Nguyễn Công Bằng
Theo CTMM
Ngày 24/8, cộng đồng an ninh mạng quốc tế xôn xao trước thông tin nhóm hacker ShinyHunters tuyên bố đã chiếm quyền truy cập và sao chép hơn 160 triệu hồ sơ từ hệ thống Trung tâm Thông tin Tín dụng Quốc gia (CIC), đơn vị trực thuộc Ngân hàng Nhà nước Việt Nam.[1]
Theo tuyên bố, số dữ liệu bị chiếm đoạt bao gồm thông tin cá nhân (PII), lịch sử tín dụng, số thẻ tín dụng (mã hóa), mã số thuế, kê khai thu nhập, hồ sơ nợ vay, giấy tờ chính phủ và thậm chí cả số hiệu quân nhân. Với quy mô này, gần như toàn bộ dân số Việt Nam có nguy cơ bị ảnh hưởng.
Nhóm tin tặc cho biết đã khai thác một lỗ hổng bảo mật “n-day” trên phần mềm đã hết vòng đời (end-of-life) để xâm nhập. Quá trình chiếm quyền kiểm soát hệ thống, theo khẳng định của chúng, chỉ mất 24 giờ.
Điều đáng chú ý, ShinyHunters không gửi yêu cầu tống tiền mà công khai rao bán dữ liệu trên các chợ ngầm quốc tế. Tính đến thời điểm hiện tại, CIC chưa đưa ra phản hồi chính thức về thông tin này.
Các chuyên gia đánh giá, nếu thông tin trên được xác thực, đây sẽ là sự cố rò rỉ dữ liệu lớn nhất lịch sử Việt Nam, ở mức độ tương đương những vụ việc toàn cầu. Không chỉ xâm phạm quyền riêng tư của vụ việc còn tiềm ẩn nguy cơ ảnh hưởng nghiêm trọng đến an ninh tài chính và tín dụng quốc gia.
Các chuyên gia đánh giá, nếu thông tin trên được xác thực, đây sẽ là sự cố rò rỉ dữ liệu lớn nhất lịch sử Việt Nam, ở mức độ tương đương những vụ việc toàn cầu. Không chỉ xâm phạm quyền riêng tư của người dân, vụ việc còn tiềm ấn nguy cơ ảnh hưởng nghiêm trọng đến an ninh tài chính và tín dụng quốc gia.[2]
Theo thông tin từ nước ngoài cho biết (nước ngoài vì tự do hơn, nên thông tin chính xác hơn) nhóm ShinyHunters đã đánh cắp dữ liệu của tối thiểu các ngân hàng như sau: VietCredit, MB Bank, Ocean Bank, VPBank, Sacombank (Saigon Thuong Tin Commercial Joint Stock Bank), Agribank (Vietnam Bank for Agriculture and Rural Development)[3].
Vụ đánh cắp thông tin lớn như vậy, nhưng trong mắt Bộ Công an – cơ quan chủ quản của Việt Nam về an ninh tin học thì hậu quả có lẽ đang phải giảm xuống mức thấp nhất.
Chính vì vậy, trên trang Ba Sàm (Trang thông tin nổi tiếng và độc lập) đã có bài phê bình trên đó. Nội dung như sau:
“Đôi lời: Một vụ tin tặc tấn công nghiêm trọng như vậy mà cứ phải dùng những uyển ngữ, lờ mờ ngữ…
Nào là ‘vụ lộ dữ liệu’ – nghe như nội bộ làm ‘lộ’
Rồi ‘sự cố an ninh mạng’ – nghe như tại cái thằng … máy móc’
Lại cả ‘sự cố lộ dữ liệu cá nhân’ – cái này là ‘con lai’ của hai cái trên
Nữa, ‘vi phạm dữ liệu cá nhân’ – đứa nào ‘vi phạm,’ nội bộ à?
Cuối cùng, để bạn đọc nổi điên lên rồi mới … tiết lộ là có ‘dấu hiệu hoạt động tấn công, xâm nhập của tội phạm mạng để đánh cắp dữ liệu cá nhân.’
Thế mà đe nẹt dân tình thì nghe ghê lắm – ‘yêu cầu các tổ chức, cá nhân không tự ý tải, … sẽ bị xử lý theo quy định của pháp luật.’
Ở báo khác, người ta huỵch toẹt luôn trên tựa đề đây này: Hacker tấn công Trung tâm Thông tin tín dụng quốc gia.
Đó là chưa nói tới việc, lẽ ra nên cho người đọc biết cái CIC là cái quái gì, để tự hiểu khi bị tin tặc ăn cắp dữ liệu, mình sẽ gặp nguy hiểm ra sao.
Vậy xin bổ sung giúp:
‘CIC hoạt động như một trung tâm thu thập, phân tích và cung cấp thông tin tín dụng của tất cả các cá nhân và tổ chức vay mượn tại các ngân hàng và tổ chức tín dụng.’
