Hon 2 trieu du lieu nguoi dung cua mot ngan hang bi hacker tan cong hinh anh 1Ảnh minh họa. (Nguồn: Hacker News)

Hơn 2 triệu dữ liệu người dùng của một ngân hàng chứa các dữ liệu như số điện thoại, email, số chứng minh nhân dân... vừa bị công khai trên một diễn đàn, đe dọa đến tài khoản của hàng triệu khách hàng.

Cụ thể, ngày 21/11, trên diễn đàn quốc tế RaidForums dành cho hacker chuyên về chia sẻ dữ liệu, một tài khoản bất ngờ khẳng định đang nắm giữ dữ liệu của 2 triệu khách hàng ở một ngân hàng thương mại cổ phần tư nhân của Việt Nam.

Các thông tin bị hacker đánh cắp bao gồm họ tên, số chứng minh nhân dân, số điện thoại, địa chỉ nhà, ngày tháng năm sinh, giới tính, email và nghề nghiệp.

[Cảnh báo nguy cơ tấn công của mã độc có sử dụng trí tuệ nhân tạo]

Chủ tài khoản này còn đăng công khai thông tin của một số khách hàng của ngân hàng.

Thử tìm kiếm thông tin của một số khách hàng có thẻ ngân hàng này, toàn bộ những thông tin cá nhân đều trùng khớp với dữ liệu của hacker.

Chị T.T.H.T. (Bắc Giang) tỏ ra bất ngờ khi biết thông tin cá nhân của mình bị công khai trên mạng xã hội và rất lo lắng. Chị cho biết ngân hàng chưa liên hệ để thông báo về thông tin này cũng như hướng dẫn khách hàng phải làm gì để ngăn chặn rủi ro.

Trước sự việc rò rỉ thông tin khách hàng, đại diện ngân hàng trên cho biết, những thông tin được đưa ra hoàn toàn chỉ là thông tin cá nhân như tên, địa chỉ, điện thoại... không có các thông tin liên quan đến giao dịch ngân hàng. Vì vậy, ngân hàng này đang phối hợp với các cơ quan chức năng và chuyên gia an ninh mạng để kiểm tra và đánh giá về vụ việc.

Mặc dù vậy, theo ông Đào Minh Tuấn, Trưởng phòng công nghệ bảo mật, Công ty Cổ phần An ninh mạng Việt Nam (VSEC) đây là một vụ việc hết sức nghiêm trọng, không chỉ ảnh hưởng đến uy tín của ngân hàng mà còn gây ảnh hưởng lớn đến các khác hàng.

Các thông tin bị rò rỉ có khả năng bị lợi dụng để thực hiện những hành vi lừa đảo, thậm chí các hacker có kỹ thuật tốt có thể sử dụng nguồn dữ liệu này để tạo ra các wordlist (danh sách mật khẩu) giúp cho việc thực hiện tấn công brute force (dò mật khẩu).

Ông Tuấn khuyến cáo người dùng khi tham gia sử dụng các dịch vụ tài chính ngân hàng hay bất cứ dịch vụ nào khác cần thực hiện những biện pháp sau để tự bảo vệ bản thân, như: luôn sử dụng chức năng xác thực nhiều lớp, OTP, các chức năng bảo mật khác của nhà cung cấp dich vụ; không sử dụng mật khẩu có liên quan đến thông tin cá nhân như ngày sinh, số điện thoại…; không cung cấp bất kỳ thông tin liên quan đến tài khoản, mật khẩu cho người khác khi được hỏ kể cả nhân viên ngân hàng; luôn luôn cảnh giác với các email, tin nhắn lạ, các đường link yêu cầu xác thực để truy cập.

Năm ngoái, cũng trên diễn đàn này, dữ liệu 5 triệu khách hàng của Thế giới Di động được đăng tải lên, bao gồm hàng triệu email, thông tin thẻ thanh toán như visa, thẻ tín dụng.

Tại Việt Nam, việc bảo mật thông tin khách hàng của tổ chức tín dụng được quy định tại Nghị định 117/2018 của Chính phủ.

Theo đó, về nguyên tắc giữ bí mật, cung cấp thông tin khách hàng, Nghị định nêu rõ: Thông tin khách hàng của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài phải được giữ bí mật và chỉ được cung cấp theo quy định của Luật các tổ chức tín dụng năm 2010, sửa đổi, bổ sung năm 2017, Nghị định này và pháp luật có liên quan.

Tổ chức tín dụng, chi nhánh ngân hàng nước ngoài không được cung cấp thông tin xác thực khách hàng khi truy cập các dịch vụ ngân hàng bao gồm mã khóa bí mật, dữ liệu sinh trắc học, mật khẩu truy cập của khách hàng, thông tin xác thực khách hàng khác cho bất kỳ cơ quan, tổ chức, cá nhân nào, trừ trường hợp được sự chấp thuận của khách hàng đó bằng văn bản hoặc bằng hình thức khác theo thỏa thuận với khách hàng đó./.

Hồng Hạnh (Vietnam+)