Tham gia sàn giao dịch tiền điện tử dễ bị lộ dữ liệu cá nhân?

Vụ lộ lọt 17GB dữ liệu nhạy cảm của người dùng Việt Nam đã dấy lên mối lo ngại của người dùng về việc cung cấp thông tin cá nhân khi tham gia các nền tảng tiền điện tử.

Nghi vấn về sự an toàn dữ liệu cá nhân

Trên diễn đàn dành cho hacker tuần trước, một tin tặc đăng bán 17GB dữ liệu cá nhân KYC (Know Your Customer) của người dùng Việt Nam với nhiều ảnh chụp chứng minh thư nhân dân (CMTND), sổ hộ khẩu, ảnh selfie… với mức giá 9.000 USD. Trước đó, vào ngày 9/5, tài khoản này còn rao bán một cơ sở dữ liệu khác có dung lượng 4 GB gồm ảnh chụp CMND và thông tin cá nhân của khoảng 3.600 người tại Việt Nam.

Tất cả những dịch vụ yêu cầu người dùng xác thực bằng phương pháp chụp hình CMTND đều có khả năng là nguồn rò rỉ thông tin ra bên ngoài. Hacker có thể xâm nhập vào chính hệ thống các đơn vị này để lấy thông tin của người dùng. Vì vậy, trách nhiệm bảo mật thông tin khách hàng là của các công ty, doanh nghiệp cung cấp dịch vụ có yêu cầu xác thực bằng CMND.

Trong vụ việc trên, hacker tiết lộ có được số thông tin này thông qua Pi Network. Sau khi tiến hành điều tra, mặc dù được khẳng định là không liên quan đến Pi Network song người dùng bắt đầu đặt nghi vấn về sự an toàn dữ liệu trên các nền tảng tiền điện tử.

Từ đầu năm 2021, nhiều tài khoản mạng xã hội của một số người nổi tiếng thuộc giới showbiz đã đăng tải những status, video… quảng cáo cho ứng dụng đào tiền ảo đa cấp này. Thông điệp đưa ra là chỉ cần tải ứng dụng về máy di động, khai báo các thông tin theo yêu cầu, cài đặt chế độ và từ đó ứng dụng sẽ tự động vận hành việc đào tiền ảo mà người dùng không phải bận tâm vì mất thời gian hay tiêu tốn quá nhiều tài nguyên Internet. Một chiếc “bánh vẽ” tìm kiếm lợi nhuận mang tên Pi Network đã được các chuyên gia CNTT và bảo mật cảnh báo về khả năng đội lốt đào tiền ảo để thu thập dữ liệu, thông tin cá nhân. Hiện nay, giá của đồng Pi vẫn bằng 0 do chưa thể thực hiện giao dịch, nền tảng bị nhiều chuyên gia bảo mật đánh giá là thiếu minh bạch, do không công bố mã nguồn.

Chưa hết, ứng dụng Pi Network còn bị phát hiện tải danh bạ người dùng lên máy chủ và không xóa hết ngay cả khi người dùng xóa tài khoản. Việc này ban đầu được phát hiện bởi nhà nghiên cứu Ryan M. Montgomery với phiên bản Pi Network dành cho iOS. Mới đây, hai nhà nghiên cứu bảo mật Phạm Tiến Mạnh và Dương Tiểu Đồng đến từ nhóm Chống lừa đảo của Việt Nam phân tích phiên bản Pi Network trên Android và cũng phát hiện vấn đề tương tự. Thậm chí họ phát hiện Pi Network còn lưu trữ danh bạ ngay cả khi người dùng hủy tài khoản.

Trên ứng dụng Pi Network có tính năng "Nhóm khai thác". Người dùng Pi được khuyến khích khai thác theo nhóm để tăng tốc độ nhận Pi, cũng như tạo "Vòng tròn bảo mật". Để mời người khác vào nhóm, người dùng có thể lựa chọn như gửi qua Facebook hoặc mời bạn bè trên danh bạ. Theo nghiên cứu nhóm Chống lừa đảo, ngay khi cấp quyền truy cập danh bạ lần đầu tiên, ứng dụng sẽ tải toàn bộ danh bạ của người dùng lên máy chủ. Đồng thời, mỗi lần người dùng truy cập tính năng nhóm, Pi Network lại gửi một bản cập nhật của danh bạ lên. Việc cho phép truy cập danh bạ là một trong những quyền tương đối cao, được xếp hạng "nguy hiểm" trên thang đo mức độ an toàn của một ứng dụng. Ứng dụng chỉ có quyền làm vậy khi được phép của người dùng.