Còn đây mới thật kinh hoàng. Một FB tối qua đã đưa lên loạt thông tin rất chi tiết về nhóm hacker khét tiếng đã làm việc này, như sau (trích):
‘8/9/2025: ShinyHunters tuyên bố đã xâm nhập Trung tâm Thông tin tín dụng quốc gia (CIC) thuộc NHNN, chiếm khoảng 160 triệu hồ sơ tín dụng.’
Chưa biết thông tin đúng hay sai, hy vọng báo chí sớm làm rõ, giúp người dân biết cách phòng thân, chứ không chỉ nhắc cảnh giác khơi khơi mà để dân điếc đặc thì nhắc vô ích.”[4]
Thông tin cần biết
Bạn có bất ngờ khi biết rằng, thông tin cá nhân của bạn, từ số căn cước công dân, số điện thoại, đến lịch sử tín dụng, có thể đang được rao bán công khai trên mạng với giá hàng trăm nghìn đô la? Sự việc rò rỉ dữ liệu CIC (Trung tâm Thông tin Tín dụng Quốc gia Việt Nam) đang gây chấn động dư luận, đe dọa trực tiếp đến an toàn tài chính và quyền riêng tư của gần 100 triệu người dân Việt Nam.
CIC (Credit Information Center) là cơ quan thuộc Ngân hàng Nhà nước Việt Nam, có nhiệm vụ thu thập, lưu trữ và phân tích thông tin tín dụng của cá nhân, tổ chức.
Tại đây lưu giữ nhiều dữ liệu nhạy cảm như: Họ tên, ngày sinh, số CMND/CCCD, địa chỉ. Thông tin hợp đồng vay tín dụng. Lịch sử trả nợ, nợ xấu. Quan hệ tín dụng giữa cá nhân/doanh nghiệp với ngân hàng. Chính vì vậy, nếu dữ liệu này bị rò rỉ, hậu quả sẽ vô cùng nghiêm trọng.
Các nhà bảo vệ Việt Nam giỏi không? Mới đây, thông tin cho biết: Hacker chưa đánh cắp được tài khoản tiền gửi, số thẻ tín dụng, mã số bảo mật của khách hàng.[5] Hehe, vậy là chưa sao hả?
Vai trò của CIC là kho lưu trữ tập trung dữ liệu tín dụng của Việt Nam khiến nó trở thành một mục tiêu đặc biệt hấp dẫn, bởi việc xâm phạm sẽ làm lộ ra một điểm lỗi duy nhất ảnh hưởng đến gần như toàn bộ dân số. Theo các chuyên gia an ninh mạng, những sự cố như vậy có thể gây ra hậu quả dây chuyền, bao gồm gia tăng nguy cơ đánh cắp danh tính, gian lận tài chính và mất ổn định hệ thống.
Các cơ quan thực thi pháp luật và quản lý bảo vệ dữ liệu đã chính thức mở một cuộc điều tra để xác định mức độ nghiêm trọng của vụ xâm phạm. Cục An ninh mạng Việt Nam, cùng với các đối tác công nghệ lớn của nhà nước như Viettel, VNPT và NCS, đã được huy động để đánh giá phạm vi sự cố và xác định các lỗ hổng bị tin tặc khai thác. Đội ứng phó sự cố mạng quốc gia cũng đã được huy động để thực hiện các biện pháp khẩn cấp và phối hợp ứng phó.
VNCERT (Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam) đã ban hành cảnh báo nghiêm ngặt tới tất cả các cá nhân và tổ chức, khuyến cáo họ không tải xuống, chia sẻ hoặc khai thác bất kỳ dữ liệu bị rò rỉ nào. Các hành vi vi phạm sẽ được xử lý theo luật bảo vệ dữ liệu và an ninh mạng của Việt Nam. Tuy nhiên, điều này không thể ngăn chặn tội phạm mạng thực hiện các hoạt động như vậy, vì dữ liệu đã bị rò rỉ và có sẵn.
Hôm qua, Ngân hàng Nhà nước Việt Nam (NHNN) đã ra thông cáo trấn an khách hàng sau vụ việc rò rỉ dữ liệu tại Trung tâm Thông tin Tín dụng Quốc gia (CIC). NHNN xác nhận CIC là một trong bốn tổ chức được phép cung cấp dịch vụ thông tin tín dụng tại Việt Nam, và dữ liệu tín dụng mà NHNN thu thập không bao gồm số tài khoản ngân hàng, số dư tài khoản, sổ tiết kiệm, tài khoản thanh toán, số thẻ ghi nợ hoặc thẻ tín dụng, mã CVV/CVC, hoặc lịch sử giao dịch của khách hàng.
Tuy nhiên, các loại thông tin nhận dạng cá nhân khác có thể bị ảnh hưởng bởi vụ việc và vẫn có thể bị kẻ gian lợi dụng, bao gồm thông tin liên hệ, mã định danh thanh toán và thông tin liên hệ với các tổ chức tài chính trong nước.[6]
—
Chú thích:
TinHoaThinhĐon 