Sau khi Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) cảnh báo về dấu hiệu tấn công đánh cắp dữ liệu cá nhân tại Trung tâm Thông tin Tín dụng Việt Nam (CIC), Ngân hàng Nhà nước, cơ quan chủ quản của CIC, đã xác nhận thông tin này. Sự việc làm dấy lên lo ngại về an ninh thông tin và nguy cơ ảnh hưởng đến người dùng.
CIC, một tổ chức sự nghiệp công lập trực thuộc Ngân hàng Nhà nước từ năm 1999, đóng vai trò quan trọng trong việc hỗ trợ Ngân hàng Nhà nước quản lý lĩnh vực tiền tệ và hỗ trợ hoạt động kinh doanh cho các tổ chức tín dụng và khách hàng vay vốn.
Theo chuyên gia an ninh mạng Ngô Minh Hiếu, CIC như một “kho dữ liệu khổng lồ” về tín dụng khách hàng, trở thành mục tiêu hấp dẫn của tội phạm mạng. Mục đích của chúng có thể là bán dữ liệu thu lợi bất chính.
Vậy CIC thu thập những thông tin gì? Theo Thông tư 15 của Ngân hàng Nhà nước, các tổ chức tín dụng phải cung cấp 9 nhóm thông tin cho CIC, bao gồm thông tin định danh khách hàng, thông tin về người có liên quan, các hoạt động cấp tín dụng, thông tin thẻ tín dụng và báo cáo tài chính (đối với khách hàng doanh nghiệp). Các thông tin này được quy định chi tiết tại Quyết định 573 của Ngân hàng Nhà nước.
Ví dụ, với thông tin định danh khách hàng cá nhân, các tổ chức tín dụng bắt buộc phải cung cấp tên, ngày sinh, địa chỉ, số điện thoại, CCCD, mã số thuế và thông tin vợ/chồng. Thậm chí, thông tin về nơi làm việc, chức vụ, số năm kinh nghiệm và thu nhập bình quân hàng tháng cũng là yêu cầu bắt buộc.
Ngoài ra, CIC còn thu thập thông tin về hợp đồng tín dụng (số hợp đồng, ngày bắt đầu và kết thúc, hạn mức, trạng thái tài sản đảm bảo) và thông tin về biện pháp bảo đảm cấp tín dụng (mô tả tài sản đảm bảo, chủ sở hữu, ngày định giá, giá trị bảo đảm). Đối với thẻ tín dụng, CIC thu thập 21 trường dữ liệu bắt buộc như số hợp đồng, hạn mức, mã thẻ, loại thẻ, phương thức phát hành, ngày mở thẻ, ngày hết hạn, ngày sao kê, dư nợ thẻ, số tiền phải thanh toán, số tiền quá hạn và nhóm nợ.
Ngân hàng Nhà nước khẳng định thông tin CIC thu thập không bao gồm tài khoản tiền gửi, số dư, sổ tiết kiệm, tài khoản thanh toán, số thẻ ghi nợ, số thẻ tín dụng, mã số bảo mật (CVV/CVC) hay lịch sử giao dịch. Các ngân hàng lớn như Vietcombank, Agribank, Vietinbank, BIDV cũng đã lên tiếng xác nhận điều này.
PGS.TS Nguyễn Quốc Anh từ Đại học Kinh tế TP.HCM nhấn mạnh thông tin chi tiết về tiền gửi của khách hàng được bảo mật nghiêm ngặt và chỉ ngân hàng mở tài khoản nắm giữ. Thông tin này chỉ được tiết lộ khi có yêu cầu từ khách hàng hoặc cơ quan điều tra. Ông khẳng định, nếu dữ liệu CIC bị rò rỉ, tiền gửi của khách hàng vẫn an toàn. Các ngân hàng cũng cho biết hệ thống của họ và CIC hoạt động độc lập, do đó sự cố không ảnh hưởng đến dịch vụ thẻ hay ngân hàng điện tử.
Tuy nhiên, PGS.TS Nguyễn Quốc Anh nhận định sự cố có thể gây tác động tiêu cực đến tổ chức tín dụng, khách hàng tổ chức và cá nhân. Sự hoang mang có thể khiến người dùng khóa tài khoản, giảm hạn mức tín dụng, ảnh hưởng đến giao dịch và thu nhập của ngân hàng. Với khách hàng tổ chức, thông tin rò rỉ có thể bị lợi dụng để cạnh tranh không lành mạnh.
Khách hàng cá nhân được xem là nhóm dễ bị tổn thương nhất. Họ có thể bị bêu xấu, đe dọa bởi các nhóm tín dụng đen hoặc bị dụ dỗ vay “nóng”. Chuyên gia Ngô Minh Hiếu cảnh báo tội phạm có thể nhắm vào người lớn tuổi, trẻ vị thành niên, sinh viên, công nhân do họ ít kinh nghiệm và dễ tin vào các lời mời hấp dẫn.
Trước tình hình này, ông Hiếu khuyến cáo người dân không truy cập vào các đường link lạ trong tin nhắn hoặc email, cảnh giác với các cuộc gọi và tin nhắn giả mạo, không tin vào quảng cáo “xóa nợ CIC” hoặc “vay nhanh lãi suất 0%”, không cung cấp OTP hay chuyển tiền vào tài khoản lạ.
VNCERT cho biết đang tiếp tục thống kê và làm rõ số lượng dữ liệu bị đánh cắp trong vụ tấn công này. Sự việc là lời cảnh tỉnh về tầm quan trọng của an ninh mạng và bảo vệ dữ liệu cá nhân trong bối cảnh số hóa ngày càng sâu rộng.
Admin
Nguồn: VnExpress
