Hết Thế Giới Di Động, đến lượt FPT Shop bị hacker đánh cắp dữ liệu khách hàng?

Những thông tin rất nhạy cảm như tên tuổi, phiếu mua hàng, thậm chí ảnh chụp đầy đủ chứng minh nhân dân (CMND) của khách mua hàng tại FPT Shop đã bị đăng tải trên diễn đàn RaidForums. Đáng chú ý, đây cũng là nơi mà dữ liệu nghi của hơn 5 triệu khách hàng Thế Giới Di Động (TGDĐ) được đăng tải cách đây không lâu, hay trước đó là thông tin 163 triệu tài khoản ZingID của VNG.

Hacker tung phần tiếp theo của kho dữ liệu nghi của Thế Giới Di Động: Có đủ số thẻ, không hề bị ẩn

Mới đây, trên diễn đàn RaidForums, nơi chuyên chia sẻ dữ liệu được khai thác từ trên mạng, một người dùng có tên herasvn đã đăng tải nhiều ảnh chụp các tài liệu lưu trữ dữ liệu mua sắm của khách hàng FPT Shop.

Ảnh chụp màn hình thông tin khách hàng FPT Shop bị rò rỉ, với tên, địa chỉ, số điện thoại cùng ảnh chụp CMND.

Trong các hình ảnh được chia sẻ, có thể nhận thấy các tài liệu như phiếu xác nhận mua hàng, đơn đăng ký khách hàng của FPT Shop. Các tài liệu này đều ghi đầy đủ tên tuổi, địa chỉ và cả số chứng minh nhân dân của khách hàng. Nhiều ảnh chụp còn có cả hình đầy đủ chứng minh nhân dân, số IMEI điện thoại mà khách mua.

Như vậy, chỉ trong vòng nửa tháng, hai hệ thống bán lẻ lớn của Việt Nam đã bị hacker đăng tải thông tin khách hàng. Nếu như trong trường hợp của TGDĐ, hacker đăng tải email cá nhân, số thẻ tín dụng không mã hóa, thì lần này, người dùng herasvn thậm chí còn đăng tải công cụ của FPT Shop cùng mã nguồn chứa nhiều thông tin về máy chủ và các thông tin nhạy cảm. Người dùng này cũng cho biết đây chỉ là "bề nổi của tảng băng chìm", và sẵn sàng bán dữ liệu cho những người trả giá. Tuy nhiên, VnReview chưa thể kiểm chứng được herasvn thực sự sở hữu bao nhiêu dữ liệu, hay chỉ "thả thính" để lừa đảo.

Công cụ được người dùng herasvn chia sẻ, cần 8 credits (đơn vị tiền của diễn đàn raidforums) để mở khóa

Đại diện truyền thông FPT Shop cho biết đã nhận được thông tin và đang xác nhận lại.

Theo giới công nghệ, với những thông tin được hacker cung cấp chưa đủ cơ sở để thấy đó là những thông tin khách hàng đã được đánh cắp. Các dữ liệu này là khó tin cậy và cần phải kiểm tra, xem xét cụ thể hơn. Thậm chí, với vài hình ảnh tải lên mạng, vẫn chưa đủ để kết luận thành viên nói trên có đủ dữ liệu từ FPT Shop.

Trước đó, Raidforums.com từng có thành viên công bố dữ liệu của VNG, được công ty này thừa nhận đúng. Mới đây một thành viên cũng công bố dữ liệu khách hàng của Thế Giới Di Động nhưng Thế Giới Di Động phủ nhận dữ liệu bị hack từ hệ thống này.

Tiếp sau đó, đến ngày 10-11, hacker lại tung lên file chứa thông tin dữ liệu cá nhân nhân viên của Con Cưng và dọa sẽ tung ra dữ liệu của FPT Shop.

Hiện nay, các bộ ban ngành có liên quan cũng đang vào cuộc điều tra song thông tin khách hàng bị rò rỉ;liên tiếp được phát đi cũng đang khiến cho nhiều khách hàng vô cùng hoang mang, lo lắng.

Lưu thông tin cần xin phép người dùng?

Liên quan đến bảo mật thông tin khách hàng, kinh tế sài gòn và dự thảo nghị định quy định chi tiết một số điều của Luật An ninh mạng, đang được đưa ra lấy ý kiến góp ý, đã đặt ra những điều kiện khá chặt chẽ, hạn chế số doanh nghiệp phải lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam (điều 25 của dự thảo).

Theo đó, dự thảo nghị định bổ sung, ràng buộc doanh nghiệp nào để người dùng vi phạm một số điều của Luật An ninh mạng và đồng thời chính doanh nghiệp cũng vi phạm một số điều khác của luật này lúc đó mới bị yêu cầu lưu trữ dữ liệu và mở văn phòng tại trong nước.

Tuy nhiên, trong tinh thần bảo vệ người dùng trước các vụ rò rỉ thông tin của nhiều dịch vụ như Facebook, thậm chí lộ cả thông tin thẻ tín dụng ở nhiều trang thương mại điện tử, dự thảo nghị định cần xác lập thêm một nguyên tắc mà nay EU và nhiều nước khác đã luật hóa: doanh nghiệp phải xin phép người dùng trước khi thu thập dữ liệu người dùng, được sự đồng ý rõ ràng mới tiến hành, đồng thời cần nói rõ dữ liệu thu thập nhằm mục đích gì, có trao cho bên thứ ba để kinh doanh, đổi chác hay không.

Quy định bảo vệ dữ liệu chung (GDPR) của EU cấm doanh nghiệp cung cấp dịch vụ thu thập nhiều loại dữ liệu như dữ liệu sinh trắc học nhằm mục đích nhận dạng một người nào đó, giới tính hay xu hướng tình dục, gốc gác chủng tộc... Các dữ liệu cá nhân khác chỉ được thu thập và xử lý khi có sự đồng ý của người dùng, phải cung cấp thông tin như bên thu thập là ai, thu thập nhằm đáp ứng yêu cầu gì, cơ sở pháp lý của yêu cầu đó là gì, ai sẽ nhận dữ liệu, dữ liệu lưu trong bao lâu... Đáng chú ý, quan điểm của EU là chỉ cho phép doanh nghiệp dịch vụ lưu dữ liệu khi cần xử lý, xử lý xong hay nhu cầu chấm dứt thì phải xóa ngay dữ liệu đó đi. GDPR đặc biệt nghiêm khắc với dữ liệu của trẻ em, khi bên thu thập phải có sự đồng ý của ba mẹ hay người giám hộ trẻ.

Một điểm khác cần nhấn mạnh trong các văn bản liên quan đến an ninh mạng: đó là quyền của người dùng được truy cập dễ dàng thông tin doanh nghiệp đã thu thập về mình và quyền yêu cầu doanh nghiệp xóa thông tin đó đi. Người dùng cũng có quyền yêu cầu nơi thu thập dữ liệu chỉnh sửa thông tin nếu phát hiện không chính xác, chưa hoàn chỉnh. Và một khi doanh nghiệp cung ứng dịch vụ bị tấn công mạng, bị rò rỉ thông tin thì trách nhiệm của họ là thông báo ngay, đầy đủ đến người dùng, kèm theo là biện pháp khắc phục.

Tại Việt Nam, thật ra, rất khó ràng buộc doanh nghiệp bằng những điều kiện này. Họ chỉ cần khăng khăng, chúng tôi không thu thập, khai thác, phân tích, xử lý dữ liệu cá nhân người dùng; tức dữ liệu cá nhân người dùng họ khai để đăng ký dịch vụ như nó nằm đó, không ai khai thác cả thì cũng đành chịu.

VH