Bauxite Việt Nam

Dương Ngọc Thái

11-9-2025

Cập nhật 11/9: Đã có thông cáo báo chí chính thức từ VNCERT

Có những đơn vị chuyên nghiệp vào hỗ trợ tôi nghĩ sẽ sớm xác định được nguyên nhân, giúp không xảy ra nữa. Chúc các đội điều tra nhiều sức khỏe!

Các ngân hàng cũng đã nắm tình hình. Tôi biết từ nhiều tháng nay nhiều ngân hàng đã tích cực triển khai các biện pháp bảo vệ khách hàng, chống lại các hình thức lừa đảo, chiếm đoạt tài sản. Tôi làm việc trực tiếp với một số đội, cho tới thời điểm này chưa thấy nạn nhân bị lừa đảo liên quan đến dữ liệu tín dụng.

Mong mọi người tích cực nâng cao tinh thần cảnh giác như VNCERT đã khuyến nghị.

Cách đây vài hôm, nhóm hacker ShinyHunters rao bán dữ liệu được cho là đánh cắp từ Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC).

Theo DataBreach, ShinyHunters lợi dụng một lỗ hổng cũ (N-day vulnerability) trong một phần mềm đã hết hạn, xâm nhập vào CIC và lấy đi khoảng ba tỷ bản ghi, trong đó có 160 triệu bản ghi chứa thông tin cá nhân người Việt.

ShinyHunters công bố dữ liệu mẫu gồm 46 file, phần lớn mỗi file 10.000 bản ghi, tổng cộng hơn 448 nghìn bản ghi, dung lượng 144 MB. Một số file có tên DWH, dường như trích xuất từ hệ thống Data Warehouse. Dữ liệu mẫu chứa thông tin cá nhân như họ tên, địa chỉ, số điện thoại, ngày sinh, số căn cước, mã số thuế, cùng thông tin doanh nghiệp.

Hiện chưa có thông báo chính thức từ CIC hay cơ quan quản lý, nên chưa rõ mức độ ảnh hưởng. Những tuyên bố của ShinyHunters cũng chưa được xác minh.

Theo luật Việt Nam, CIC thu thập thông tin các khoản vay của cá nhân và doanh nghiệp tại ngân hàng. Do đó, ai từng vay ngân hàng cần cảnh giác, bởi dữ liệu lộ lọt có thể bị lợi dụng để lừa đảo. Nếu có ai gọi điện nói về điểm tín dụng thì nên từ chối cuộc gọi.

Các hệ thống dữ liệu tập trung như CIC, bảo hiểm xã hội, bảo hiểm y tế luôn là mục tiêu hấp dẫn với hacker. Các đơn vị hành chính sự nghiệp như CIC khó có khả năng tự vệ trước những nhóm hacker như ShinyHunters. Ngay cả các ngân hàng, vốn đầu tư mạnh cho an ninh mạng, cũng phải chật vật chống đỡ do thiếu nguồn lực chất lượng và kinh nghiệm quốc tế.

Tôi đã nhiều lần cảnh báo điểm yếu này, phân tích nguyên nhân và các giải pháp với lãnh đạo các cấp trong hệ thống chính trị Việt Nam. Tôi cũng trực tiếp hỗ trợ một số đơn vị trong nước. Tôi đã đến Nhà Trắng để vận động chính phủ Mỹ tài trợ các hoạt động cải thiện an ninh mạng Việt Nam.

Nếu sự cố này là có thật, tôi hy vọng đây sẽ là hồi chuông cảnh tỉnh để Việt Nam cân nhắc thận trọng trước khi tập trung hóa dữ liệu quốc gia.

Dữ liệu là tài sản, nhưng đồng thời cũng là trách nhiệm. Nhiều tập đoàn công nghệ lớn trên thế giới đã bắt đầu hạn chế thu thập dữ liệu. Tôi chưa thấy công ty nào dồn toàn bộ dữ liệu về một nơi, một phần vì khối lượng quá lớn, một phần vì rủi ro quá cao.

Dữ liệu không phải là vàng, mà là chất phóng xạ: quý giá khi được quản lý và khai thác đúng cách, nhưng đòi hỏi công nghệ cùng kỹ thuật chính xác, chuyên sâu; nếu không, thảm họa có thể xảy ra bất cứ lúc nào.

D.N.T.

Nguồn: vnhacker.substack