuyến nghị ưu tiên sử dụng dịch vụ bảo đảm ATTT chuyên nghiệp do doanh nghiệp ATTT uy tín cung cấp. Đặc biệt là dịch vụ được cung cấp bởi các doanh nghiệp trong nước như Viettel, VNPT, CMC, BKAV, FPT,...

Khi phát hiện nguy cơ, dấu hiệu lộ, lọt thông tin cá nhân của người sử dụng, cần nhanh chóng khắc phục và kịp thời thông báo cho Cục ATTT và các cơ quan chức năng có thẩm quyền liên quan để phối hợp xử lý kịp thời các vấn đề phát sinh.

Các tổ chức, doanh nghiệp cung cấp dịch vụ có thu thập, lưu trữ, xử lý, truyền gửi thông tin cá nhân, đề nghị tuân thủ, thực hiện đúng các quy định tại mục 2 Chương II Luật ATTT mạng để bảo vệ thông tin cá nhân của người sử dụng.

Các hoạt động thu thập, lưu trữ, xử lý, truyền gửi cần phải được áp dụng giải pháp kỹ thuật để mã hóa, tuân thủ các tiêu chuẩn, quy chuẩn kỹ thuật bảo đảm ATTT tránh để lộ, lọt thông tin cá nhân, ảnh hưởng đến quyền và lợi ích hợp pháp của người sử dụng.

Người sử dụng cần cân nhắc kỹ lưỡng trước khi cung cấp thông tin cá nhân của mình cho các dịch vụ trên mạng. Luôn có thói quen kiểm tra, định kỳ thay đổi các thông tin xác thực để giảm thiểu nguy cơ lộ, lọt, mất ATTT cá nhân.