Trong hơn 2 năm gần đây, việc rao bán thông tin cá nhân hay cho tải miễn phí từ đường link Google tài liệu đăng tải trên mạng, diễn ra tràn lan, một cách công khai, bất chấp pháp luật đã cấm.
Cấu kết mua bán trái phép tài khoản ngân hàng
Mới đây nhất, ngày 19/6/2023, Công an TP Đà Nẵng đã khởi tố vụ án hình sự liên quan đến việc thu thập, tàng trữ, trao đổi, mua bán trái phép thông tin tài khoản ngân hàng của nhiều người.
Các đối tượng khai nhận từ tháng 10/2022 đã tham gia nhóm Facebook mang tên "Tài khoản NH A.T.M". Trong nhóm này, có nhiều tài khoản chuyên đăng những bài viết về việc trao đổi, mua bán thông tin tài khoản ngân hàng của người khác, để thu lợi.
Nhận thấy công việc này dễ thực hiện và dễ thu lợi, nên các đối tượng trên đã sử dụng tài khoản Facebook, Zalo, Telegram của mình và bạn gái để đăng quảng cáo nhận làm dịch vụ tra soát thông tin tài khoản ngân hàng của người khác và có thu phí.
Khi có khách liên hệ mua thông tin tài khoản ngân hàng (gồm thông tin chủ tài khoản, số CCCD hoặc CMND, địa chỉ, số điện thoại, internet banking...) của người khác, các đối tượng liên hệ với các đầu mối trên mạng và với nhân viên các ngân hàng trên cả nước để tra soát, thu thập, mua thông tin, rồi bán lại cho khách hàng liên hệ qua mạng xã hội với giá cao hơn, để thu lợi hàng trăm triệu đồng.
Trao đổi với VietTimes, luật sư Nguyễn Anh Tuấn - Giám đốc Công ty Luật TNHH ATG - cho rằng, các đối tượng mua bán dữ liệu tài khoản ngân hàng này có thể bị chịu mức phạt tù lên đến 7 năm, hoặc bị áp dụng mức phạt tiền 500 triệu đồng.
Hai vụ việc mua bán dữ liệu gây sốt ở Phú Thọ
Tháng 11/2022, Công an tỉnh Phú Thọ công bố kết quả triệt phá đồng thời 2 đường dây thu thập, mua bán trái phép thông tin cá nhân với số lượng lớn, để thu lời bất chính.
Trong đó, nhóm đối tượng thứ nhất quản trị một nhóm kín (group) trên mạng xã hội Facebook có tên “Data khách hàng tiềm năng” để trao đổi, mua bán dữ liệu thông tin cá nhân, gồm: Số điện thoại, họ tên, ngày tháng năm sinh, địa chỉ, thư điện tử (email)...
Công an xác định các đối tượng này đã xây dựng phần mềm có khả năng ghi nhận, thu thập các thông tin cá nhân người khác trên tài khoản Facebook, Zalo, Google... và lưu trữ vào máy tính hoạt động như một máy chủ ảo, cho phép truy cập từ xa.
Sau đó, các đối tượng tạo tài khoản đăng nhập và mật khẩu cho truy cập, tra cứu, trích xuất dữ liệu và bán cho khách hàng có nhu cầu.
Từ tháng 3 đến tháng 5/2022, các đối tượng đã thu thập thông tin của hơn 2,3 triệu cá nhân, trong đó có nhiều dữ liệu liên quan đến bí mật cá nhân, như nghề nghiệp, tiền sử bệnh lý, số điện thoại, email,... và bán nhiều lần, thu lời bất chính khoảng 600 triệu đồng và chia nhau theo tỷ lệ 50/50.
Nhóm đối tượng thứ hai hoạt động thu thập, mua bán dữ liệu thông tin cá nhân, gồm: Số điện thoại, vị trí địa chỉ truy cập... của người sử dụng mạng 3G, 4G truy cập vào địa chỉ website bất kỳ, theo nhu cầu đặt hàng của khách hàng.
Các đối tượng sử dụng đã dùng phần mềm có khả năng ghi nhận, thu thập các thông tin cá nhân người khác trên tài khoản facebook, google, điện thoại di động... rồi sử dụng mạng xã hội để quảng bá, lôi kéo các tài khoản mới tham gia nhóm kín và thỏa thuận mua bán các thông tin cá nhân.
