Theo thông tin sớm nhất từ Databreaches, ngày 8/9, nhóm tin tặc ShinyHunters tuyên bố đã tấn công thành công và trích xuất hơn 160 triệu bản ghi dữ liệu của Trung tâm Thông tin tín dụng Quốc gia (CIC) và rao bán với giá khởi điểm là 175.000 USD (tương đương khoảng 4,6 tỷ đồng) trên một diễn đàn hacker ở Dark Web.
Nội dung chào bán của ShinyHunters là bộ dữ liệu này chứa "rất nhiều thông tin nhạy cảm, gồm dữ liệu cá nhân cơ bản, lịch sử thanh toán tín dụng, báo cáo phân tích rủi ro cho vay, thông tin thẻ tín dụng (yêu cầu người mua tự có khả năng giải mã thuật toán FDE), giấy chứng minh sĩ quan/quân nhân, giấy tờ do nhà nước cấp, mã số thuế, báo cáo kết quả hoạt động kinh doanh [của doanh nghiệp], nợ phải trả và nhiều mục khác."
Vì dân số Việt Nam chỉ khoảng 102 triệu người, ít hơn số bản ghi lấy cắp được từ CIC, nên khi được hỏi, ShinyHunters trả lời rằng tập dữ liệu này có cả dữ liệu lịch sử.
ShinyHunters là một nhóm tin tặc quốc tế xuất hiện lần đầu vào năm 2020. Chỉ trong thời gian ngắn, cái tên này trở nên khét tiếng khi tuyên bố đứng sau hàng loạt vụ xâm nhập dữ liệu tầm cỡ toàn cầu như vụ rò rỉ dữ liệu 91 triệu người dùng trên sàn thương mại điện tử Tokopedia của Indonesia; vụ rò rỉ dữ liệu ảnh hưởng đến 271 triệu người dùng của nền tảng sáng tác truyện Wattpad; vụ đánh cắp hơn 30 triệu bản ghi đơn hàng của khách hàng Pizza Hut Australia; vụ đánh cắp 70 triệu bản ghi chứa thông tin định danh cá nhân của khách hàng của hãng viễn thông AT&T của Mỹ...
 |
Ảnh chụp màn hình tin rao bán dữ liệu của nhóm tin tặc ShinyHunter trên một trang Dark Web. Ảnh: Databreaches |
Sau khi biết được thông tin về vụ rao bán, ngày 10/9, CIC đã thông báo rủi ro này cho Bộ Công an và các bên liên quan. Các cơ quan quản lý thực thi pháp luật và bảo vệ dữ liệu ở Việt Nam đã lập tức mở một cuộc điều tra chính thức để xác định toàn bộ mức độ vi phạm.
Đến ngày 11/9, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) thuộc Bộ Công an, đã ra thông báo xác nhận rằng "có dấu hiệu hoạt động tấn công, xâm nhập của tội phạm mạng để đánh cắp dữ liệu cá nhân" tại CIC, trong đó số lượng dữ liệu bị chiếm đoạt trái phép đang được tiếp tục thống kê, làm rõ.
Đồng thời, VNCERT đưa ra cảnh báo nghiêm khắc đối với tất cả các cá nhân, tổ chức, kêu gọi họ không tải xuống, chia sẻ hoặc khai thác bất kỳ dữ liệu nào bị rò rỉ [có thể là ám chỉ các mẫu dữ liệu xem trước mà ShinyHunter đưa ra]. Các hành vi vi phạm sẽ bị xử lý theo quy định của pháp luật về bảo vệ dữ liệu và an ninh mạng của Việt Nam.
VNCERT cũng đề nghị các tổ chức tài chính, ngân hàng chủ động rà soát, áp dụng tiêu chuẩn TCVN 14423:2025 nhằm tăng cường an ninh hệ thống.
Để trấn an khách hàng, ngày 12/9, Ngân hàng Nhà nước Việt Nam (SBV) đã ra thông cáo cho biết phạm vi thu thập dữ liệu của CIC theo luật định "không bao gồm thông tin về tài khoản tiền gửi, số dư tiền gửi, sổ tiết kiệm, tài khoản thanh toán, số thẻ ghi nợ, số thẻ tín dụng, mã số bảo mật (CVV/CVC), lịch sử giao dịch thanh toán của khách hàng".
Nghĩa là, dữ liệu mà CIC lưu giữ chủ yếu liên quan đến thông tin định danh và các khoản vay, không bao gồm tài khoản thanh toán hay tiền gửi.
Thông tin về thanh toán và tiền gửi thường chỉ được lưu tại ngân hàng nơi khách hàng mở tài khoản và không phải báo cáo ra bên ngoài, nên hiện vẫn có thể coi là an toàn.
