Nguy cơ mất an toàn thông tin khi xác thực danh tính

Gần đây, dư luận xôn xao về việc các hacker rao bán một số lượng lớn dữ liệu chứa thông tin cá nhân quan trọng của người dùng Việt. Cụ thể, ngày 13/5, tài khoản có tên Ox1337xO đã rao bán gói dữ liệu của hàng nghìn người dùng mạng trên một trang chuyên chia sẻ thông tin và tài khoản. Người này yêu cầu thanh toán bằng Bitcoin hoặc Litecoin, với giá khoảng 9.000 USD.

Với dung lượng 17GB, gói dữ liệu được rao bán này bao gồm ảnh chụp hai mặt chứng minh nhân dân (CMND), căn cước công dân (CCCD), ảnh chân dung xác thực, địa chỉ, số điện thoại và email của nhiều người. Tiêu đề của các file dữ liệu này bao gồm nhiều từ khóa nhạy cảm như “xac-minh-kyc”, “Idenfity_card_and_selfie_vietnam”, cho thấy nhiều khả năng đây là các tập tin xác thực KYC của một dịch vụ nào đó.

Người rao bán cũng đăng tải một số ảnh chụp màn hình cho thấy giấy tờ của người dùng để chứng minh độ uy tín. Xét theo các tên tập tin đăng tải, gói 17GB này có thể chứa dữ liệu của hàng nghìn người dùng.

Sau khi đánh giá bước đầu, Trung tâm Giám sát An toàn Không gian mạng Quốc gia (NCSC) cho rằng dữ liệu bao gồm thông tin của khoảng 10.000 người dùng có thể bị lộ từ một dịch vụ cho vay tiền trực tuyến, hoặc sàn giao dịch tiền mã hóa.

"Với cấu trúc dữ liệu rao bán, có thể thấy dữ liệu này xuất phát từ việc người dùng đăng ký sử dụng các dịch vụ có yêu cầu cung cấp thông tin KYC (bao gồm họ tên, địa chỉ, số điện thoại, ảnh chụp hai mặt CMND/CCCD) như: dịch vụ cho vay tiền trực tuyến, dịch vụ tài khoản tiền mã hóa…" - thông báo của NCSC cho hay.

Đơn vị này cũng cho biết các cơ quan chức năng đang tiến hành xác minh dữ liệu để đánh giá mức độ và nguồn lộ thông tin.

"Khi sở hữu những thông tin này, hacker có thể tạo tài khoản bằng thông tin người dùng ở các trang mạng. Từ đó, họ có thể phá hoại cuộc sống người bị trộm dữ liệu" - một chuyên gia bảo mật tại Trung tâm An toàn Không gian mạng Việt Nam (NCSC) chia sẻ với Zing.

Cần cẩn trọng khi xác thực định danh qua mạng

Với các sự việc lộ thông tin cá nhân, NCSC khuyến cáo các cá nhân cần trang bị kiến thức tốt để phòng tránh những trường hợp lừa đảo có thể xảy ra. Cụ thể, người dùng cần lường trước các kịch bản lừa đảo đối với mình và người thân, đảm bảo an toàn với các tài khoản trực tuyến, đặc biệt là các tài khoản có thể thanh toán trực tuyến, ví điện tử.

NCSC cũng khuyến cáo người dùng chỉ sử dụng dịch vụ của các tổ chức uy tín, đã được tín nhiệm tại Việt Nam. Cần tránh cung cấp thông tin cá nhân, KYC cho các dịch vụ của các tổ chức chưa được xác nhận, đánh giá tín nhiệm một cách rõ ràng như các hệ thống ứng dụng cho vay, tiền mã hóa...

Đặc biệt, cần tránh cung cấp thông tin cá nhân khi chưa biết rõ về tổ chức yêu cầu cung cấp, mục đích của việc cung cấp thông tin là gì.

"Trước khi chia sẻ, hãy đọc kỹ các chính sách về bảo mật và quyền riêng tư. Nếu dữ liệu của bạn bị lộ, bạn hoặc người thân có thể trở thành nạn nhân của những trò lừa đảo lợi dụng thông tin cá nhân" - chuyên gia này nói thêm.

"Nếu chúng ta vô tư chia sẻ dữ liệu trên các nền tảng mà không biết mức độ đảm bảo an toàn của họ, thì rõ ràng sẽ có những rủi ro. Cần nhận thức rõ khi nào, lúc nào chúng ta nên chia sẻ những thông tin cá nhân, đặc biệt là những thông tin liên quan đến sinh trắc học, định danh điện tử của mình" - ông Ngô Tuấn Anh - Phó chủ tịch phụ trách An ninh mạng tại Bkav chia sẻ với Zing.

Một trong những ngành có yêu cầu về KYC gắt gao nhất là ngân hàng. Thời gian qua, theo guồng quay chuyển đổi số, nhiều ngân hàng đã tổ chức thí điểm, triển khai công nghệ eKYC giúp khách hàng tiện lợi hơn trong việc mở tài khoản hay xác thực giao dịch mà không cần đến phòng giao dịch. Chỉ bằng việc xác thực khuôn mặt (chụp ảnh hoặc quay video khuôn mặt), hệ thống AI của ngân hàng sẽ xác nhận danh tính để xác nhận giao dịch.

Về việc đảm bảo tính an toàn và bảo mật của eKYC, Doanh Nhân Trẻ từng có cuộc trao đổi với bà Nguyễn Thị Nga - Giám đốc Khối vận hành Ngân hàng TMCP Đại chúng Việt Nam. "Chắc chắn là hệ thống bảo mật của ngân hàng được đầu tư rất chặt chẽ để đảm bảo các giao dịch có nhiều hàng rào bảo mật với nhiều tính năng bảo mật khác nhau. Liên quan đến việc xác thực định danh trực tuyến, tại PVcombank, ngoài hệ thống xác thực thông tin, chúng tôi còn có cán bộ kiểm tra thường xuyên, không phó mặc hoàn toàn cho hệ thống, vừa hỗ trợ khách hàng, vừa đảm bảo tính bảo mật tuyệt đối.

Thêm nữa, khi khách hàng thực hiện định danh trực tuyến sẽ chưa được thực hiện giao dịch ngay mà phải được nhân viên ngân hàng xác nhận lại lần nữa" - bà Nga cho biết thêm.