Thông tin đăng tải trên diễn đàn Raidforums

Diễn đàn Raidforums là nơi các hacker thường đăng tải thông tin cá nhân, dữ liệu khách hàng với mục đích rao bán. Tuy nhiên, thông tin của 2 triệu khách hàng này lại đang được đăng tải miễn phí, công khai cho mọi người dùng.

Liturmlime là tài khoản nặc danh mới được khởi tạo từ tháng 10/2019. Các dữ liệu vừa được rò rỉ kể trên là bài đăng duy nhất của tài khoản này. Đáng lưu ý, Liturmlime còn cho biết, hiện đang nắm giữ thông tin khách hàng của nhiều ngân hàng khác nữa và sẽ tiếp tục tải lên những dữ liệu có được trong thời gian tới.

Qua phân tích dữ liệu, các thông tin của khách hàng bị rò rỉ bao gồm: họ tên, số chứng minh thư, nghề nghiệp, email, số điện thoại, địa chỉ nơi ở, ngày tháng năm sinh, giới tính,….

Thông tin của khách hàng ngân hàng bị rò rỉ

Ông Giang Anh Tuấn, Trưởng nhóm Red Team, Công ty cổ phần an ninh mạng Việt Nam (VSEC) cho biết, VSEC đã nắm được thông tin về việc rò rỉ dữ liệu từ cuối tháng 10/2019. Tuy nhiên, khả năng những thông tin này đã bị rò rỉ từ rất lâu và mới được công khai rộng rãi.

Đây là một vụ việc hết sức nghiêm trọng, không chỉ ảnh hưởng đến uy tín của ngân hàng mà còn gây ảnh hưởng lớn đến các khách hàng. Các thông tin bị rò rỉ có khả năng bị lợi dụng để thực hiện những hành vi lừa đảo, thậm chí các hacker có kỹ thuật tốt có thể sử dụng nguồn dữ liệu này để tạo ra các danh sách mật khẩu (wordlist) giúp cho việc thực hiện tấn công dò quét (brute force).

Sự việc này không phải là lần đầu các thông tin nhạy cảm của khách hàng trong lĩnh vực tài chính – ngân hàng bị rò rỉ, điều này minh chứng cho vấn đề bảo mật dữ liệu ở các tổ chức tài chính – ngân hàng ở Việt Nam chưa được chú trọng đúng mức, các tổ chức cần gia tăng nguồn lực đầu tư cho bảo mật, an toàn thông tin.

Đối với người dùng khi tham gia sử dụng các dịch vụ tài chính ngân hàng hay bất cứ dịch vụ nào khác, VSEC khuyến nghị cần thực hiện những biện pháp sau để tự bảo vệ bản thân: Luôn luôn sử dụng chức năng xác thực nhiều lớp và tính năng bảo mật khác của nhà cung cấp dich vụ; Không sử dụng mật khẩu có liên quan đến thông tin cá nhân (ngày sinh, số điện thoại, nơi sinh…); Không cung cấp bất kỳ thông tin liên quan đến tài khoản, mật khẩu cho người khác khi được hỏi kể cả nhân viên ngân hàng và luôn luôn cảnh giác với các email, tin nhắn lạ, các đường link yêu cầu xác thực để truy cập.

Về phía MSB, sáng 22/11/2019, đại diện truyền thông của ngân hàng cho hay, hiện chưa xác thực được đây có thực sự là thông tin từ MSB hay không bởi những thông tin trên hoàn toàn không chứa các thông tin liên quan đến giao dịch ngân hàng. Ngân hàng đang phối hợp với các cơ quan chức năng và chuyên gia an ninh mạng để kiểm tra và đánh giá về vụ việc.

Phía truyền thông của MSB cũng nhấn mạnh, an toàn thông tin là một trong các lĩnh vực luôn được MSB quan tâm và chú trọng đầu tư nhằm đảm bảo an toàn cho các dịch vụ của MSB cung cấp đến khách hàng. Tất cả các dịch vụ của MSB đều tuân thủ theo các tiêu chuẩn bảo mật của Ngân hàng Nhà Nước như TT18, TT47, TT13… Đồng thời, MSB cũng đang trong quá trình triển khai để đáp ứng các tiêu chuẩn về PCI DSS, ISO 27001/2, ISO 2000.

Hiện nay, tại Việt Nam, việc bảo mật thông tin khách hàng của tổ chức tín dụng được quy định tại Nghị định 117/2018 của Chính phủ. Theo đó, về nguyên tắc giữ bí mật, cung cấp thông tin khách hàng, Nghị định nêu rõ: Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài phải được giữ bí mật và chỉ được cung cấp theo quy định của Luật các tổ chức tín dụng năm 2010, sửa đổi, bổ sung năm 2017, Nghị định này và pháp luật có liên quan.

Tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không được cung cấp thông tin xác thực khách hàng khi truy cập các dịch vụ ngân hàng bao gồm mã khóa bí mật, dữ liệu sinh trắc học, mật khẩu truy cập của khách hàng, thông tin xác thực khách hàng khác cho bất kỳ cơ quan, tổ chức, cá nhân nào, trừ trường hợp được sự chấp thuận của khách hàng đó bằng văn bản hoặc bằng hình thức khác theo thỏa thuận với khách hàng đó.

Tính đến thời điểm hiện tại, vẫn chưa có thông tin gì nhiều về nguồn gốc của dữ liệu bị rò rì, cũng như độ chính xác. Tuy nhiên, bài viết tại Raidforums đã có khoảng 18.000 lượt xem, thu hút sự chú ý của cộng đồng công nghệ thông tin, an toàn thông tin. 

Trước đó, năm 2018, cũng trên diễn đàn này, dữ liệu được cho là của 5 triệu khách hàng Thế giới di động đã bị đăng tải lên, bao gồm các thông tin email, lịch sử giao dịch, thông tin thẻ thanh toán như visa, thẻ tín dụng,…