Khi đầu dây bên kia nói đúng tên tuổi, địa chỉ, Quang Vương (Đà Nẵng) hoang mang không nhớ nổi đã đưa những thông tin này cho những dịch vụ nào.
"Có phải bạn đã gửi một đơn hàng từ Đà Nẵng sang Quảng Tây, Trung Quốc, gồm một hộp khẩu trang và 6 cuốn hộ chiếu?", cuộc gọi vào sáng sớm một ngày tháng 5 thông báo cho Vương về một kiện hàng vi phạm mang tên cậu. Họ đọc chính xác số Chứng minh nhân dân (CMND), số điện thoại, địa chỉ thường trú. Khi cậu phủ nhận, người này "dự đoán" Vương có thể đã bị giả mạo thông tin, chủ động giúp cậu kết nối với cơ quan chức năng.
Sau một hồi "nối máy lên Bộ", Vương một lần nữa được khẳng định chính cậu đã gửi đơn hàng này, thậm chí có thêm hành vi "dùng tài khoản ngân hàng để rửa tiền và buôn bán ma tuý".
"Họ bảo tôi phải chứng minh mình trong sạch", Vương kể. Nỗi bất an khiến cậu răm rắp nghe theo yêu cầu của người không hay tên biết mặt. Vương cung cấp thông tin trên căn cước công dân mới, kết bạn Zalo với tài khoản tự xưng là "cán bộ phòng thông tin" để nhận diện khuôn mặt, thực hiện cuộc gọi video, đưa số tài khoản và số dư của từng ngân hàng có đăng ký.
Đến cuộc gọi thứ ba, người này thông báo bắt tạm giam Vương, kèm một hình ảnh về lệnh bắt giữ.
Sau cơn sốc, Vương bắt đầu cảm thấy sự bất thường. Cậu kiểm tra lại với đơn vị giao hàng và gọi lên cơ quan pháp luật địa phương về trường hợp của mình. "Họ xác nhận tôi đã bị lừa", Vương nói.
Từ thông tin cá nhân cơ bản ban đầu như số CMND, địa chỉ nhà mà Vương không thể xác định đã bị thu thập từ đâu, kẻ gian đã dẫn dụ cậu để tiếp tục "làm giàu" thêm dữ liệu. Lúc này, cậu đã trao tất cả thông tin nhân thân cho người lạ và không có cách nào lấy lại.
Vương không phải trường hợp cá biệt. Trong báo cáo năm ngoái trước Ủy ban Thường vụ Quốc hội, Bộ trưởng Công an Tô Lâm cho biết dữ liệu cá nhân của hơn 2/3 dân số Việt Nam đang bị thu thập, chia sẻ trên mạng với với nhiều hình thức và mức độ chi tiết khác nhau.
"Dữ liệu cá nhân ngày càng rẻ", ông Ngô Minh Hiếu, nhà sáng lập dự án Chống lừa đảo, đúc kết sau nhiều năm theo dõi an toàn thông tin.
Tháng 5/2021, một hacker rao bán 17 GB thông tin gồm ảnh CCCD, CMND của người Việt trên mạng. Số dữ liệu của khoảng 10 nghìn người được bán với giá 9 nghìn USD, tức trung bình mỗi thông tin giá gần một USD. Còn hiện nay, trên nhiều hội nhóm mua bán dữ liệu mà Chống lừa đảo theo dõi, một bộ dữ liệu chứa ảnh hai mặt CCCD có giá 5.000 đồng, và rẻ hơn nữa nếu mua số lượng lớn.
"Chỉ cần bỏ số tiền tương đương cốc trà đá, ai cũng có thể sở hữu thông tin về người khác", ông nói.
Thông tin gắn liền với một con người hoặc giúp xác định một con người cụ thể trên môi trường điện tử được gọi là dữ liệu cá nhân. Hiểu đơn giản, đó là thông tin cá nhân dưới dạng kỹ thuật số để máy tính có thể xử lý được. Đó có thể là họ tên, ngày sinh, giới tính, hình ảnh, số điện thoại, số định danh, mối quan hệ gia đình - những dữ liệu cá nhân cơ bản.
Với đặc tính của dữ liệu số, chỉ một thao tác đăng tải và chia sẻ đường dẫn, tệp tin chứa thông tin sẽ phát tán đi khắp thế giới qua Internet và tạo thành vô số bản sao. Những bản sao đó có thể được tải về ổ cứng máy tính của một ai đó chờ ngày sử dụng, hoặc đưa vào chợ đen online hay công cụ bán dữ liệu tự động.