Công an xác định nhóm này có hơn 10.000 thành viên tham gia, từ tháng 3/2021 đến tháng 8/2022, nhóm này đã thu thập và bán hơn 400.000 dữ liệu thông tin cá nhân, hưởng lợi hơn 1 tỉ đồng.
Công an tỉnh Phú Thọ xác định có khoảng 900 khách hàng đã mua dữ liệu từ 2 ổ nhóm kể trên.
30 triệu bản ghi CSDL học sinh sinh viên, giáo viên Việt Nam giá 3.500 USD
Cũng vào giữa năm 2022, như VietTimes đã thông tin, trên diễn đàn tin tặc Br***, tin tặc "meli0das" hiện đang rao bán khoảng 30 triệu bản ghi dữ liệu giáo viên và học sinh Việt Nam với giá 3.500 USD…
Dữ liệu được rao bán bởi người dùng có tên tài khoản là meli0das, cơ sở dữ liệu này chứa thông tin cá nhân rất lớn, gần 1/3 dân số Việt Nam, bao gồm các trường thông tin cơ bản về người dùng như email, số điện thoại, họ tên đầy đủ, ngày sinh, lớp học, trường học, quận/huyện, tỉnh/thành phố, ngày khởi tạo,… Ngay cả thông tin của các giáo viên cũng nằm trong cơ sở dữ liệu bị rao bán này.
Chia sẻ trên diễn đàn, meli0das tiết lộ nguồn dữ liệu này được lấy từ một website trường học phổ biến ở Việt Nam, và thời điểm xâm nhập là vào tháng 7/2022. Bộ dữ liệu này được rao bán với giá 3.500 USD (gần 82 triệu đồng) và trao đổi qua đồng tiền số token XMR có tính ẩn danh cao.
Trước tình hình này, Bộ Giáo dục và Đào tạo đã phát đi thông tin lưu ý các tổ chức cung cấp các dịch vụ ứng dụng công nghệ thông tin cho ngành giáo dục như: Hệ thống học trực tuyến, hệ thống thi trực tuyến, hệ thống quản lý trực tuyến chủ động rà quét, kiểm tra và khắc phục các lỗ hổng về bảo mật (nếu có), để đảm bảo an toàn cho các hệ thống dịch vụ.
Đường dây mua bán tới 1.300 GB dữ liệu chứa hàng tỉ thông tin cá nhân
Tháng 5/2021, đường dây mua bán tới 1.300 GB dữ liệu chứa hàng tỉ thông tin cá nhân do vợ chồng Lại Thị Phương - Giám đốc Công ty VNIT TECH và Dư Anh Quý cầm đầu đã bị triệt phá. Bộ Công an nhận định đây là đường dây mua bán trái phép dữ liệu thông tin cá nhân cực lớn liên quan đến nhiều địa phương.
Theo cáo trạng, Quý là nhân viên hợp đồng làm lập trình viên phòng giải pháp quản lý kinh doanh điện (nay là Trung tâm phát triển phần mềm) của Công ty Viễn thông điện lực và công nghệ thông tin thuộc Tập đoàn Điện lực Việt Nam – EVN. Quá trình làm việc tại đây, Quý được tiếp cận cơ sở dữ liệu chứa thông tin cá nhân khách hàng của công ty điện lực các địa phương.
Các đối tượng biết một số người có nhu cầu mua dữ liệu thông tin khách hàng của EVN, nên đã lén lút sao chép dữ liệu thông tin cá nhân được đăng ký trong hệ thống dữ liệu của EVN mang về lưu giữ tại ổ cứng di động cá nhân.
Để tổ chức việc bán dữ liệu, Quý lập website datavang.com, đăng tải các nội dung như “data 63 tỉnh thành quận, huyện”, “ danh sách khách hàng làng nghề gỗ ở Từ Sơn”, “update danh sách khách hàng chung cư quận Hoàng Mai”, “cập nhập danh sách khách hàng doanh nghiệp 63 tỉnh, thành”,...
Khi khách hàng có nhu cầu mua thông tin dữ liệu thì Quý trao đổi, thỏa thuận mua các gói dữ liệu gồm họ tên, số điện thoại, địa chỉ của khách hàng, giá giao dịch từ 200 đồng đến 1.000 đồng cho mỗi thông tin giao dịch.
