Theo dõi Báo Hànộimới trên

Giải pháp nào bảo vệ thông tin khách hàng?

Việt Nga| 16/11/2018 07:18

(HNM) - Liên tiếp từ đầu tháng 11 đến nay, việc dữ liệu khách hàng của Công ty cổ phần Đầu tư Thế giới di động bị lộ, lọt và được hacker (tin tặc) rao bán trên mạng khiến nhiều người lo ngại.

Trong khi câu chuyện chưa được lý giải đầy đủ, thì hacker lại tiếp tục đe dọa “tung” dữ liệu khách hàng của doanh nghiệp khác... Từ đây, câu hỏi đang được đặt ra là: Giải pháp hữu hiệu nào để bảo mật thông tin cá nhân cho khách hàng khi thực hiện các giao dịch online?

Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng trao đổi về các giải pháp bảo mật, an toàn thông tin.


Không dừng lại ở rao bán dữ liệu khách hàng...

Sự việc bắt đầu từ ngày 7-11, trên RaidForums (diễn đàn với hơn 90.000 thành viên, chuyên mua bán thông tin và dữ liệu rò rỉ), thành viên có tên “erwincho” đã công bố 5 triệu địa chỉ email được cho là đăng ký tài khoản trên website của Công ty cổ phần Thế giới di động (thegioididong) - hệ thống bán lẻ điện thoại và điện tử tiêu dùng trên toàn quốc. Trong tập tin này chứa thông tin hàng chục nghìn giao dịch có đầy đủ thời gian giao dịch, số tiền, tên các loại thẻ của khách hàng thegioididong. Đại diện Thế giới di động lên tiếng phủ nhận khi cho rằng những thông tin chia sẻ kia là giả mạo và hệ thống không có dấu hiệu bị tấn công. Mặc cho những phủ nhận trên được đưa ra, cổ phiếu của Thế giới di động trên sàn chứng khoán HOSE (mã MWG) vẫn bị mất điểm liên tiếp trong các ngày 8, 9-11, ước tính thiệt hại gần 2.000 tỷ đồng. Đến chiều 10-11, cũng tại Diễn đàn RaidForums, một tài khoản khác cho biết đã có dữ liệu của hệ thống bán lẻ FPT Shop và sẽ giao dịch trao đổi hoặc bán khi được giá. Đến chiều 13-11, tài khoản này lại tiếp tục đăng tải hình ảnh hợp đồng mua bán được cho là lấy từ nội bộ máy chủ của FPT Shop, đăng tải cả mã nguồn của phần mềm khách hàng và máy chủ; đồng thời tiếp tục gửi “thông điệp” đang nắm giữ nhiều thông tin, dữ liệu khách hàng của FPT Shop...

Việc lộ, lọt dữ liệu, rao bán thông tin khách hàng không phải chuyện mới, song rõ ràng sự việc này đang đặt ra nhiều vấn đề. Trong đó, có sự nguy hiểm từ việc tấn công, đánh cắp dữ liệu của hệ thống, để từ đó tin tặc thực hiện các hành vi rao bán công khai hoặc những hành động khác khó dự đoán được.

Trước hết phải biết "tự bảo vệ"

Sau khi xảy ra vụ Diễn đàn RaidForums công bố dữ liệu được cho là của Thế giới di động, ngày 9-11, Cục An toàn thông tin thuộc Bộ Thông tin và Truyền thông cho biết chưa nhận thấy có dấu hiệu tấn công vào các thành phần hệ thống liên quan tới thông tin cá nhân bị công bố. Cùng với đó, Ngân hàng Nhà nước Việt Nam cũng cho biết, chưa ghi nhận trường hợp khách hàng của ngân hàng có liên quan trong vụ việc này bị lộ, lọt thông tin thẻ, cũng như bị khai thác, lợi dụng chiếm đoạt tiền trong tài khoản.

Trao đổi với báo chí, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Tập đoàn Công nghệ BKAV cho biết, không loại trừ khả năng hệ thống của doanh nghiệp đã bị xâm nhập và việc này có thể bắt nguồn từ các nhân viên (bị lộ tài khoản mail...) trong doanh nghiệp! Vì vậy, cần đổi mật khẩu trong trường hợp sử dụng mật khẩu bị lộ cho các tài khoản khác; người dùng cần cẩn thận với những email, tin nhắn lạ, có dấu hiệu lừa đảo để tự bảo vệ mình; đặc biệt doanh nghiệp cần rà soát, phát hiện lỗ hổng và xử lý kịp thời.

Theo quy định hiện hành, để bảo đảm cho các hoạt động thanh toán điện tử, doanh nghiệp phải áp dụng chứng chỉ PCI DSS - một tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán quản lý. Vì vậy, với các doanh nghiệp khi áp dụng chứng chỉ PCI DSS cần tuân thủ đúng quy chuẩn về bảo mật an toàn thông tin, mà việc thực hiện mã hóa cơ sở dữ liệu là rất quan trọng, đặc biệt là các cổng thanh toán điện tử.

Đây cũng là nội dung khuyến cáo của Cục An toàn thông tin. Ngoài ra, Cục cũng đề nghị các cơ quan, tổ chức, doanh nghiệp cần tăng cường triển khai các biện pháp bảo đảm an toàn cho hệ thống thông tin phục vụ hoạt động nội bộ cũng như cung cấp dịch vụ trên mạng cho người sử dụng. Đồng thời, phải định kỳ kiểm tra, rà quét điểm yếu, lỗ hổng để phát hiện và kịp thời xử lý. Với các doanh nghiệp không chuyên hoặc chưa có đội ngũ cán bộ chuyên trách về an toàn thông tin, nên ưu tiên nguồn lực thuê dịch vụ chuyên nghiệp do các doanh nghiệp uy tín cung cấp, đặc biệt là các doanh nghiệp trong nước như Viettel, VNPT, CMC, BKAV, FPT. Về phía người dùng, cần cân nhắc kỹ trước khi cung cấp thông tin của mình cho các dịch vụ trên mạng, duy trì thói quen định kỳ thay đổi các thông tin xác thực để giảm thiểu nguy cơ lộ, lọt.

Chiều 15-11, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã đưa ra cảnh báo khi tải các tập tin không rõ nguồn gốc từ internet, người dùng có khả năng bị lây nhiễm mã độc được cài sẵn rất dễ lây lan sang các thiết bị khác. Đây là lần thứ hai liên tiếp trong vòng 7 ngày Cục An toàn thông tin đưa ra cảnh báo sau sự kiện hacker rao bán thông tin được cho là khách hàng của Thế giới di động, FPT Shop... trên mạng.

*Đính chính

Sau khi bài viết được đăng tải, Báo Hànộimới đã nhận được phản hồi từ Công ty cổ phần Con Cưng cho rằng một số chi tiết nêu trong bài viết là chưa chính xác.


Thực hiện nghiêm quy định của Luật Báo chí, Báo Hànộimới đã kiểm tra xác minh và xin hiệu đính lại bài viết như trên.

Thành thật cáo lỗi Công ty cổ phần Con Cưng cùng bạn đọc.

Hànộimới
(0) Bình luận
Đừng bỏ lỡ
Giải pháp nào bảo vệ thông tin khách hàng?

(*) Không sao chép dưới mọi hình thức khi chưa có sự đồng ý bằng văn bản của Báo Hànộimới.