Sau cú sập của các chợ đen như Raid Forum, Breach Forum, giới mua bán dữ liệu dần chuyển sang ứng dụng OTT, lợi dụng tính ẩn danh cũng như công cụ chatbot để thực hiện giao dịch. Ví dụ, tại một dịch vụ của người Việt trên Telegram, chỉ cần nhập số điện thoại vào chatbot và trả chưa tới một USD, người dùng lập tức nhận tin nhắn gồm hàng loạt trường thông tin liên quan đến chủ sở hữu số điện thoại đó.
Mua bán thông tin thậm chí diễn ra công khai trên mạng xã hội. Trong một nhóm Facebook với gần 5 nghìn thành viên, mỗi ngày có hàng loạt bài về dữ liệu. Sau câu rao "tôi cần một CCCD", người mua nhận về hàng chục bình luận, tin nhắn với lời hứa hẹn cung cấp cả ảnh chụp lẫn bản cứng. Tại một nhóm công khai khác trên Telegram với hàng chục nghìn thành viên, người mua thậm chí có thể chọn loại dữ liệu mong muốn, như nhóm dữ liệu cá nhân của người dùng có thẻ tín dụng, có ôtô, có gửi tiết kiệm... với giá từ 300 đến 3.000 đồng tuỳ số lượng, và nhận về đầy đủ từ họ tên, địa chỉ, số điện thoại, CCCD cho đến số dư tài khoản. "Đây đều là những dữ liệu đã được kiểm tra, đảm bảo hoạt động và cam kết 'một đổi một' nếu sai", một người bán dữ liệu thẻ tín dụng khẳng định, đồng thời gửi các bản mẫu để người mua xem trước nếu nghi ngờ.
Trong vụ triệt phá đường dây hồi tháng 1/2022 tại Thừa Thiên Huế, cơ quan công an cũng phát hiện nhóm Facebook "Group mua bán data mới 2020" với khoảng 300 thành viên có các hoạt động nghi vấn mua, bán, trao đổi dữ liệu thông tin cá nhân của người dùng với giá 1.000 đồng/thông tin. Trước khi bị triệt phá, nhóm này đã mua bán hơn 6,2 triệu dữ liệu cá nhân trên cả nước.
Theo ông Vũ Ngọc Sơn, Giám đốc công nghệ Công ty an ninh mạng NCS, vấn nạn lừa đảo trực tuyến hay việc bùng phát cuộc gọi quảng cáo tràn lan thời gian qua thể hiện tình trạng dữ liệu cá nhân đã bị lộ lọt, trao đổi công khai một cách mất kiểm soát. Từ thông tin thu thập được, kẻ lừa đảo có thể xây dựng kịch bản tinh vi như lừa vi phạm giao thông, nợ thuế, con bị tai nạn... nhằm chiếm đoạt tiền của người dùng.
Dữ liệu rẻ một phần còn do được lấy dễ dàng và ngày càng chuyên nghiệp. Theo các chuyên gia tại Viettel Cyber Security (VCS), các nhóm thu thập thông tin đang có sự dịch chuyển trong cách tiếp cận nạn nhân. "Thay vì gửi hàng loạt tin nhắn, email như trước, họ có cả những đội 'chăm sóc khách hàng' qua điện thoại hoặc kênh tin nhắn OTT", đơn vị này cho hay.
Từ thông tin cơ bản ban đầu về Vương cùng vài cuộc gọi giả danh cơ quan thực thi pháp luật, kẻ gian đã có đầy đủ dữ liệu, gồm cả ảnh và video của cậu. Hay khi thương mại điện tử nở rộ, các fanpage giả mạo được lập ra và đăng nội dung tặng quà giá trị lớn. Hàng nghìn người sẵn sàng để lại bình luận với thông tin mà fanpage yêu cầu. Những con bot chuyên "cào" dữ liệu tự động chỉ đợi người dùng bấm nút Enter là thu thập "tài nguyên" đó.
Bối cảnh chuyển đổi số toàn dân đưa cuộc sống của hàng chục triệu người Việt lên Internet. Tuy nhiên, nhận thức về an toàn thông tin chưa theo kịp. Theo đánh của Cục An toàn thông tin - Bộ Thông tin và Truyền thông, 80% nguyên nhân lộ lọt dữ liệu cá nhân xuất phát từ sự bất cẩn của người dùng, 20% còn lại là lỗi của các nền tảng đang nắm giữ thông tin.