Theo kết quả điều tra, từ ngày 13/12/2018 đến ngày 24/11/2018, vợ chồng Quý đã bán dữ liệu cho hơn 100 khách hàng, thu lợi bất chính hơn 279,2 triệu đồng.
Tình trạng lộ dữ liệu cá nhân diễn ra phổ biến
Ngoài các vụ án kể trên, còn nhiều vụ việc điển hình như việc Công ty VNG để lộ hơn 163 triệu tài khoản Zing ID; Công ty Thế giới di động và Điện máy xanh để lộ hơn 5 triệu email và hàng nghìn thông tin thẻ thanh toán như Visa, thẻ tín dụng của khách hàng; tin tặc đã tấn công vào hệ thống máy chủ của Việt Nam Airlines, đăng tải lên Internet 411.000 tài khoản khách hàng thành viên của chương trình Bông Sen Vàng; tình trạng làm lộ thông tin khách hàng để các công ty môi giới dịch vụ taxi của Việt Nam sử dụng mời chào khách hàng qua tin nhắn SMS;....
Mặc dù đã có quy định về bảo vệ dữ liệu cá nhân, tình trạng mua bán dữ liệu cá nhân hiện vẫn diễn ra phổ biến, công khai, với các dữ liệu thô, như danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế; khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; trường học; thông tin hộ khẩu; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ôtô, xe máy...
Cùng với đó là dữ liệu cá nhân đã qua xử lý, gồm thông tin chi tiết về các cá nhân, tổ chức, doanh nghiệp, như họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, số tài khoản ngân hàng, bao gồm cả số dư, thân nhân, chức vụ, vị trí công tác…
Tại một phiên họp của Uỷ ban Thường vụ Quốc hội, Đại tướng Tô Lâm - Bộ trưởng Bộ Công an - đã nhấn mạnh rằng, tình trạng lộ dữ liệu cá nhân diễn ra phổ biến trên không gian mạng, trong khi người sử dụng chưa có ý thức bảo vệ dữ liệu cá nhân, đăng tải công khai hoặc làm lộ trong quá trình chuyển giao, lưu trữ, trao đổi phục vụ hoạt động kinh doanh, hoặc do biện pháp bảo vệ không tương xứng dẫn tới bị chiếm đoạt và đăng tải công khai.
Nghị định về Bảo vệ dữ liệu cá nhân có hiệu lực từ 1/7, nghiêm cấm việc mua, bán dữ liệu này dưới mọi hình thức.
Nghị định quy định rõ về dữ liệu cá nhân nhạy cảm và việc chủ thể dữ liệu phải được biết về việc xử lý thông tin liên quan đến họ. Các tổ chức, cá nhân vi phạm quy định bảo vệ dữ liệu cá nhân có thể bị kỷ luật, phạt hành chính hoặc hình sự.
Việc xử lý dữ liệu cá nhân của khách hàng để kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo phải được sự đồng ý của khách hàng, trên cơ sở khách hàng biết rõ nội dung, phương thức, hình thức, tần suất giới thiệu sản phẩm.
Tổ chức, cá nhân kinh doanh dịch vụ tiếp thị, giới thiệu sản phẩm quảng cáo có trách nhiệm chứng minh việc sử dụng dữ liệu cá nhân của khách hàng được giới thiệu sản phẩm đúng với quy định trên.
Chính phủ cũng quy định 5 trường hợp sẽ được thu thập thông tin cá nhân mà không cần xin phép đó là (1) trong tình huống khẩn cấp, cần xử lý để bảo vệ tính mạng, sức khỏe của chủ thể hoặc người khác; (2) công khai dữ liệu cá nhân theo quy định của luật; (3) xử lý dữ liệu của cơ quan nhà nước có thẩm quyền trong tình trạng khẩn cấp về quốc phòng, an ninh, thảm họa lớn, dịch bệnh nguy hiểm; (4) để thực hiện nghĩa vụ theo hợp đồng của chủ thể dữ liệu với cơ quan, tổ chức, cá nhân có liên quan theo quy định của luật; và (5) phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành. phục vụ hoạt động của cơ quan nhà nước đã được quy định theo luật chuyên ngành./.
