Tình trạng rò rỉ và mua bán dữ liệu cá nhân đang trở thành một trong những vấn đề an ninh mạng nhức nhối nhất tại Việt Nam. Trên nhiều diễn đàn ngầm và chợ đen quốc tế, thông tin cá nhân của người dùng Việt xuất hiện ngày càng dày đặc, với mức độ chi tiết ngày càng lớn. Các tập dữ liệu này bao gồm họ tên, số điện thoại, email, địa chỉ giao hàng, lịch sử mua sắm cho đến thông tin định danh và tài khoản mạng xã hội. Thực tế cho thấy không chỉ dữ liệu của một số cá nhân riêng lẻ bị lộ mà là cả những bộ dữ liệu quy mô hàng chục triệu người.
Theo các chuyên gia an ninh mạng, dữ liệu cá nhân một khi bị rò rỉ thường không chỉ bị bán một lần. Những kẻ mua dữ liệu có thể tiếp tục phân loại, trích xuất thông tin, làm giàu hồ sơ và tái bán cho nhiều nhóm khác nhau. Điều này tạo nên một “chuỗi cung ứng” tội phạm, trong đó dữ liệu đóng vai trò như nguyên liệu đầu vào cho hàng loạt hoạt động bất hợp pháp, từ lừa đảo tài chính đến mạo danh danh tính.
Một trong những nguyên nhân chính đến từ hệ thống công nghệ của nhiều doanh nghiệp. Việc chạy theo tốc độ và số lượng tính năng khiến không ít nền tảng xem nhẹ việc đầu tư vào bảo mật. Cơ chế phân quyền nội bộ lỏng lẻo, giám sát truy cập hạn chế và hạ tầng lỗi thời khiến chỉ cần một tài khoản nhân viên bị chiếm quyền hoặc cấu kết, toàn bộ cơ sở dữ liệu có thể bị truy xuất trái phép. Bên cạnh đó, nhiều lỗ hổng tồn tại dai dẳng trong các ứng dụng và website giao dịch trực tuyến cũng tạo điều kiện để tin tặc khai thác.
Ngoài yếu tố kỹ thuật, yếu tố con người cũng góp phần lớn vào tình trạng rò rỉ dữ liệu. Không ít vụ rò rỉ xuất phát từ chính nhân viên doanh nghiệp, những người có quyền truy cập dữ liệu thật nhưng thiếu nhận thức hoặc bị lôi kéo bởi lợi ích tài chính. Ở phía người dùng, việc chia sẻ thông tin cá nhân quá dễ dàng để đổi lấy sự tiện lợi cũng khiến dữ liệu trở nên dễ bị theo dõi và trích xuất.
Hệ luỵ từ việc dữ liệu bị rao bán không chỉ dừng lại ở việc người dùng bị làm phiền bởi cuộc gọi rác hay tin nhắn quảng cáo. Tội phạm mạng có thể dựa vào dữ liệu cá nhân để thực hiện các cuộc gọi giả mạo có độ tinh vi cao, lừa lấy mã OTP, chiếm đoạt tài khoản ngân hàng hoặc tài khoản mạng xã hội. Nghiêm trọng hơn, dữ liệu bị đánh cắp có thể bị sử dụng để dựng hồ sơ tín dụng giả, mở thẻ thanh toán hoặc vay tiền dưới danh nghĩa nạn nhân, gây thiệt hại lâu dài và khó xử lý.
Các chuyên gia trong lĩnh vực an ninh mạng cảnh báo rằng sự phát triển của trí tuệ nhân tạo, đặc biệt là công nghệ deepfake, đang khiến các hình thức lừa đảo dựa trên dữ liệu cá nhân trở nên nguy hiểm hơn. Khi kẻ xấu có cả thông tin thật lẫn khả năng tạo ra giọng nói hoặc hình ảnh giả mạo, người dân rất khó phân biệt thật – giả, từ đó dễ bị rơi vào bẫy của tội phạm.
Để hạn chế nguy cơ, người dùng cần nâng cao ý thức bảo mật, hạn chế chia sẻ thông tin cá nhân không cần thiết, kiểm tra nguồn gốc các đường link, cảnh giác với cuộc gọi và tin nhắn bất thường. Doanh nghiệp cần xây dựng mô hình bảo mật theo hướng “zero trust”, quản lý chặt việc truy cập dữ liệu, vá lỗ hổng kịp thời và thực hiện giám sát nội bộ nghiêm ngặt. Đồng thời, việc hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân và xử lý nghiêm hành vi mua bán dữ liệu trái phép là cần thiết để tạo sự răn đe.
Tình trạng dữ liệu cá nhân bị rao bán không chỉ là vấn đề an ninh mạng, mà còn là thách thức đối với quyền riêng tư và an toàn của người dân trong kỷ nguyên số. Khi dữ liệu trở thành “tài nguyên” bị khai thác bất hợp pháp, việc bảo vệ nó cần được xem là ưu tiên của cả người dùng, doanh nghiệp và cơ quan quản lý.
Theo các chuyên gia an ninh mạng, dữ liệu cá nhân một khi bị rò rỉ thường không chỉ bị bán một lần. Những kẻ mua dữ liệu có thể tiếp tục phân loại, trích xuất thông tin, làm giàu hồ sơ và tái bán cho nhiều nhóm khác nhau. Điều này tạo nên một “chuỗi cung ứng” tội phạm, trong đó dữ liệu đóng vai trò như nguyên liệu đầu vào cho hàng loạt hoạt động bất hợp pháp, từ lừa đảo tài chính đến mạo danh danh tính.
Một trong những nguyên nhân chính đến từ hệ thống công nghệ của nhiều doanh nghiệp. Việc chạy theo tốc độ và số lượng tính năng khiến không ít nền tảng xem nhẹ việc đầu tư vào bảo mật. Cơ chế phân quyền nội bộ lỏng lẻo, giám sát truy cập hạn chế và hạ tầng lỗi thời khiến chỉ cần một tài khoản nhân viên bị chiếm quyền hoặc cấu kết, toàn bộ cơ sở dữ liệu có thể bị truy xuất trái phép. Bên cạnh đó, nhiều lỗ hổng tồn tại dai dẳng trong các ứng dụng và website giao dịch trực tuyến cũng tạo điều kiện để tin tặc khai thác.
Ngoài yếu tố kỹ thuật, yếu tố con người cũng góp phần lớn vào tình trạng rò rỉ dữ liệu. Không ít vụ rò rỉ xuất phát từ chính nhân viên doanh nghiệp, những người có quyền truy cập dữ liệu thật nhưng thiếu nhận thức hoặc bị lôi kéo bởi lợi ích tài chính. Ở phía người dùng, việc chia sẻ thông tin cá nhân quá dễ dàng để đổi lấy sự tiện lợi cũng khiến dữ liệu trở nên dễ bị theo dõi và trích xuất.
Hệ luỵ từ việc dữ liệu bị rao bán không chỉ dừng lại ở việc người dùng bị làm phiền bởi cuộc gọi rác hay tin nhắn quảng cáo. Tội phạm mạng có thể dựa vào dữ liệu cá nhân để thực hiện các cuộc gọi giả mạo có độ tinh vi cao, lừa lấy mã OTP, chiếm đoạt tài khoản ngân hàng hoặc tài khoản mạng xã hội. Nghiêm trọng hơn, dữ liệu bị đánh cắp có thể bị sử dụng để dựng hồ sơ tín dụng giả, mở thẻ thanh toán hoặc vay tiền dưới danh nghĩa nạn nhân, gây thiệt hại lâu dài và khó xử lý.
Các chuyên gia trong lĩnh vực an ninh mạng cảnh báo rằng sự phát triển của trí tuệ nhân tạo, đặc biệt là công nghệ deepfake, đang khiến các hình thức lừa đảo dựa trên dữ liệu cá nhân trở nên nguy hiểm hơn. Khi kẻ xấu có cả thông tin thật lẫn khả năng tạo ra giọng nói hoặc hình ảnh giả mạo, người dân rất khó phân biệt thật – giả, từ đó dễ bị rơi vào bẫy của tội phạm.
Để hạn chế nguy cơ, người dùng cần nâng cao ý thức bảo mật, hạn chế chia sẻ thông tin cá nhân không cần thiết, kiểm tra nguồn gốc các đường link, cảnh giác với cuộc gọi và tin nhắn bất thường. Doanh nghiệp cần xây dựng mô hình bảo mật theo hướng “zero trust”, quản lý chặt việc truy cập dữ liệu, vá lỗ hổng kịp thời và thực hiện giám sát nội bộ nghiêm ngặt. Đồng thời, việc hoàn thiện khung pháp lý bảo vệ dữ liệu cá nhân và xử lý nghiêm hành vi mua bán dữ liệu trái phép là cần thiết để tạo sự răn đe.
Tình trạng dữ liệu cá nhân bị rao bán không chỉ là vấn đề an ninh mạng, mà còn là thách thức đối với quyền riêng tư và an toàn của người dân trong kỷ nguyên số. Khi dữ liệu trở thành “tài nguyên” bị khai thác bất hợp pháp, việc bảo vệ nó cần được xem là ưu tiên của cả người dùng, doanh nghiệp và cơ quan quản lý.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
