Bộ Công an: Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng

Trong Dự thảo Hồ sơ đề nghị xây dựng Luật Bảo vệ dữ liệu cá nhân, Bộ Công an đã có báo cáo Đánh giá thực trạng quan hệ xã hội liên quan bảo vệ dữ liệu cá nhân (DLCN).

Theo Bộ Công an, có tổng số 69 văn bản quy phạm pháp luật liên quan trực tiếp đến bảo vệ dữ liệu cá nhân tại Việt Nam, trong đó có: Hiến pháp; 04 Bộ luật; 39 Luật, 01 Pháp lệnh; 19 Nghị định; 04 Thông tư/Thông tư liên tịch; 01 Quyết định của Bộ trưởng. Tuy nhiên, dù có tới 69 văn bản nhưng tất cả đều chưa thống nhất về khái niệm và nội hàm dữ liệu cá nhân, bảo vệ dữ liệu cá nhân.

Tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng

>> Cách khóa tài khoản VNeID để bảo vệ thông tin cá nhân khi mất điện thoại

Ngày 17/4/2023, Chính phủ đã ban hành Nghị định số 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân đưa ra định nghĩa về dữ liệu cá nhân và bảo vệ dữ liệu cá nhân. Tuy nhiên, đây mới chỉ là văn bản Nghị định, chưa phải văn bản Luật nên cần thống nhất thực hiện trong thực tiễn.

Theo báo cáo, hiện nay, tình trạng lộ, lọt, hoạt động đánh cắp, mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Ngày càng nhiều chủ thể thu thập, phân tích, xử lý dữ liệu cá nhân cho mục đích khác nhau nhưng không thông báo cho khách hàng hoặc để xảy ra các hành vi vi phạm pháp luật. Thách thức trước những dịch vụ mới, sử dụng thông tin cá nhân trên không gian mạng, như: thanh toán trực tuyến, thương mại điện tử, trò chơi trực tuyến, kinh doanh tiền ảo, kinh doanh đa cấp qua mạng... đã đặt ra nhiều vấn đề liên quan tới an ninh quốc gia, trật tự an toàn xã hội, gây nguy cơ mất an ninh mạng.

Một số vụ việc điển hình như: việc Công ty VNG để lộ hơn 163 triệu tài khoản khách hàng; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng chục nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airline, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; tình trạng để lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng để mời chào khách hàng qua tin nhắn SMS; dữ liệu khách hàng của Công ty FPT bị đăng tải công khai trên mạng.

Trong bản đánh giá, Bộ Công an cũng đề cập về phương thức, thủ đoạn thu thập trái phép dữ liệu cá nhân.

Một trong các phương thức là thông qua các website. Theo Bộ Công an, các đối tượng sẽ tạo lập hoặc lợi dụng các website có nội dung hấp dẫn thu hút người dùng, khi người dùng truy cập sẽ âm thầm cài cắm mã độc vào máy tính và các thiết bị thông minh mà người dùng không hề hay biết để thu thập thông tin.

"Ví dụ như đính kèm các mã độc vào các trang game online, các trang web có nội dung đồi trụy… hoặc đối tượng tạo ra các trang đăng nhập thông tin giả mạo (facebook, email, bank). Những trang này sẽ được gửi qua email đến nạn nhân và chúng có giao diện giống hệt với trang đăng nhập của các nhà cung cấp dịch vụ.

Nếu nạn nhân mất cảnh giác và thực hiện đăng nhập thông tin trên trang web đó, thông tin sẽ được gửi đến hacker thay vì là các nhà cung cấp dịch vụ như họ nghĩ", theo Bộ Công an.

Một phương thức khác được Bộ Công an nêu là thủ đoạn thu thập trái phép dữ liệu cá nhân thông qua phần mềm miễn phí. Theo đó, với một số phần mềm được cung cấp miễn phí trên mạng internet, đặc biệt là đối với những phầm mềm không rõ nguồn gốc, phần mềm bẻ khóa, các đối tượng sẽ lợi dụng để cài cắm các mã độc đính kèm, khi người dùng tải về máy và tiến hành cài đặt thì vô tình cài đặt mã độc lên chính thiết bị của mình.

" Và các mã độc này sẽ tiến hành âm thầm thu thập dữ liệu cá nhân người dùng. Ví dụ: các chương trình crack, patch phần mềm; một số phần mềm diệt virus giả mạo như AntivirusGold, Antivirus PC 2009, AntiSpyware Shield Pro, DoctorTrojan...", Bộ Công an thông tin.

Tấn công qua các thiết bị thông minh cũng là phương pháp được các đối tượng sử dụng để thu thập trái phép dữ liệu cá nhân. Bộ Công an đánh giá đây là một thủ đoạn mới. Các đối tượng thường nhắm vào các thiết bị thông minh có kết nối internet như: Router wifi, camera an ninh, điện thoại thông minh…

Bằng việc tiến hành rà quét nhằm phát hiện và lợi dụng các lỗ hổng an ninh phổ biến trên các thiết bị này như sử dụng tài khoản và mật khẩu mặc định của nhà sản xuất, không cập nhật các bản vá lỗi thường xuyên… các đối tượng sẽ cài cắm mã độc nhằm theo dõi, thu thập dữ liệu, đe dọa hoặc tống tiền người dùng.

>> Google: 49% người Việt trên 55 tuổi từng là nạn nhân của lừa đảo trực tuyến