Ngân hàng Nhà nước chính thức lên tiếng về vụ CIC bị hacker tấn công

Theo thông cáo ngày 12/9, Ngân hàng Nhà nước cho biết đã nhận được báo cáo của Trung tâm Thông tin Tín dụng Việt Nam (CIC) về sự cố có liên quan đến thông tin tín dụng tại đơn vị này.

NHNN đã kịp thời chỉ đạo CIC khẩn trương báo cáo và phối hợp chặt chẽ với các cơ quan nhà nước có thẩm quyền để xác minh, xử lý, đồng thời đảm bảo hoạt động của CIC được liên tục, thông suốt.

CIC là một trong 04 tổ chức được phép thực hiện dịch vụ thông tin tín dụng tại Việt Nam. Thông tin tín dụng do CIC thu thập theo quy định của pháp luật không bao gồm thông tin về: tài khoản tiền gửi, số dư tiền gửi, sổ tiết kiệm, tài khoản thanh toán, số thẻ ghi nợ, số thẻ tín dụng, mã số bảo mật (CVV/CVC), lịch sử giao dịch thanh toán của khách hàng.

Hệ thống công nghệ thông tin của các tổ chức tín dụng hoạt động độc lập và hoạt động cung cấp dịch vụ của các tổ chức tín dụng hiện nay đang được thực hiện liên tục, an toàn và ổn định.

NHNN đã thường xuyên có chỉ đạo, yêu cầu các tổ chức tín dụng tăng cường rà soát, đảm bảo tuân thủ nghiêm các quy định pháp luật về an ninh, bảo mật, an toàn hệ thống công nghệ thông tin, bảo vệ quyền và lợi ích hợp pháp của khách hàng.

Việc thu thập, xử lý, khai thác, sử dụng, trao đổi, cung cấp trái phép thông tin tín dụng sẽ bị xử lý theo quy định của pháp luật.

Khách hàng cần tuân thủ các quy định của pháp luật và hướng dẫn, khuyến cáo của cơ quan chức năng về an toàn, bảo mật; thực hiện theo các quy định, hướng dẫn, khuyến cáo của các tổ chức tín dụng để bảo vệ quyền và lợi ích của mình, cũng như để tránh bị kẻ xấu lợi dụng thực hiện các hành vi phát tán mã độc, lừa đảo, chiếm đoạt tài sản.

Cùng ngày, ngân hàng TMCP Việt Nam Thịnh Vượng (VPBank) cũng phát đi thông báo liên quan đến sự cố an ninh mạng này.

Thông báo của VPBank liên quan đến sự cố an ninh mạng tại CIC

Theo VPBank, việc báo cáo dữ liệu lên CIC được các ngân hàng, trong đó có VPBank, thực hiện theo đúng quy định của NHNN. Ngân hàng khẳng định một số thông tin quan trọng của khách hàng không được gửi sang hệ thống CIC mà chỉ được bảo mật tại VPBank.

Các dữ liệu này gồm thông tin đăng nhập hệ thống ngân hàng điện tử (tên đăng nhập, mật khẩu, dữ liệu sinh trắc học); thông tin thẻ ghi nợ và thẻ tín dụng (số thẻ, mã CVV/CCC).

Thông báo của VPBank cho biết hệ thống ngân hàng điện tử của ngân hàng đáp ứng tiêu chuẩn bảo mật quốc tế như ISO 27001 và PCI DSS. Các giao dịch được bảo vệ qua nhiều lớp, gồm xác thực sinh trắc học, OTP và SmartOTP. Theo VPBank, mã OTP/SmartOTP là dữ liệu dùng một lần, không được lưu trữ và chỉ có thể lộ lọt trong trường hợp khách hàng trực tiếp chia sẻ hoặc thiết bị bị chiếm quyền kiểm soát.

VPBank đồng thời khuyến cáo khách hàng theo dõi thông tin từ nguồn chính thống, tránh tâm lý hoang mang và cảnh giác với các hình thức lừa đảo lợi dụng sự cố. Ngân hàng nhấn mạnh: kẻ gian không thể trực tiếp chiếm đoạt tài sản từ sự cố này, nhưng có thể sử dụng thông tin để phát tán mã độc, tạo kịch bản giả mạo. Do đó, khách hàng không nên cài đặt ứng dụng từ nguồn không chính thống và tuyệt đối không cung cấp mã OTP/SmartOTP cho bất kỳ ai, kể cả người tự xưng là nhân viên ngân hàng.

Đình Thảo