Tuy nhiên, vấn đề nghiêm trọng hơn mà hai nhà nghiên cứu Việt Nam chỉ ra là cách quản lý dữ liệu của Pi Network "yếu kém", dẫn đến danh bạ vẫn tồn tại trên máy chủ ngay cả khi người dùng kết thúc phiên sử dụng hoặc thậm chí xóa tài khoản. Việc ứng dụng lấy thông tin danh bạ của người dùng đưa lên máy chủ tiềm ẩn nguy cơ mất thông tin không chỉ của những người sử dụng, mà của cả người thân, bạn bè trong danh bạ.

Qua nghiên cứu, có rất nhiều dịch vụ, ứng dụng yêu cầu người dùng phải chụp ảnh CMTND, Căn cước công dân (CCCD) hay hộ chiếu nếu muốn tham gia. Chẳng hạn, để mở tài khoản giao dịch trên sàn tiền số Remitano, người dùng phải thực hiện các bước để hoàn tất xác minh tài khoản là tải ảnh người dùng có thể là CMTND, hộ chiếu hoặc giấy phép lái xe. Với các app cho vay tiền trên mạng như doctordong.Việt Nam, Cashwagon, Tamo.Việt Nam...; các ví điện tử theo yêu cầu xác thực tài khoản theo quy định của Ngân hàng Nhà nước cũng phải làm động tác tương tự. Những sàn giao dịch tiền số phổ biến như Binance, Bittrex, Houbi, Kucoin... cũng yêu cầu người dùng xác thực bằng hình chụp CMTND, CCCD hoặc hộ chiếu.

Trên thế giới cũng xảy ra nhiều vụ lộ lọt dữ liệu cá nhân tương tự. Năm 2019, sàn giao dịch lớn nhất thế giới Binance cũng vướng phải nghi vấn làm lộ lọt thông tin KYC khi một hacker từng rao bán 10.000 tấm ảnh tương tự như dữ liệu KYC Binance với giá 300 BTC. Binance đã đăng đàn bác bỏ thông tin này nhưng phía người dùng vẫn hoài nghi và lo lắng.

Ngành công nghiệp tiền điện tử toàn cầu phát triển chóng mặt kể từ sau cơn sốt Bitcoin hồi năm 2013. Chỉ sau 5 năm, tổng giá trị vốn hóa của nó tăng gấp hơn 10 lần, song đây vẫn là thị trường non trẻ đầy rủi ro, các vụ lừa đảo và vi phạm bảo mật vẫn xảy ra thường xuyên. Thống kê từ năm 2011 đến năm 2021, thiệt hại liên quan đến dự án tiền điện tử lừa đảo trị giá tới gần 5 tỉ USD.

Nguyên nhân có phải từ KYC?

Trên diễn đàn nổi tiếng trong cộng đồng tiền điện tử Bitcoin Talk, một bài viết đề cập đến rủi ro của hệ thống KYC trên nền tảng tảng điện tử thu hút hàng trăm lượt tương tác. Chủ bài viết phân tích rằng: “Khi các nền tảng yêu cầu KYC, người dùng buộc phải cung cấp nhận dạng cá nhân của họ cho bên thứ ba (chẳng hạn như sàn giao dịch, ICO...). Sau đó, họ không còn kiểm soát quy trình nữa và hoàn toàn phụ thuộc về bên thứ ba lưu trữ dữ liệu nhạy cảm. Rõ ràng, những rủi ro đối với người dùng là không thể tránh khỏi khi họ buộc phải cung cấp dữ liệu cá nhân cho những người không xác định hoặc một dịch vụ tập trung. Đơn giản là không có gì đảm bảo rằng dữ liệu cá nhân của chúng ta được an toàn ở đó, ngay cả các công ty lớn với tiêu chuẩn bảo mật cao cũng có thể bị tấn công bất ngờ”.

Nhiều người dùng đồng tình với ý kiến này. Họ không có nhu cầu KYC vì nhiều lý do, quan trọng nhất tính ẩn danh khi giao dịch và tránh lộ lọt dữ liệu cá nhân. Một số ý kiến khác cho rằng nền tảng tiền điện tử vận hành dựa trên mô hình phi tập trung, nên ngay cả nhà phát triển cũng không dễ can thiệp, đảo chiều giao dịch nếu xảy ra sự cố.

Trên thực tế, chính các nền tảng tiền điện tử cũng không thực sự quan tâm đến KYC. Một nghiên cứu năm 2020 cho thấy, 56% các nhà cung cấp dịch vụ tài sản ảo (VASP) trên thế giới cho phép người dùng rút hoặc nạp thêm tiền lên đến các giá trị nhất định mà không cần thông qua bất kỳ thủ tục định danh nào hoặc nếu có thì quy trình khá đơn giản.

