Rò rỉ dữ liệu Almerys: Hàng chục triệu hồ sơ bảo hiểm y tế Pháp bị rao bán

[Kaya]

Một vụ rò rỉ dữ liệu mới liên quan đến hệ sinh thái bảo hiểm y tế tại Pháp đang gây lo ngại trong giới an ninh mạng sau khi một đối tượng trên diễn đàn hacker tuyên bố sở hữu hơn 44 triệu bản ghi cá nhân liên quan đến nền tảng thanh toán y tế Almerys.​

Theo thông tin được công bố ngày 22/5/2026, dữ liệu bị rao bán được cho là chứa hơn 15 triệu số an sinh xã hội của công dân Pháp cùng nhiều trường dữ liệu nhạy cảm khác liên quan đến bảo hiểm y tế và hệ thống thanh toán bên thứ ba.​

Almerys là ai và vì sao vụ việc đáng lo ngại?​

Almerys không phải bệnh viện hay công ty bảo hiểm truyền thống. Đây là nhà cung cấp dịch vụ thanh toán bên thứ ba trong hệ thống bảo hiểm y tế Pháp, đóng vai trò kết nối giữa các tổ chức bảo hiểm bổ sung, đơn vị cung cấp dịch vụ y tế và người tham gia bảo hiểm.

Nền tảng này xử lý nhiều loại dữ liệu liên quan đến quyền lợi bảo hiểm và hợp đồng thanh toán y tế, bao gồm:​

• Họ tên người thụ hưởng​
• Ngày sinh​
• Số an sinh xã hội​
• Số hợp đồng bảo hiểm​
• Tên tổ chức bảo hiểm bổ sung​
• Thời gian hiệu lực hợp đồng​

Dù không trực tiếp lưu trữ toàn bộ hồ sơ bệnh án, Almerys vẫn nắm giữ lượng lớn dữ liệu định danh có giá trị cao đối với tội phạm mạng.

Các chuyên gia cho rằng chính vị trí trung gian trong chuỗi trao đổi dữ liệu y tế khiến những nền tảng như Almerys trở thành mục tiêu hấp dẫn. Chỉ cần một điểm trung chuyển bị xâm nhập, dữ liệu của hàng chục triệu người có thể bị ảnh hưởng.​

Dữ liệu rò rỉ mang nhiều dấu hiệu của hệ thống thật​

Theo phân tích từ các mẫu dữ liệu được đăng tải trên diễn đàn ngầm, nhiều trường thông tin có cấu trúc khớp với hệ sinh thái bảo hiểm y tế tại Pháp.

Các trường xuất hiện trong dữ liệu gồm:​

• numInsee​
• nomBenef​
• dateNaissance​
• numContrat​
• nomOrgComplementaire​
• dateDebut​
• dateFin​

Đáng chú ý, trường numInsee chứa chuỗi 13 chữ số tương ứng với phần chính của số an sinh xã hội Pháp. Dữ liệu mẫu còn xuất hiện tên của hàng loạt tổ chức bảo hiểm và bảo hiểm bổ sung quen thuộc như ALAN, APRIL Santé Prévoyance, AG2RLM Viasanté hay VIVINTER.

Ngoài ra, nhiều bản ghi cho thấy các mốc thời gian hợp đồng có quy luật rõ ràng, chẳng hạn ngày bắt đầu thường rơi vào đầu tháng và ngày kết thúc vào cuối tháng. Một số hợp đồng còn có thời hạn “31/12/9999”, vốn thường được dùng trong hệ thống nghiệp vụ để biểu thị trạng thái hiệu lực dài hạn.

Những đặc điểm này khiến giới nghiên cứu nhận định dữ liệu có dấu hiệu xuất phát từ hệ thống thực tế thay vì được tạo ngẫu nhiên.​

Tuy nhiên vẫn tồn tại nhiều dấu hiệu bất thường​

Dù vậy, các chuyên gia cũng phát hiện nhiều điểm bất thường trong tập dữ liệu mẫu. Một số bản ghi có ngày kết thúc hợp đồng sớm hơn ngày bắt đầu. Một số trường số an sinh xã hội không khớp với ngày sinh của người dùng. Ngoài ra còn tồn tại các mã định danh có cấu trúc không hợp lệ hoặc mang dấu hiệu dữ liệu thử nghiệm.