Nhiều ngân hàng cho biết các thông tin về dữ liệu đăng nhập hệ thống ngân hàng điện tử gồm: tên đăng nhập (username), mật khẩu đăng nhập (password), thông tin sinh trắc học cá nhân không được đưa vào hệ thống dữ liệu báo cáo CIC.
Ngân hàng Nhà nước cũng nói rằng hệ thống công nghệ thông tin của các tổ chức tín dụng hoạt động độc lập với CIC, và vẫn đang hoạt động liên tục, ổn định. Thông điệp này được nhiều ngân hàng lớn khẳng định lại sau sự cố.
Tính đến hết chiều ngày 17/9, chưa có cơ quan nào của Việt Nam - bao gồm cả CIC, SBV hoặc VNCERT - ra thông cáo chính thức về việc lọt lộ dữ liệu do cuộc tấn công của ShinyHunters.
Lỗ hổng an ninh
Đối với cuộc tấn công CIC, ShinyHunters tuyên bố đã khai thác một lỗ hổng "n-day", một lỗ hổng đã được biết đến nhưng chưa được vá, trong phần mềm đã hết vòng đời mà CIC đang sử dụng. Do phần mềm này không còn được hỗ trợ, không có bản vá bảo mật nào khả dụng, khiến hệ thống đặc biệt dễ bị tấn công.
Khác với nhiều vụ tấn công bằng mã độc tống tiền, ShinyHunters không tìm cách tống tiền CIC. Thay vào đó, nhóm tin tặc rao bán dữ liệu, kèm theo một mẫu dữ liệu lớn để chứng minh.
Ngày 13/9, công ty an ninh mạng Resecurity (Mỹ) đã thử truy cập vào những mẫu dữ liệu mà ShinyHunters đưa ra, trong đó có nhiều bản ghi chứa thông tin liên quan đến các tổ chức tài chính hàng đầu tại Việt Nam như VietCredit, MB Bank, Ocean Bank, VPBank, Sacombank, Agribank v.v
Thông qua các bản ghi mẫu, Resecurity đã xác định được một số nạn nhân và liên hệ để phỏng vấn.Công ty này cho biết, không ai trong số nạn nhân nhận được bất kỳ thông báo nào rằng dữ liệu của mình đã bị rò rỉ dưới bất kỳ hình thức nào.
Vai trò của CIC như một "kho dữ liệu tín dụng tập trung" đã khiến trung tâm này trở thành mục tiêu đặc biệt hấp dẫn với tin tặc, bởi chỉ cần tấn công vào đây thì tin tặc sẽ có ngay một điểm chạm để ảnh hưởng đến gần như toàn bộ dân số.
Nguy cơ này càng trở nên đáng lo hơn trong bối cảnh Việt Nam đang triển khai số hóa rộng khắp.
"Đồng ý là số hóa rất hiện đại và tiện lợi, nhưng điểm yếu nằm ở chỗ nguồn tài nguyên tối quan trọng của chúng ta là dữ liệu lại bị co cụm một chỗ. Nếu những kho dữ liệu có lỗ hổng - như trong trường hợp của CIC - thì kẻ thù chỉ cần ngồi nhà bấm phím, tập trung tấn công vào các cơ sở này là có thể gây thiệt hại vô cùng lớn", một luật sư người Việt giấu tên cho biết.
Hậu quả đến đâu?
Hậu quả trực tiếp với CIC và các ngân hàng chưa rõ ràng - các tổ chức này đều trấn an khách hàng rằng hệ thống của họ vẫn hoạt động bình thường, chưa có thiệt hại. Nhưng các thiệt hại có thể là vô hình và lâu dài đối với toàn xã hội.
Bản chất của lọt lộ dữ liệu có nghĩa là thông tin cá nhân sẽ không nhanh chóng bị mất giá trị, mà vẫn có thể bị kẻ xấu lợi dụng trong nhiều năm. Các dữ liệu như số CMND/CCCD hay ngày sinh thì cả đời không đổi; và hồ sơ vay nợ hay lịch sử tín dụng cũng khó xóa. Dù vụ rò rỉ xảy ra hôm nay, kẻ xấu 5–10 năm sau vẫn có thể khai thác để trục lợi.
Theo chuyên gia an ninh mạng, những sự cố như vậy có thể tạo ra những rủi ro nghiêm trọng như làm tăng các vụ lừa đảo đánh cắp danh tính (khi tội phạm lợi dụng thông tin nhận dạng và tài chính đã bị lộ để mạo danh nạn nhân hoặc truy cập trái phép vào tài khoản), gian lận tài chính (chẳng hạn sử dụng thông tin tín dụng để mở tài khoản mới hoặc vay tiền), nhắm mục tiêu vào các quan chức (thông qua việc khai thác các giấy chứng minh sĩ quan/quân nhân, giấy tờ do nhà nước cấp), và thậm chí cả gián điệp kinh doanh (nếu dữ liệu bị lộ bao gồm cả dữ liệu kinh doanh, báo cáo nợ của doanh nghiệp đi vay).
