Lỗ hổng bảo mật thông tin cá nhân

(ĐTTCO)-Sự việc một thành viên trên diễn đàn RaidForums công bố danh sách hơn 5,4 triệu địa chỉ email, 31.000 bản ghi liệt kê số thẻ NH (che 6 chữ số ở giữa), 32 hàng thông tin trong đó có 16 chữ số của thẻ NH, được cho là của khách hàng (KH) từ Thế giới di động (TGDĐ), cho thấy vấn đề bảo mật thông tin, bảo đảm an toàn giao dịch tại Việt Nam vẫn chưa tạo được sự an tâm cho người tiêu dùng.

NH trấn an, cơ quan vào cuộc
Trong khi phía TGDĐ khẳng định không liên quan, thì phía NH cũng như giám đốc một số trung tâm thẻ cho biết, dù hacker lấy đủ 16 chữ số in trên mặt trước thẻ cũng chưa thể hack được tiền từ thẻ tín dụng, vì nếu muốn thực hiện giao dịch trên mạng cần phải đầy đủ thông tin về số thẻ, ngày hết hạn, 3 số bí mật ở mặt sau thẻ (mã CVV).
Phó tổng giám đốc một NHTM có trụ sở tại TPHCM cho biết, rất khó có trường hợp lộ thông tin thẻ qua máy POS, vì hệ thống POS không thể lưu trữ được các thông tin này, và thông tin KH luôn được mã hóa. Tuy nhiên, khi xuất hiện một danh sách đầy đủ từ số thẻ, email, điện thoại, số tiền thanh toán… nên không loại trừ có khả năng một vài điểm bán hàng lưu trữ riêng và để lộ ra ngoài. 
Lỗ hổng bảo mật thông tin cá nhân ảnh 1 Khi chấp nhận thanh toán đương nhiên phải chấp nhận thông tin cá nhân bị lộ. 
Giải pháp được các NH đưa ra lúc này hầu hết là khuyên người dùng nên đổi mật khẩu email cá nhân, thay đổi mật khẩu giao dịch NH online và theo dõi, hoặc khóa giao dịch thẻ tín dụng chờ xác minh. Sau khi có đánh giá của cơ quan điều tra (C50), NH sẽ có quyết định thay lại thẻ tín dụng cho những khách bị lộ thông tin hay không.
Ngày 9-11, Cục An toàn Thông tin (Bộ Thông tin và Truyền thông) cho biết, đã cử cán bộ kỹ thuật trực tiếp làm việc với TGDĐ để hỗ trợ và chưa nhận thấy có dấu hiệu tấn công vào các thành phần hệ thống liên quan tới thông tin cá nhân bị công bố. Cục sẽ tiếp tục phối hợp với TGDĐ và các cơ quan chức năng liên quan kiểm tra, rà soát. 
Theo TS. Bùi Quang Tín, Trường Đại học NH TPHCM, vụ việc này còn có nhiều vấn đề cần phải tìm hiểu để xác định lộ thông tin xuất phát từ đâu, do phía NH (cụ thể là trung tâm thẻ) hay là từ phía TGDĐ. Bởi trong quá trình thanh toán qua máy POS hoặc online, đương nhiên trung tâm thẻ nắm thông tin, nhưng các thông tin đó doanh nghiệp (DN) cũng không khó lưu lại bằng các phần mềm công nghệ.
Song song đó, cũng cần tra xét xem trách nhiệm từ phía nhân viên hay nội bộ DN hay không. Vấn đề này không đơn giản và cần phải chuyển qua cơ quan điều tra thực hiện. Việc lộ mã số phía trước thẻ tuy chưa xảy ra rủi ro mất tiền, nhưng những chủ thẻ nằm trong danh sách này trước mắt nên tạm khóa thẻ lại, vì khi hacker lấy được mã số mặt trước và số điện thoại, email của chủ tài khoản, hoàn toàn có thể hack được các thông tin khác như mã CVV.