Điều này cho thấy tập dữ liệu có thể là sự pha trộn giữa:​

• Dữ liệu thật​
• Dữ liệu lịch sử​
• Dữ liệu lỗi​
• Dữ liệu đã được ẩn danh một phần​
• Hoặc thậm chí dữ liệu giả được thêm vào nhằm tăng giá trị thương mại​

Các chuyên gia nhận định hiện chưa đủ cơ sở để xác nhận toàn bộ 44 triệu bản ghi thực sự đến từ hệ thống sản xuất mới nhất của Almerys. Không loại trừ khả năng dữ liệu từng bị rò rỉ trong các sự cố trước đây, sau đó được tổng hợp và đóng gói lại để rao bán dưới tên Almerys nhằm thu hút người mua trên chợ đen.​

Nguy cơ không nằm ở hồ sơ bệnh án mà ở đánh cắp danh tính​

Dù chưa ghi nhận thông tin thẻ ngân hàng hay bệnh án chi tiết bị lộ, giới chuyên gia cảnh báo rằng các trường dữ liệu hiện có vẫn cực kỳ nguy hiểm. Việc kết hợp họ tên, ngày sinh, số an sinh xã hội, thông tin hợp đồng và tổ chức bảo hiểm có thể giúp kẻ tấn công thực hiện các chiến dịch lừa đảo với độ tin cậy rất cao.
​

Tin tặc có thể giả mạo:​

• Cơ quan bảo hiểm y tế​
• Nhà cung cấp bảo hiểm bổ sung​
• Đơn vị thanh toán y tế​
• Bộ phận xác minh quyền lợi bảo hiểm​

Từ đó yêu cầu nạn nhân cập nhật hợp đồng, xác thực thông tin cá nhân hoặc gửi thêm giấy tờ xác minh. Khác với các hình thức spam thông thường, những cuộc tấn công sử dụng dữ liệu thật thường khiến nạn nhân dễ mất cảnh giác hơn nhiều.​

Dữ liệu định danh bị lộ gần như không thể thay đổi​

Các chuyên gia cũng lưu ý rằng số an sinh xã hội và thông tin ngày sinh là những dữ liệu định danh lâu dài, không thể thay đổi dễ dàng như mật khẩu. Một khi dữ liệu này xuất hiện trên thị trường ngầm, chúng có thể bị mua bán nhiều lần và kết hợp với các kho dữ liệu rò rỉ khác như:​

• Số điện thoại​
• Địa chỉ email​
• Địa chỉ nhà​
• Thông tin tài khoản trực tuyến​

Việc tổng hợp nhiều nguồn dữ liệu giúp tội phạm mạng xây dựng hồ sơ cá nhân cực kỳ chi tiết phục vụ cho lừa đảo tài chính, giả mạo danh tính hoặc tấn công xã hội trong thời gian dài.​

Lộ rõ rủi ro hệ thống trong ngành bảo hiểm và thanh toán y tế​

Theo giới phân tích, vụ việc liên quan Almerys không đơn thuần là sự cố của riêng một doanh nghiệp mà phản ánh rủi ro mang tính hệ thống trong ngành bảo hiểm và thanh toán y tế hiện đại.

Hệ sinh thái này hiện phụ thuộc vào nhiều thành phần trung gian như:​

• Nền tảng thanh toán bên thứ ba​
• Cổng kết nối đối tác​
• Hệ thống xử lý hợp đồng​
• Tài khoản chuyên viên bảo hiểm​
• API tra cứu dữ liệu​
• Môi trường thử nghiệm và sao lưu​

Chỉ cần một mắt xích bị xâm nhập, dữ liệu của hàng triệu người dùng có thể bị lan truyền trên diện rộng. Hiện các cơ quan chức năng tại Pháp vẫn chưa đưa ra kết luận cuối cùng về nguồn gốc dữ liệu, quy mô thực tế hay phương thức xâm nhập. Tuy nhiên, những mẫu dữ liệu đã xuất hiện trên diễn đàn ngầm cho thấy một lượng lớn thông tin nhạy cảm liên quan đến hệ thống bảo hiểm y tế Pháp đang lưu hành trong giới tội phạm mạng.​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview