CIC thu thập 9 nhóm thông tin từ tổ chức tín dụng, gồm định danh khách hàng, hợp đồng tín dụng, thẻ tín dụng… nhưng không gồm số thẻ, mã số bảo mật hay lịch sử giao dịch thanh toán.
Cuối tuần trước, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) cho biết có dấu hiệu tấn công, xâm nhập của tội phạm để đánh cắp dữ liệu cá nhân tại Trung tâm Thông tin Tín dụng Việt Nam (CIC). Ngân hàng Nhà nước, cơ quan chủ quản của CIC, sau đó cho biết đã nhận báo cáo về sự cố này.
CIC là tổ chức sự nghiệp công lập trực thuộc Ngân hàng Nhà nước, được thành lập năm 1999 sau khi tách khỏi Vụ Tín dụng. Họ hoạt động với mục đích hỗ trợ Ngân hàng Nhà nước thực hiện chức năng quản lý trong lĩnh vực tiền tệ, đồng thời hỗ trợ kinh doanh cho các tổ chức tín dụng và khách hàng muốn tiếp cận vốn vay.
Chuyên gia an ninh mạng Ngô Minh Hiếu cho rằng CIC đóng vai trò như một kho dữ liệu tập trung về tín dụng của khách hàng. Ông nhận định nhóm tội phạm chọn CIC để tấn công vì “kho dữ liệu khổng lồ” và khả năng thu lợi từ việc bán dữ liệu.
Theo Thông tư 15 của Ngân hàng Nhà nước, các tổ chức tín dụng sẽ cung cấp cho CIC 9 nhóm thông tin như định danh khách hàng, người có liên quan của khách hàng, các hoạt động cấp tín dụng, thẻ tín dụng, báo cáo tài chính (đối với khách hàng doanh nghiệp)…
Mỗi nhóm thông tin đều được Ngân hàng Nhà nước quy định cụ thể những “chỉ tiêu” nhỏ hơn, theo Quyết định 573. Ví dụ, với định danh khách hàng cá nhân và hộ kinh doanh, các chỉ tiêu bắt buộc tổ chức tín dụng cung cấp cho CIC là tên khách hàng, ngày sinh, địa chỉ, số điện thoại, CCCD, mã số thuế, tên vợ/chồng. Thông tin về nơi làm việc, chức vụ, số năm kinh nghiệm, thu nhập bình quân hàng tháng cũng là chỉ tiêu bắt buộc.
CIC thu thập nhóm thông tin về hợp đồng tín dụng như số hợp đồng, ngày bắt đầu và kết thúc, hạn mức, trạng thái tài sản đảm bảo. Các ngân hàng cũng sẽ cung cấp thêm cho CIC nhóm thông tin về biện pháp bảo đảm cấp tín dụng như mô tả tài sản đảm bảo, chủ sở hữu tài sản, ngày định giá, giá trị bảo đảm…
Liên quan đến nhóm thông tin thẻ tín dụng, tổ chức này thu thập 21 trường dữ liệu bắt buộc như số hợp đồng, hạn mức, mã thẻ, loại thẻ, phương thức phát hành, ngày mở thẻ, ngày hết hạn, ngày sao kê. Các thông tin về dư nợ thẻ, số tiền phải thanh toán trên sao kê, số tiền quá hạn, số ngày quá hạn, nhóm nợ tự phân loại… cũng được thu thập.
Theo Ngân hàng Nhà nước, thông tin CIC thu thập không bao gồm tài khoản tiền gửi, số dư tiền gửi, sổ tiết kiệm, tài khoản thanh toán, số thẻ ghi nợ, số thẻ tín dụng, mã số bảo mật (CVV/CVC) hay lịch sử giao dịch thanh toán của khách hàng. Thông điệp này được nhiều ngân hàng lớn như Vietcombank, Agribank, Vietinbank, BIDV khẳng định lại sau sự cố.
Giao diện ứng dụng CIC. Ảnh: Phương Đông
PGS.TS Nguyễn Quốc Anh – Giảng viên cao cấp Khoa Ngân hàng, ĐH Kinh tế TP HCM, nói thông tin chi tiết về từng khoản tiền gửi của khách hàng được bảo mật nghiêm ngặt và duy nhất ngân hàng mở tài khoản biết. Thông tin này chỉ được tiết lộ khi khách hàng đề nghị hoặc cơ quan công an điều tra yêu cầu. Do đó, ông nhấn mạnh, trong trường hợp kho dữ liệu CIC bị rò rỉ, các khoản tiền gửi vẫn không bị ảnh hưởng.
Các ngân hàng cũng đều cho biết hệ thống công nghệ thông tin của họ và CIC hoạt động hoàn toàn độc lập. Do đó, dịch vụ thẻ hay ngân hàng điện tử không bị ảnh hưởng từ sự cố. “Việc khóa thẻ, khóa tài khoản hay đổi mật khẩu là không cần thiết”, PGS.TS Nguyễn Quốc Anh bình luận.
Dù vậy, ông nhận định sự cố tại CIC có thể tác động tiêu cực đến tổ chức tín dụng, khách hàng tổ chức lẫn cá nhân. Bởi một số người dùng hoang mang, khóa tài khoản, giảm hạn mức tín dụng… ảnh hưởng trực tiếp đến khối lượng giao dịch và thu nhập của các ngân hàng. Đối với khách hàng tổ chức, các thông tin đang lưu trữ tại CIC nếu rò rỉ cũng có thể bị sử dụng cho các hành động cạnh tranh không lành mạnh giữa doanh nghiệp với doanh nghiệp, như bêu xấu để hạ bệ uy tín.
Khách hàng cá nhân, theo PGS.TS Nguyễn Quốc Anh, đây sẽ là nhóm dễ tổn thương nhất. Ngoài bị bêu xấu, họ có thể bị các nhóm tín dụng đen dùng các thông tin bị rò rỉ để đe dọa tinh thần hoặc lợi dụng lòng tin nhằm dẫn dắt đến các khoản “vay nóng” khác.
Đồng quan điểm, chuyên gia an ninh mạng Ngô Minh Hiếu cho rằng tội phạm có thể chủ đích nhắm vào người lớn tuổi do ít tiếp xúc với công nghệ, dễ tin người và khó phân biệt đâu là cuộc gọi hay tin nhắn giả mạo. Người dùng là trẻ vị thành niên, sinh viên, công nhân cũng dễ bị gài bẫy bởi những lời mời và hứa hẹn hấp dẫn về việc làm thêm, vay vốn nhanh, xóa nợ, nâng hạn mức tín dụng.
Ông Hiếu khuyến cáo người dân không truy cập vào các đường link trong tin nhắn hoặc email, đặc biệt có file đính kèm lạ. Ông cho rằng người dùng cần cảnh giác với các cuộc gọi và tin nhắn giả mạo CIC, ngân hàng, cơ quan chức; không tin vào các nội dung quảng cáo như “xóa nợ CIC” hoặc “vay nhanh lãi suất 0%”; không cung cấp OTP hay chuyển tiền vào tài khoản lạ…
Trước đó, ngày 11/9, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) thuộc Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an, cho biết “kết quả xác minh ban đầu cho thấy có dấu hiệu hoạt động tấn công, xâm nhập của tội phạm mạng để đánh cắp dữ liệu cá nhân tại CIC”, trong đó số lượng dữ liệu bị chiếm đoạt trái phép đang được tiếp tục thống kê, làm rõ.
Phương Đông