Vừa về khu chung cơ mới, Ngọc Ánh (Hà Nội) được mời tham gia nhóm Facebook của cư dân tòa nhà để nhận các thông báo quan trọng. Điều kiện gia nhập là phải xác thực bằng cách gửi thông tin về gia đình và giấy tờ chứng minh sở hữu căn hộ, số điện thoại cho quản trị viên duyệt. Chưa đầy một tuần sau, cô nhận được hàng loạt cuộc gọi và tin nhắn quảng cáo, từ trung tâm tiếng Anh trong khu giới thiệu về khóa học cho con, cho đến cửa hàng mới khai trương mời đến trải nghiệm.
"Khi đó tôi đã biết chắc chắn dữ liệu của mình bị rò rỉ từ đâu, nhưng cũng chẳng thể làm gì vì không có bằng chứng và dù sao cũng đã bị chia sẻ rồi", Ánh nói.
Anh Linh, chồng của Ánh, là chủ một doanh nghiệp về công nghệ thông tin nhưng cũng không tránh khỏi rắc rối. Sau những lần liên tục bị "dội bom" cuộc gọi quảng cáo, thậm chí nhận được giấy báo nợ của một dịch vụ tài chính với thông tin của mình còn ảnh của người khác, anh cố nghĩ xem mình đã khai báo thông tin ở đâu, nhưng thừa nhận bế tắc.
"Không thể xác định nổi vì quá nhiều. Bất cứ dịch vụ nào cũng đòi thông tin, từ ngân hàng, nhà mạng đến mua hàng online. Thậm chí đi vào một cơ quan nào đó, bảo vệ cũng yêu cầu báo số điện thoại và để lại CCCD", anh nói. Dù ý thức rõ về lộ lọt thông tin, anh thừa nhận không thể giữ chúng cho riêng mình, bởi nếu không đưa thì không thể sử dụng dịch vụ.
Những người dùng như vợ chồng Ngọc Ánh bị mắc kẹt giữa việc bảo vệ dữ liệu cá nhân và chấp nhận đánh đổi để sử dụng dịch vụ. Theo khảo sát của IBM năm 2019, 81% người dùng nói đã quan tâm nhiều hơn đến cách các công ty khai thác dữ liệu của họ, nhưng 71% trong số đó vẫn chấp nhận hy sinh quyền riêng tư để sử dụng sản phẩm công nghệ.
"Nếu dịch vụ yêu cầu gửi thông tin cá nhân mới có thể sử dụng, tôi cũng không có lựa chọn khác ngoài đồng ý", Ánh nói và phó mặc việc bảo mật cho sự uy tín của nền tảng.
Chuyên gia Ngô Minh Hiếu cho biết không ít người còn bị dẫn dụ bằng hình thức mua lại thông tin danh tính với giá rẻ, hoặc bị lừa lấy dữ liệu qua dịch vụ như vay tín dụng đen, đầu tư online. Mỗi ngày, dự án Chống lừa đảo nhận hàng chục email cầu cứu từ người lỡ cung cấp thông tin cho các dịch vụ này. Dự án ghi nhận hơn 16 nghìn tên miền lừa đảo từ tháng 2/2021 đến nay, trong đó 16% có mục đích lấy thông tin người dùng.
"Dữ liệu gửi đã gửi đi gần như không thể thu hồi lại nữa", ông nói.
Một nguyên nhân khác còn đến từ sự chủ quan của người dùng khi sử dụng phần mềm "bẻ khóa", ứng dụng không rõ nguồn gốc, dẫn đến bị tấn công bởi mã độc đánh cắp thông tin. Theo báo cáo nguy cơ an toàn thông tin năm 2022 của VCS, mã độc dòng Stealer, điển hình như Redline, Raccoon, Oski, tăng trưởng 300%, được phát hiện trên nhiều thiết bị của người dùng.
"Nếu sản phẩm miễn phí, bạn chính là sản phẩm", Douglas Mark Rushkoff, nhà lý thuyết truyền thông và công nghệ người Mỹ, đưa ra nhận định từ 2011 về nguyên lý vận hành của Facebook.
Câu nói của ông đã vén màn sự thật đằng sau các mạng xã hội - nơi người dùng phải đánh đổi bằng dữ liệu cá nhân để sử dụng. Ít năm sau, Facebook thừa nhận đã gián tiếp chia sẻ dữ liệu của 87 triệu tài khoản cho bên thứ ba là Cambridge Analytica. Đến 2019, 419 triệu hồ sơ người dùng Facebook chứa số điện thoại bị rò rỉ trực tuyến, trong đó có hơn 50 triệu tài khoản từ Việt Nam. Bê bối của Facebook là ví dụ điển hình của việc các nền tảng chưa thực sự bảo vệ dữ liệu người dùng, cũng là nguyên nhân lớn dẫn đến lộ lọt thông tin cá nhân.
