Tan Kin Lian, cựu ứng viên tổng thống Singapore luôn tin rằng mọi người đang thổi phồng vấn đề bảo mật thông tin cá nhân. Chính vì thế, ông đã đăng lên Facebook số NRIC (thẻ căn cước công dân Singapore), email, điện thoại và ngày sinh của mình hôm 27/5 (hiện đã bị xóa) với lời giải thích:
“Nếu sử dụng số NRIC của tôi để truy cập vào SingPass, bạn phải cần mật khẩu và 2FA (mã xác thực hai bước). Nhưng xin lỗi, tôi không đưa cho bạn mật khẩu và điện thoại đâu. Nếu hack tài khoản của tôi, bạn chỉ có thể kiểm tra thông tin sức khỏe, giáo dục và bản kê khai thuế. Chúng chẳng giúp ích gì cho bạn cả.
Tan Kin Lian từng là cựu ứng viên tổng thống Singapore. Ảnh: Straitstimes. |
Nhưng bạn chẳng thể truy cập vào tài khoản ngân hàng của tôi vì nó không sử dụng NRIC. Đừng để bị tóm, bạn có thể bị tống vào tù đấy.
Tại sao tôi đăng bài này ư? Tôi thấy rằng vấn đề riêng tư về NRIC và danh bạ đang bị thổi phồng quá mức. Bất kể khi nào có vụ đánh cắp dữ liệu, lộ NRIC hay thông tin liên lạc thì mọi người cứ làm to chuyện. Tôi lại không nghĩ vậy.”
Chỉ 7 giờ sau bài đăng của Tan Kin Lian, một ai đó đã cố gắng truy cập vào tài khoản SingPass của ông khiến tài khoản bị tạm khóa. Đây là hệ thống quốc gia cho phép truy cập các dịch vụ công, giao tiếp với chính phủ và lưu trữ một số thông tin cá nhân.
Dù được nhiều người cảnh báo và với hậu quả nhãn tiền như vậy, Tan Kin Lian đáng lý ra phải nhận ra sai lầm của mình. Nhưng không, ông quay ra chỉ trích GovTech vì tin rằng người dùng nên được phép nhập sai mật khẩu 10 lần, sau đó chỉ việc chặn thiết bị đã đăng nhập sai trong 1 giờ, đồng thời gửi thông bao để hỏi ý kiến chủ tài khoản xem có muốn thay đổi mật khẩu hay không. Trên thực tế, ông buộc phải thay mật khẩu và đổi ID SingPass bằng mã số khác với NRIC.
Quyền truy cập vào SingPass sẽ bị chặn tự động sau 6 lần đăng nhập lỗi. Lúc này, người dùng sẽ được nhắc thay đổi mật khẩu. Tan Kin Lian đã gửi phản hồi tới Cơ quan Công nghệ Chính phủ Singapore (GovTech).
Trên Facebook, ông viết: “Tôi đã gửi email tới GovTech để thông báo rằng sau khi đổi mật khẩu, vẫn có người thử đăng nhập tài khoản của tôi thêm 6 lần nữa khiến nó bị khóa.
Điều này xảy ra bởi tôi đã công khai số NRIC của mình. Nhưng bất kỳ ai cũng có thể gặp tình trạng tương tự nếu dùng NRIC để rút thăm trúng thưởng, hay đến thăm tòa nhà nào đó”.
Tan Kin Lian đã công bố số NRIC, email, điện thoại và ngày sinh lên Facebook nhưng sau đó xóa đi. Ảnh: Mashable. |
Mặc định, ID SingPass là số NRIC của công dân và các chuyên gia cho rằng điều này không an toàn chút nào. Chủ tài khoản SingPass có thể đổi NRIC thành ID trực tuyến với dãy số duy nhất, nhưng phần lớn người dân Singapore không làm như vậy. Với 2FA, người dùng sẽ nhận mã số xác thực hai bước qua SMS hoặc qua dịch vụ OnKey của chính phủ.
Tan Kin Lian mong rằng GovTech sẽ không cần chặn tài khoản của mình vì đã có phương thức bảo mật cấp hai (2FA). Thay vào đó, ông đề nghị cơ quan này chặn thiết bị cố truy cập SingPass của mình.
“Hãy để người đó thử 100 lần, hay thậm chí 1.000 lần đi nữa. Tại sao không chặn thiết bị của anh ta? Nếu cố để nhập đúng mật khẩu, người ấy vẫn cần mã số xác thực 2FA của tôi nữa mà. Nó đã được chuyển thành dấu vân tay rồi, nên rất an toàn”, ông viết trên Facebook.
Chưa hết, một ai đó còn dùng email của cựu ứng viên tổng thống Singapore để đăng ký loạt dịch vụ hàng loạt (có thể sử dụng phần mềm tự động). Kết quả, Tan Kin Lian nhận được 200 yêu cầu xác thực trong hòm thư và phải mất công xóa chúng. Đây là bài học cho những ai xem thường về vấn đề bảo mật thông tin cá nhân.