Các trang mạng Việt Nam đang xôn xao về một vụ rò rỉ dữ liệu nghiêm trọng liên quan đến Trung tâm Thông tin tín dụng Quốc gia Việt Nam (CIC). Tin tặc tự xưng là ShinyHunters tuyên bố đã đánh cắp thông tin của hàng chục triệu người dùng từ hệ thống CIC. Đây được xem là một trong những vụ tấn công dữ liệu lớn nhất từng xảy ra ở Việt Nam. Vậy CIC là ai, ShinyHunters là gì, và chúng ta cần hành động như thế nào để bảo vệ mình?
CIC là ai?
CIC là viết tắt của Trung tâm Thông tin tín dụng Quốc gia Việt Nam, là một đơn vị trực thuộc Ngân hàng Nhà nước Việt Nam. Theo thông tin từ CIC, tổ chức này có nhiệm vụ thu thập, lưu trữ và xử lý dữ liệu tín dụng cá nhân và doanh nghiệp nhằm hỗ trợ các tổ chức tín dụng (ngân hàng, công ty tài chính...) ra quyết định cho vay một cách chính xác, minh bạch và hạn chế rủi ro nợ xấu. (Techcombank)
CIC chỉ quản lý dữ liệu tín dụng, không phải mọi giao dịch ngân hàng. Có nghĩa là nếu bạn từng vay vốn, mở thẻ tín dụng, hoặc trả góp thì thông tin của bạn sẽ được ngân hàng gửi lên CIC.
Nói đơn giản, mỗi khi bạn đi vay ngân hàng, dù là vay mua nhà, mua xe hay mở thẻ tín dụng, hồ sơ vay và lịch sử thanh toán của bạn đều được ngân hàng gửi về CIC. Việc này không tự phát mà nằm trong quy định quản lý nhà nước về hoạt động tín dụng. Các tổ chức tín dụng như ngân hàng, công ty tài chính, và các tổ chức cho vay tại Việt Nam đều phải tham gia chia sẻ dữ liệu với CIC, và đổi lại, họ cũng có quyền truy cập dữ liệu đó để đánh giá khách hàng. Kể cả khi bạn chưa có hợp đồng vay vốn với ngân hàng, thì CIC vẫn có thông tin của bạn khi bạn mở thẻ tín dụng
Ví dụ, khi bạn muốn vay mua nhà, ngân hàng sẽ truy cập CIC để xem bạn từng vay ở đâu chưa, trả có đúng hạn không, nợ xấu hay không. Nếu điểm tín dụng tốt, khoản vay của bạn có thể được xét duyệt nhanh hơn với lãi suất ưu đãi hơn. Ngược lại, nếu có lịch sử trả nợ kém, bạn có thể bị từ chối cho vay hoặc phải chịu điều kiện khắt khe hơn. CIC không cho vay tiền, nhưng dữ liệu của CIC có thể ảnh hưởng trực tiếp đến việc bạn có được vay hay không.
ShinyHunters là gì?
ShinyHunters là một nhóm hacker khét tiếng đã hoạt động từ năm 2020, chuyên tấn công vào các hệ thống dữ liệu lớn để đánh cắp thông tin cá nhân và sau đó rao bán trên các chợ đen mạng. Nhóm này từng bị nghi ngờ đứng sau nhiều vụ rò rỉ dữ liệu lớn tại Mỹ, Ấn Độ, Indonesia, Pakistan... (Tiền Phong)
Nhóm tin tặc ShinyHunters cho biết đã xâm nhập thành công vào hệ thống của CIC và sao chép hơn 160 triệu hồ sơ dữ liệu. Con số cụ thể vẫn đang được các cơ quan chức năng kiểm tra và làm rõ. Những dữ liệu bị đánh cắp được cho là chứa thông tin cá nhân gắn liền với hoạt động tài chính của người dân. Thay vì tống tiền, nhóm hacker đã rao bán dữ liệu công khai trên các chợ đen quốc tế. (BBC News Tiếng Việt)
Những ai đang xử lý vụ việc này?
