Chặn làn sóng lộ lọt dữ liệu

Mối đe dọa rình rập

Trong một diễn biến mới nhất, Cybernews vừa phát hiện nhiều ứng dụng hẹn hò trực tuyến trên nền tảng iOS như BDSM People, Chica, Translove, Pink, Brish… đang lưu trữ các dữ liệu riêng tư và nhạy cảm của người dùng một cách hớ hênh, thiếu các biện pháp bảo mật quan trọng. Tổng cộng, có hơn 1,5 triệu hình ảnh riêng tư trên các ứng dụng hẹn hò bị rò rỉ, trong đó có một lượng dữ liệu riêng tư không nhỏ của người Việt Nam.

Báo cáo mới nhất của Công ty An ninh mạng Viettel (Viettel Cyber Security) xây dựng dựa trên dữ liệu từ Hệ thống Tri thức an ninh mạng (Viettel Threat Intelligence) ghi nhận, tổng cộng đã có 14,5 triệu tài khoản người dùng tại Việt Nam bị rò rỉ trên không gian mạng, chiếm tới 12% tổng số tài khoản lộ lọt trên toàn cầu. Các lĩnh vực chịu ảnh hưởng nặng nề nhất bao gồm tài chính, bán lẻ và giáo dục - những ngành đang đẩy mạnh số hóa, nhưng chưa có biện pháp bảo mật tương xứng.

Theo Hiệp hội An ninh mạng quốc gia (NCA), năm 2024 đã ghi nhận hơn 10.000 vụ việc liên quan đến lộ lọt thông tin cá nhân. Các trang web rao bán trái phép dữ liệu cá nhân với số lượng lớn, công khai, bất chấp các quy định pháp luật. Có tới hơn 66% người dùng xác nhận rằng, thông tin của họ từng bị sử dụng trái phép.

Báo cáo mới nhất của Bộ Công an gửi Quốc hội trong tháng 3/2025 chỉ rõ tình trạng mua bán dữ liệu cá nhân diễn ra phổ biến trên không gian mạng. Theo đó, nhiều dữ liệu bị rao bán công khai, trong thời gian dài, với số lượng lớn. Việc mua bán được tiến hành qua website, tài khoản, trang, nhóm trên mạng xã hội, diễn đàn tin tặc.

Điều đáng nói, việc thanh toán được thực hiện thông qua tài khoản ngân hàng, nhiều giao dịch ghi rõ nội dung mua bán dữ liệu. Việc mua bán dữ liệu cá nhân không chỉ diễn ra đơn lẻ, giữa cá nhân với cá nhân, mà còn có sự tham gia của các công ty, tổ chức, doanh nghiệp.

Một số công ty được thành lập mới, đầu tư xây dựng, vận hành các hệ thống kỹ thuật chuyên thu thập trái phép dữ liệu cá nhân để kinh doanh thu lợi nhuận. Bên cạnh đó, có công ty xây dựng các phần mềm chuyên thu thập thông tin cá nhân, cài ẩn trong các trang mạng để thu thập thông tin tự động, phân tích thành tệp dữ liệu cá nhân có giá trị…

Thời gian gần đây, Bộ Công an phát hiện hàng trăm cá nhân, tổ chức liên quan bán dữ liệu cá nhân. Một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn đã bị phát hiện, đấu tranh, xử lý. Số lượng dữ liệu cá nhân bị thu thập, mua bán trái phép phát hiện được lên tới hàng ngàn GB dữ liệu, trong đó có nhiều dữ liệu cá nhân nội bộ, nhạy cảm.

Phòng hơn chống

Theo kết quả khảo sát của NCA, có 73,99% người dùng nhận định, họ bị lộ lọt do cung cấp thông tin khi mua hàng trực tuyến. Bên cạnh đó, 62,13% cho rằng, nguyên nhân tới từ chia sẻ thông tin trên mạng xã hội và 67% cho rằng, lộ lọt xảy ra trong quá trình sử dụng dịch vụ thiết yếu như nhà hàng, khách sạn, siêu thị…

Dưới góc độ chuyên gia, ông Nguyễn Văn Quân, Công ty cổ phần Công nghệ An ninh Không gian mạng Việt Nam (VNCS) phân tích, dữ liệu có thể bị lộ từ nhiều nguồn, từ việc người dùng bị nghe lén, theo dõi trên các thiết bị thông minh cho đến lỗ hổng bảo mật tại các đơn vị lưu trữ và quản lý thông tin khách hàng.