Sau khi điền vào những bản khai báo, người dùng không thể biết thông tin của mình sẽ được phát tán thế nào. Những nền tảng, dịch vụ số giống như những "hố đen" hút dữ liệu, đồng thời che giấu mọi thông tin về cách thức lưu trữ, bảo vệ cũng như sử dụng dữ liệu khách hàng.
Luật An toàn thông tin mạng Việt Nam 2015 quy định "các bên chỉ sử dụng thông tin cá nhân đã thu thập vào mục đích khác mục đích ban đầu nếu có sự đồng ý của người dùng". Tuy nhiên theo báo cáo năm ngoái của Bộ Công an, vẫn có tình trạng doanh nghiệp dịch vụ tự thu thập dữ liệu cá nhân của khách hàng, sau đó cho phép bên thứ ba tiếp cận. Từ kẽ hở này, đối tác thứ ba tiếp tục chuyển giao hoặc bán cho bên khác, dẫn đến vấn nạn dữ liệu bị rao bán công khai trong thời gian dài và với số lượng lớn.
Cục An toàn thông tin đánh giá vấn đề lộ dữ liệu từ các nền tảng, dịch vụ có thể đến từ những lỗ hổng bảo mật trên hệ thống và cả trong chính sách bảo mật thông tin khách hàng.
Phần lớn dịch vụ hiện nay đều có điều khoản cho phép khai thác dữ liệu lồng ghép trong chính sách chung khi đăng ký. Chúng thường được thể hiện qua một dòng chữ nhỏ: "Khi bấm đăng ký, người dùng đã đồng ý với chính sách".
Trong khảo sát được thực hiện bởi Addictive Tips năm 2020, 87% chấp nhận điều khoản mà không đọc. Trong số đó, 89% không đọc vì quá dài, 83% nói đồng ý cho dù có đọc hay không, và 74% cảm thấy không thể nắm bắt được những quy định trong chính sách.
Việt Nam có nhiều bộ luật và quy định liên quan, như Luật An toàn thông tin mạng dành riêng một mục cho Dữ liệu cá nhân, trong đó cấm thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác. Tuy nhiên, việc tuân thủ quy định không được chú trọng. Hậu quả là hàng loạt vụ rò rỉ dữ liệu người dùng vẫn diễn ra suốt thời gian qua.
Troy Hunt, chuyên gia bảo mật Microsoft - người sáng lập công cụ tra cứu thông tin rò rỉ nổi tiếng Have I Been Pwned, cho biết cơ sở dữ liệu của công cụ này hiện có hơn 30 triệu bản ghi dữ liệu liên quan đến tài khoản của Việt Nam. Đây là những tài khoản lộ cả email và mật khẩu sau các vụ tấn công mạng.
Việt Nam liên tục tăng bậc trên bảng xếp hạng an toàn thông tin toàn cầu. Chỉ số Sức mạnh mạng quốc gia do Harvard Kennedy School công bố cho thấy Việt Nam đứng thứ 8 thế giới năm 2022. Chỉ số An toàn thông tin toàn cầu GCI cũng xếp Việt Nam ở mức 25, tăng mạnh so với thứ hạng 50 hai năm trước.
Tuy nhiên, các vụ lộ lọt dữ liệu chưa bao giờ dừng lại.
Theo báo cáo của VCS năm 2022, số trường hợp lộ lọt dữ liệu tại Việt Nam tăng 20% so với năm trước đó, trong khi quy mô dữ liệu tăng gấp 10 lần, với hơn 200 triệu bản ghi bị rò rỉ.
Là một trong những nền tảng bị ảnh hưởng bởi vụ tấn công mạng lớn năm 2016, Vietnam Airlines cho biết thách thức với doanh nghiệp là hệ thống CNTT, thiết bị điện tử đa dạng, được triển khai trên phạm vi rộng, tích hợp với hệ thống của cả đối tác và cơ quan chức năng trong và ngoài nước. Trong bối cảnh chuyển đổi số, khối lượng dữ liệu tăng chóng mặt, các nguy cơ tấn công mạng cũng luôn rình rập.
Theo ông Nguyễn Nam Tiến, Trưởng phòng phụ trách quản lý dịch vụ CNTT và an ninh thông tin của Vietnam Airlines, để cân bằng giữa việc định danh người dùng và bảo vệ an toàn dữ liệu cá nhân, các nền tảng chỉ nên yêu cầu những thông tin cần và đủ cho việc xác thực. Trong khi đó, người dùng cũng cần cân nhắc kỹ và làm quen với chính sách bảo mật và quyền riêng tư của nền tảng, dịch vụ để đảm bảo thông tin được xử lý an toàn, đúng ý.
