Hình ảnh chụp chứng minh nhân dân, ảnh selfie và thông tin cá nhân của hàng nghìn người dùng đã bị rao bán trên diễn đàn mạng R**** chuyên chia sẻ thông tin và tài khoản.
"Khi bị công khai trên mạng, thông tin của người dùng có thể bị sử dụng để giả mạo, thực hiện những hành vi vi phạm pháp luật. Điều này sẽ gây ảnh hưởng, ít nhất là làm họ mất thời gian để giải quyết, giải trình về những việc mà họ không làm", ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng tại Bkav chia sẻ với Zing.
Trả 9.000 USD, sở hữu thông tin hàng nghìn người
Từ ngày 13/5, tài khoản có tên Ox1337xO đã rao bán gói dữ liệu của hàng nghìn người dùng mạng. Người này yêu cầu thanh toán bằng Bitcoin hoặc Litecoin, với giá quy đổi khoảng 9.000 USD.
Thông tin của người Việt Nam bị bán trên mạng với giá 9.000 USD. Ảnh: TA. |
Gói dữ liệu được rao bán có dung lượng 17 GB, bao gồm ảnh chụp hai mặt chứng minh công dân, căn cước công dân, ảnh selfie xác thực, địa chỉ, số điện thoại và email của hàng nghìn người. Tiêu đề của các file dữ liệu này bao gồm nhiều từ khóa nhạy cảm như “xac-minh-kyc”, “Idenfity_card_and_selfie_vietnam”, cho thấy đây có thể là các tập tin xác thực của một dịch vụ nào đó.
"Những dịch vụ này có thể là app cho vay, các dịch vụ mua tick xanh, chuộc tài khoản bị Facebook bị mất...", Quang Đăng, chuyên viên dữ liệu của một công ty ứng dụng tại TP.HCM cho biết.
Người rao bán cũng đăng tải một số ảnh chụp màn hình cho thấy giấy tờ của người dùng để chứng minh độ uy tín. Xét theo các tên tập tin đăng tải, gói này có thể chứa dữ liệu của hàng nghìn người dùng.
Bài viết được đăng từ ngày 13/5. Tới tối 15/5, thành viên này đăng bài viết mới cho biết chưa có ai mua tập dữ liệu, do vậy người này vẫn đang rao bán. Đáng chú ý, trong bài viết này người bán cho biết "tất cả dữ liệu đều lấy từ mạng lưới Pi".
Tuy nhiên, nhiều người tham gia "đào" Pi cho biết thông tin này là không chính xác, bởi để xác thực trên app Pi thì người dùng cần cung cấp ảnh chụp hộ chiếu. Chính người rao bán sau đó cũng đính chính rằng đây là dữ liệu lấy từ nguồn khác, nhưng anh ta nhắc đến Pi vì ghét ứng dụng này.
Trong dữ liệu được rao bán có cả ảnh chụp hai mặt chứng minh nhân dân của nhiều người dùng. Ảnh: TA. |
Theo ông Ngô Tuấn Anh, cần bình tĩnh và phân tích kỹ nội dung gói dữ liệu mới có thể đánh giá quy mô lộ thông tin. Mặc dù dung lượng 17 GB có vẻ lớn, nhưng nếu bao gồm cả những đoạn video xác thực, tức là người dùng phải quay lại khuôn mặt mình ở nhiều góc độ, thì số lượng dữ liệu người dùng bị rao bán có thể không quá nhiều.
"Cần xác định rõ quy mô và mức độ ảnh hưởng, tránh làm cho mọi người hoang mang về việc rò rỉ dữ liệu, nhất là khi chúng ta đang xây dựng Cơ sở dữ liệu quốc gia về dân cư", đại diện của Bkav nhận định.
Tới sáng 16/5, toàn bộ các bài viết của thành viên Ox1337xO trên diễn đàn R**** đã bị xóa.
Nhiều nguy cơ khi dữ liệu bị lộ trên mạng
"Khi sở hữu những thông tin này, hacker có thể tạo tài khoản bằng thông tin người dùng ở các trang mạng. Từ đó, họ có thể phá hoại cuộc sống người bị trộm dữ liệu", một chuyên gia bảo mật tại Trung tâm An toàn Không gian mạng Việt Nam (NCSC) chia sẻ với Zing.
"Trước khi chia sẻ, hãy đọc kỹ các chính sách về bảo mật và quyền riêng tư. Nếu dữ liệu của bạn bị lộ, bạn hoặc người thân có thể trở thành nạn nhân của những trò lừa đảo lợi dụng thông tin cá nhân", chuyên gia này nói thêm.
Không chỉ cá nhân, các doanh nghiệp cũng có thể là nạn nhân khi dữ liệu người dùng bị lộ. Kẻ gian có thể sử dụng thông tin của người dùng để tạo các giấy tờ giả, đăng ký các dịch vụ cho vay. Khi đó người dùng dính nợ mà không hề hay biết, còn doanh nghiệp lại không tìm được đúng người để thu hồi khoản tiền.
"Nếu chúng ta vô tư chia sẻ dữ liệu trên các nền tảng mà không biết mức độ đảm bảo an toàn của họ, thì rõ ràng sẽ có những rủi ro. Cần nhận thức rõ khi nào, lúc nào chúng ta nên chia sẻ những thông tin cá nhân, đặc biệt là những thông tin liên quan đến sinh trắc học, định danh điện tử của mình", ông Ngô Tuấn Anh nhận định.
Đây không phải lần đầu thông tin của người dùng bị rao bán trên diễn đàn R****. Ảnh: MK. |
Đây không phải lần đầu những dữ liệu của người dùng Việt Nam bị rao bán trên mạng. Các thành viên của diễn đàn R**** từng nhiều lần rao bán các gói dữ liệu gồm thông tin cá nhân của người dùng.
Trước đó, vào tháng 1 bộ dữ liệu của 300.000 người dùng bao gồm tên, địa chỉ cụ thể và số điện thoại của những cá nhân từng mua hàng trên trực tuyến cũng được rao bán trên diễn đàn R****.
Sau khi được Zing liên lạc trực tiếp thông qua số điện thoại, một số nạn nhân xác nhận những thông tin xuất hiện công khai trong bài đăng là chính xác. Các nạn nhân đều cho biết thời gian gần đây có mua hàng trên Facebook, Shopee, Lazada,…
Theo ghi nhận của Zing, trong tháng 12/2020, không dưới 6 bài viết xuất hiện trên R**** có nội dung rao bán, trao đổi dữ liệu người dùng tại Việt nam.
Bên cạnh đó, nhiều tài khoản trên R**** liên tục đăng tải các bài viết tìm mua dữ liệu người dùng tại Việt Nam.