Ngay sau khi có thông tin rò rỉ, theo Cổng Thông tin Chính phủ, Cục An ninh mạng và phòng, chống tội phạm công nghệ cao (A05, Bộ Công an) đã chỉ đạo Trung tâm VNCERT (thuộc Bộ Thông tin và Truyền thông) chủ trì, phối hợp cùng các đơn vị an ninh mạng hàng đầu như:
- Viettel, VNPT, NCS (National Cyber Security),
- Cùng Ngân hàng Nhà nước, CIC,
- và các đơn vị kỹ thuật nghiệp vụ khác,
… để xác minh, khoanh vùng và xử lý sự cố. VNCERT là cơ quan điều phối ứng cứu sự cố an toàn thông tin quốc gia, đóng vai trò “đầu não” trong các vụ việc tấn công mạng diện rộng như thế này.
Dữ liệu bị rò rỉ, chúng ta đổi mật khẩu?
Rất nhiều người đã hoảng loạn, lo sợ tài khoản ngân hàng, thẻ tín dụng bị xâm nhập. Tuy nhiên, chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC) khẳng định: "Ngân hàng không gửi các dữ liệu nhạy cảm như số thẻ, ngày hết hạn, mã CVV/CVC, OTP hay mật khẩu lên CIC. Giao dịch và thông tin thẻ tín dụng của khách hàng không bị ảnh hưởng."
Ngoài ra, các loại dữ liệu sau cũng không có trong hệ thống CIC gồm: Thông tin đăng nhập ngân hàng điện tử (username, password, sinh trắc học), mật khẩu OTP.
Đại diện Hiệp hội An ninh mạng quốc gia, ông Vũ Ngọc Sơn trấn an: "Hệ thống ngân hàng và tín dụng Việt Nam vẫn đang an toàn, được bảo vệ chặt chẽ. Người dùng không cần vội vã đổi thẻ, đổi mã OTP hay ngưng giao dịch."
Vậy chúng ta nên làm gì lúc này?
Trong lúc chờ các cơ quan chức năng tiếp tục xác minh và xử lý, bạn không nên hoảng loạn hay hành động nóng vội. Dưới đây là những điều bạn có thể làm:
1. Chọn lọc thông tin:
Hãy đọc tin từ các nguồn chính thống, không chia sẻ hay tin vào các tin nhắn đồn đoán, giật gân trên mạng xã hội.
2. Cẩn thận với tin nhắn, cuộc gọi lạ:
Nếu bạn nhận được cuộc gọi hay tin nhắn từ số lạ xưng là công an, ngân hàng,…, yêu cầu xác nhận thông tin cá nhân hoặc hướng dẫn chuyển tiền, hãy cực kỳ cảnh giác. Đừng làm theo. Hãy liên hệ trực tiếp với ngân hàng để xác minh.
3. Đừng tải tệp tin lạ:
VNCERT khuyến cáo người dùng không nên tải các tệp dữ liệu bị rò rỉ “vì tò mò”, vì rất có thể các file này chứa mã độc, virus hoặc phần mềm đánh cắp dữ liệu.
4. Không tự ý tra cứu dữ liệu:
Thông tin tín dụng chỉ được cung cấp khi có sự đồng ý của chính bạn hoặc theo yêu cầu hợp pháp của các tổ chức tài chính. Nếu cố ý truy cập hoặc khai thác trái phép dữ liệu rò rỉ, bạn có thể vi phạm bảo mật thông tin, vi phạm pháp luật.
Giữa dòng thông tin hỗn loạn, điều quan trọng nhất là giữ tỉnh táo, không hoang mang, không hành động hấp tấp. Mỗi người chúng ta cần trở thành một "tấm lọc thông tin”, biết chọn nguồn đáng tin, cẩn trọng với các tương tác bất thường, và chủ động bảo vệ quyền riêng tư của chính mình.