Năm 2023 được Chính phủ coi là Năm dữ liệu số Việt Nam. Bộ trưởng Thông tin và Truyền thông Nguyễn Mạnh Hùng nhiều lần nhấn mạnh việc cần làm "là bảo vệ dữ liệu cá nhân, công bố và xây dựng cơ sở dữ liệu cấp Bộ, ngành và địa phương, là mở dữ liệu để kết nối chia sẻ, là an toàn dữ liệu".
Ở phía nền tảng, một trong những quy tắc Cục An toàn thông tin yêu cầu là "Security first", tức hệ thống không an toàn không đưa vào sử dụng. Theo khảo sát được Hiệp hội An toàn thông tin (Vnisa) thực hiện cuối 2022 với 200 doanh nghiệp và tổ chức tại Việt Nam, 57,8% tự tin về năng lực an toàn thông tin, còn 42,2% lo ngại các mối đe dọa trên môi trường mạng.
Ở phía người dùng, Phó Cục trưởng An toàn thông tin Trần Đăng Khoa cho rằng người dùng cần nhận thức thông tin cá nhân "là một loại tài sản giá trị cao" để có ý thức hạn chế chia sẻ một cách tối đa.
Nghị định 13 về bảo vệ dữ liệu cá nhân, được Chính phủ ban hành tháng 4 và có hiệu lực từ 1/7, được kỳ vọng sẽ tăng vai trò kiểm soát dữ liệu của chủ thể cũng như trách nhiệm của bên thu thập, xử lý. Chủ thể dữ liệu, tức cá nhân có thể được xác định từ các thông tin đó, có 11 quyền, như quyền được biết, quyền đồng ý và rút lại sự đồng ý, quyền xóa dữ liệu.
Hiệu quả thi hành của quy định mới này sẽ cần thêm thời gian để khẳng định. Tuy nhiên từ đầu tháng 7, hàng loạt dịch vụ, như ngân hàng, nền tảng số đã thay đổi chính sách để phù hợp với nghị định.
Theo chuyên gia Vũ Ngọc Sơn, điểm mới trong nghị định so với các văn bản trước là người dùng - những chủ thể dữ liệu - sẽ giữ vai trò quan trọng trong việc bảo vệ dữ liệu của chính mình. Lấy ví dụ về nhiều dịch vụ mà người dùng chỉ sử dụng một lần, như mua bán, đặt hàng trên mạng, ông Sơn cho biết khi giao dịch xong, người dùng hoàn toàn có thể thu hồi dữ liệu cá nhân, để tránh bị khai thác không mong muốn.
"Các hệ thống thu thập thông tin hiện chưa cung cấp công cụ để người dùng thực hiện quyền của mình. Nhưng với nghị định mới, hệ thống sẽ phải bổ sung cơ chế kỹ thuật hoặc bố trí đầu mối tiếp nhận, xử lý yêu cầu liên quan đến dữ liệu từ phía người dùng", ông Sơn nói về điểm mới trong Nghị định 13.
Trong khi đó, từ gần một năm nay, anh Linh đã chọn giải pháp mua thêm một sim điện thoại mới chỉ để liên hệ với người thân, đóng tài khoản mạng xã hội như một cách rũ bỏ thông tin cá nhân không còn là của riêng mình. Còn với Vương, cậu tự thấy may mắn vì chưa mất tiền, nhưng đánh đổi là thời gian dài trong lo lắng. Cứ vài ngày, cậu lại "google" để xem thông tin của mình có bị chia sẻ ở đâu, hay đang bị lợi dụng cho chuyện phi pháp nào đó không.
Nhiều năm hỗ trợ cho các nạn nhân bị lừa đảo mạng, đánh cắp thông tin, ông Ngô Minh Hiếu đánh giá việc lộ lọt dữ liệu có thể ảnh hưởng đến toàn bộ cuộc sống của một người, từ rủi ro về an ninh, tâm lý đến tài chính. Với một bộ thông tin rò rỉ của ai đó, kẻ gian có thể biến họ thành mục tiêu của hoạt động tấn công mạng như lừa đảo, giả mạo, tống tiền, truy cập trái phép vào tài khoản ngân hàng hoặc email. Việc lạm dụng thông tin cá nhân còn có thể gây ra trình trạng theo dõi, đánh cắp danh tính hoặc quấy rối trực tuyến, xâm phạm quyền riêng tư.
"Không có ghi nhận nào về vụ rò rỉ dữ liệu đầu tiên tại Việt Nam, nhưng chắc chắn cũng sẽ không có vụ cuối cùng", chuyên gia bảo mật Vũ Ngọc Sơn, nói.