“Các chiêu trò lừa đảo trực tuyến ngày càng tinh vi hơn, với mức độ chính xác cao trong thông tin mà kẻ gian khai thác. Đồng thời, tình trạng mua bán dữ liệu trái phép ngày càng phổ biến và phức tạp, giúp các đối tượng lừa đảo có được thông tin chi tiết hơn về người dùng”, ông Quân phân tích và khuyến nghị người dùng nên hạn chế chia sẻ thông tin cá nhân trên mạng xã hội, các trang thương mại điện tử và không nhấn vào các đường link lạ nhận qua tin nhắn hay email.

Còn theo ông Vũ Ngọc Sơn, Trưởng ban Ban Nghiên cứu, tư vấn, phát triển công nghệ và hợp tác quốc tế thuộc NCA, tình trạng lộ lọt thông tin xuất phát từ nhiều nguồn. Đầu tiên là người dùng chủ động cung cấp khi mua sắm, sử dụng dịch vụ tại siêu thị, nhà hàng, quán ăn, hay khi đầu tư vào các kênh khác nhau. Những đơn vị này sau khi thu thập, lưu trữ dữ liệu đã không bảo mật thông tin an toàn cho khách hàng. Các hệ thống này có thể bị tấn công hoặc bị nhân viên lấy cắp và bán ra ngoài.

Nguồn dữ liệu còn có thể bị lộ lọt trong quá trình chia sẻ cho các bên đối tác, hoặc đơn vị liên kết. Dữ liệu cá nhân là tài sản có giá trị, có thể được sử dụng vào nhiều mục đích như marketing, nghiên cứu thị trường, trong đó một số đối tượng sử dụng để lừa đảo…

“Người dùng cần nâng cao ý thức bảo vệ dữ liệu cá nhân của mình, không cung cấp thông tin cho các cơ sở dịch vụ không tin tưởng, không gửi ảnh chụp căn cước công dân của mình cho người khác. Người dùng nên giảm thiểu tối đa lượng dữ liệu cá nhân cung cấp ra bên ngoài theo yêu cầu khi tham gia dịch vụ, nếu có thể hãy thu hồi thông tin sau khi hoàn tất giao dịch với dịch vụ làm 1 lần”, ông Sơn khuyến nghị.

Theo kiến nghị của ông Võ Đỗ Thắng, Giám đốc Trung tâm Tư vấn và đào tạo an ninh mạng Athena, cơ quan quản lý cần tăng nặng hình phạt để hạn chế tình trạng mua bán dữ liệu. Bên cạnh đó, cơ quan quản lý cần có cơ chế tương tác nhanh chóng, hiện đại, thuận tiện như đưa ra các địa chỉ, cổng thông tin để người dân, nạn nhân có thể báo cáo, khai báo, cung cấp bằng chứng nhằm bảo vệ quyền lợi chính đáng của mình.

Về phía các đơn vị cung cấp dịch vụ khác như sàn thương mại điện tử, ngân hàng, bất động sản…, cũng cần phải tăng cường giải pháp bảo mật, tăng nặng hình phạt để ngăn chặn nhân viên của mình đánh cắp thông tin khách hàng và tuồn ra ngoài.

Các vụ rò rỉ dữ liệu quy mô lớn tại Mỹ từ đầu năm 2025

PowerSchool, tập đoàn cung cấp phần mềm cho hơn 18.000 trường học Bắc Mỹ, đã để lộ dữ liệu của hơn 62 triệu học sinh và 9,5 triệu giáo viên.

DOGE và Elon Musk được cấp quyền truy cập kho dữ liệu liên bang, bao gồm hệ thống thanh toán chứa thông tin cá nhân của hàng triệu người Mỹ và quản lý hàng ngàn tỷ USD mỗi năm. Hàng loạt vụ kiện từ hơn một chục tiểu bang và hơn 100 quan chức liên bang nhằm ngăn chặn quyền truy cập của nhóm này.

Trung tâm Y tế Cộng đồng tại Connecticut bị hacker xâm nhập mạng lưới, đánh cắp dữ liệu của hơn 1 triệu bệnh nhân.

Ứng dụng theo dõi Cocospy, Spyic, Spyzie làm lộ dữ liệu hàng triệu người.

DISA, công ty sàng lọc nhân viên tại Texas bị tấn công làm lộ dữ liệu hơn 3,3 triệu người.

Tú Ân