Thông tin cá nhân bị bán vô tội vạ
Lý do vì sao lộ thông tin thẻ tín dụng của KH cần phải có thời gian điều tra làm rõ, nhưng sự việc một lần nữa xới lại vấn đề trách nhiệm và quản lý về bảo mật thông tin người tiêu dùng ở Việt Nam.
LS Trương Thanh Đức, Chủ tịch Hội đồng thành viên công ty Luật BASICO cho biết, để bảo mật thông tin cá nhân, người dùng phải tự kiểm soát việc trang web truy cập, bấm mật khẩu không để người khác nhìn thấy, không làm mất thẻ, không bị người khác xem máy tính và không để virus xâm nhập…
Nhưng trong vụ việc này, người tiêu dùng hoàn toàn không có vai trò gì trong bảo mật thông tin của họ. Khi mua hàng, chỉ có chấp nhận hoặc không chấp nhận thực hiện thanh toán, và khi chấp nhận thanh toán thông tin có lộ hay không là điều không thể biết được. 
Ngoài ra, hiện nay cũng có nhiều trường hợp mời chào người tiêu dùng làm thẻ VIP, thẻ hội viên, nhận tin nhắn các chương trình khuyến mại… và yêu cầu cung cấp thông tin. Khi chấp nhận yêu cầu này, đồng nghĩa với việc thông tin của chính mình có thể bán bất cứ lúc nào. Bởi vấn đề bảo mật thông tin ở nước ngoài được quản chặt, còn ở Việt Nam chưa được quan tâm đúng mức, từ công nghệ đến các cơ quan quản lý, công an, người tiêu dùng và đặc biệt là vẫn còn nhiều DN để mặc điều này, nên nhân viên thường bán thông tin vô tội vạ. Bằng chứng là các dịch vụ rao bán trao đổi thông tin KH xuất hiện nhan nhản trên mạng.
 Hiện vụ việc chưa gây ra thiệt hại nào cho KH, cũng chưa có bằng chứng TGDĐ và NH làm lộ thông tin, do đó cả 2 phía chưa thể chịu trách nhiệm. Tuy nhiên, dù chưa có thiệt hại nhưng TGDĐ cũng nên đưa ra những biện pháp để bảo vệ KH, thay vì chỉ khẳng định không làm lộ thông tin rồi để trống. Tương tự, phía NH cũng phải có những thông tin cụ thể, để toàn bộ KH biết đang được bảo vệ với trường hợp rò rỉ thông tin từ các cửa hàng bán lẻ. 
TS. Nguyễn Trí Hiếu,
chuyên gia tài chính NH
Theo Điều 65 Nghị định 185/2013/NĐ-CP, hành vi vi phạm về bảo vệ thông tin của người tiêu dùng sẽ bị phạt tiền từ 10-20 triệu đồng, phạt tiền gấp 2 lần mức này đối với trường hợp thông tin có liên quan là thông tin thuộc về bí mật cá nhân của người tiêu dùng. Biện pháp khắc phục hậu quả là buộc tiêu hủy tang vật vi phạm có chứa đựng thông tin của người tiêu dùng. 
TS. Nguyễn Trí Hiếu cho rằng, mức phạt về việc để lộ bí mật thông tin KH ở Việt Nam quá thấp và cần điều chỉnh tùy theo mức độ thiệt hại gây ra. Tuy nhiên, để thực thi, người tiêu dùng phải chủ động kiện ra tòa.
Ở Hoa Kỳ, các vi phạm về bảo mật thông tin cá nhân đều phải ra tòa án để tòa đưa ra mức phạt hợp lý, thường sẽ có cá nhân hoặc 1 nhóm người bị hại làm đơn và được Hiệp hội người tiêu dùng ủng hộ để kiện ra tòa. Người tiêu dùng ở Việt Nam chưa làm điều này, nhưng cũng nên làm, hợp tác với nhau để đi kiện khi bị làm lộ thông tin cá nhân, nhằm nâng cao ý thức bảo vệ thông tin KH của giới kinh doanh. 
TS. Bùi Quang Tín chia sẻ, nếu xử phạt hành chính, mức phạt này còn quá thấp so với hành vi cố tình vi phạm. Tuy nhiên, pháp luật hình sự cũng có nêu trong trường hợp vi phạm vượt quá mức xử phạt hành chính, hoàn toàn có thể truy tố trách nhiệm hình sự. Chính vì vậy, nếu có hành vi vi phạm bảo vệ thông tin người tiêu dùng mang tính chuyên nghiệp, có tổ chức hoặc vi phạm nhiều lần, xâm hại đến bộ phận lớn người dân, có thể xử lý hình sự thay vì chỉ xử lý hành chính.
Ngày 9-11, NHNN đã có Văn bản số 8511 về việc tăng cường bảo mật thông tin KH yêu cầu các đơn vị liên quan rà soát, làm việc với TGDĐ để xác định nguyên nhân; đồng thời theo dõi, giám sát chặt các thẻ và giao dịch thẻ liên quan trong vụ việc để kịp thời phát hiện các dấu hiệu bất thường, có biện pháp xử lý phù hợp nhằm bảo mật thông tin và bảo vệ quyền lợi hợp pháp của KH. Tổ chức cung ứng dịch vụ thanh toán, tổ chức cung ứng dịch vụ trung gian thanh toán nghiêm túc chấp hành các quy định của pháp luật về việc lưu trữ, bảo mật thông tin KH. 

Các tin khác