Các nhà phân tích cũng cảnh báo việc rò rỉ dữ liệu từ những kho lưu trữ tập trung như CIC đe dọa đến niềm tin chung vào các tổ chức tài chính, có thể khiến chi phí bảo mật tăng và làm giảm niềm tin vào hệ thống ngân hàng.
Làm gì để bảo vệ bản thân khỏi lừa đảo?
Sau vụ rò rỉ dữ liệu CIC, các cơ quan chức năng khuyến cáo người dân cẩn thận với người lạ. Cục Cảnh sát hình sự (Bộ Công an) một lần nữa nhắc lại những thủ đoạn mà tội phạm có thể sử dụng:
1/ Giả mạo, mạo danh các ngân hàng, CIC, tổ chức tín dụng... nhắn tin hoặc gửi email, tin nhắn qua mạng xã hội thông báo những thông tin giả, ví dụ như: "Tài khoản ngân hàng của bạn đã bị lộ thông tin, lộ mật khẩu là XXX. Đề nghị bạn cung cấp thông tin hoặc xác minh lại thông tin hoặc click vào đường link sau để đổi mật khẩu"; "Do sự cố tại CIC đề nghị quý khách hàng đăng nhập vào tài khoản theo đường link sau để thay đổi mật khẩu"; "Ngân hàng XXX: Giao dịch xxx00,000 VND tại POS. Nếu không phải bạn, vui lòng nhập mã hủy vào đường link sau", "Ngân hàng XXX: Tài khoản của bạn bị tạm khóa vì nghi vấn bất thường. Truy cập ngay đường link để xác thực thông tin."; "Ngân hàng XXX: Phát hiện đăng nhập khác địa điểm. Nếu không phải bạn, xác nhận tại đường link"... Các đường link này sẽ dẫn đến một trang web giả mạo hoặc chứa mã độc có khả năng đánh cắp thông tin đăng nhập, mật khẩu hoặc tải các ứng dụng giả mạo để chiếm quyền điều khiển thiết bị.
2. Giả mạo tổng đài các ngân hàng, tổ chức tín dụng, CIC... gọi điện thoại thông báo tài khoản không an toàn, phát hiện rủi ro đề nghị cung cấp thông tin, mã OTP để xác minh.
3. Giả mạo lực lượng Công an, nhất là lực lượng An ninh mạng và phòng, chống tội phạm công nghệ cao... gọi điện thoại thông báo tài khoản có giao dịch bất hợp pháp đề nghị cung cấp thông tin để xác minh hoặc đe dọa, thao túng tâm lý bị hại (như: nộp tiền để chứng minh vô tội; thực hiện "bắt cóc online"...).
4. Đưa ra thông tin giả mạo về việc có thể chỉnh sửa thông tin tín dụng trong hệ thống CIC, "xóa nợ xấu CIC" hoặc bán dữ liệu cá nhân liên quan đến sự kiện trên.
Theo Cục Cảnh sát hình sự, các đối tượng lừa đảo thường nhắm đến nhóm người lớn tuổi, trình độ về công nghệ còn hạn chế; nhóm học sinh, sinh viên ít kiến thức về đời sống, xã hội ; nhóm công nhân, người lao động tự do thường xuyên sử dụng các dịch vụ liên quan đến thẻ tín dụng, đi vay.
Mục đích của kẻ lừa đảo là nhằm khai thác, thu thập thêm thông tin cá nhân để xây dựng kịch bản lừa đảo tiếp theo; lừa đảo nạn nhân tự chuyển tiền; lừa nạn nhân tải ứng dụng độc hại để chiếm quyền điều khiển thiết bị, chiếm đoạt tiền trong tài khoản ngân hàng.
Để không trở thành nạn nhân của tội phạm lừa đảo, Cục Cảnh sát hình sự khuyến cáo người dân cần cập nhật thông tin; không cung cấp mật khẩu, mã OTP cho bất kỳ ai qua điện thoại, tin nhắn, email; không bấm vào bất kỳ đường link; không chuyển tiền cho bất kỳ ai nếu không quen biết; khi cần thay đổi thông tin liên quan đến tài khoản ngân hàng phải đến trực tiếp quầy giao dịch hoặc thông qua app chính thức (có trong Google Play hoặc Appstore), website chính thống của ngân hàng đó; đồng thời thường xuyên trao đổi, nhắc nhở với người lớn tuổi trong nhà.
Quang Duy (tổng hợp)