Các giao dịch được thực hiện với tài sản kỹ thuật số được theo dõi và ghi lại trên blockchain, nhưng bản thân những người tham gia vẫn ẩn danh qua tên đăng nhập. Điều này có thể khiến tội phạm trà trộn để lừa đảo nạn nhân hoặc tiến hành rửa tiền. Nạn nhân không thể truy cứu trách nhiệm với kẻ lừa đảo khi không có thông tin. Bởi vậy, một số nền tảng lớn đã yêu cầu KYC để nâng cao sự tin tưởng của người dùng hợp pháp bằng cách xác minh thông tin giao dịch.

Trong khi các vụ tấn công liên quan đến giao dịch tiền điện tử giảm dần thì các vụ vi phạm dữ liệu cá nhân KYC vẫn thường xuyên xảy ra và có xu hướng tăng. Mặc dù các biện pháp bảo mật để quản lý tài sản trên các sàn giao dịch tiền điện tử đang được cải thiện, nhưng không rõ liệu các biện pháp an toàn dữ liệu cá nhân có được tuân thủ hay không?

Jacob Yocom-Piatt, đồng sáng lập và trưởng dự án cho mạng lưới tiền điện tử Decred - nhận định, bảo vệ dữ liệu cá nhân là một quá trình phức tạp hơn nhiều so với bảo vệ tài sản kỹ thuật số. Nhiều nền tảng đã áp dụng các yêu cầu về dữ liệu định danh và phòng chống rửa tiền chỉ để tuân thủ yêu cầu của các cơ quan quản lý, chưa thực sự đặt trọng tâm vào việc bảo vệ dữ liệu, góp phần gây ra mất an toàn dữ liệu chung.

Mặt khác, việc thiếu bộ khung quy định ở nhiều quốc gia đã cho phép các nền tảng tiền điện tử không chú trọng tới nhiệm vụ bảo vệ dữ liệu khách hàng khiến dữ liệu dễ bị tấn công.

Nhằm đối phó với sự phức tạp của việc xử lý và lưu trữ nhiều phần dữ liệu cá nhân nhạy cảm, các nền tảng tiền điện tử phải đánh giá phần thông tin nào là thực sự cần thiết. Mark Hornsby - công ty lưu ký tiền điện tử Trustology giải thích: “Trước tiên, các công ty nên luôn tập trung vào việc giảm thiểu dữ liệu. Bạn càng nắm ít dữ liệu về khách hàng của mình càng tốt". Ngoài ra, dữ liệu cần được gửi đến hoặc lưu giữ bởi các công ty uy tín và được mã hóa liên tục. Việc sử dụng hàm băm thích ứng là một cách lý tưởng để ngăn không cho dữ liệu bị truy xuất. Một giải pháp quan trọng khác là sự liên kết giữa các nền tảng để cùng tìm ra giải pháp tốt nhất. Có nhiều ví dụ về sự hợp tác này trong lĩnh vực tiền điện tử để phát triển các tiêu chuẩn ngành như CryptoUK và Hiệp hội Blockchain Nhật Bản.

Làm gì khi biết thông tin cá nhân bị lộ lọt, rao bán?

Các chuyên gia cho rằng, người dùng nên được khuyến khích và phổ biến cách dùng mật khẩu tốt, nên sử dụng trình quản lý mật khẩu và tạo mật khẩu ngẫu nhiên, duy nhất cho mỗi trang web/ứng dụng, luôn bật xác thực 2 yếu tố và kiểm soát dữ liệu chia sẻ. Người dùng cần nghiên cứu các công ty mà họ đang ủy thác dữ liệu, tìm hiểu xem có sự cố nào trước đây liên quan đến việc đánh cắp dữ liệu hay chưa? Song nếu dữ liệu được ủy ​​thác cho một bên thứ ba tập trung, mức độ rủi ro liên quan đến việc lộ lọt khá lớn.

Dữ liệu từ CMTND, CCCD rất quan trọng vì bao gồm thông tin chi tiết từ tên, địa chỉ nhà, ảnh thật và được sử dụng trong nhiều hoạt động trực tuyến. Một khi bị rơi vào tay kẻ khác có thể bị lấy để đăng ký tài khoản viễn thông, vay vốn ở các công ty tài chính, vay qua mạng hay thậm chí bị lấy luôn tài khoản ngân hàng.

Theo ông Ngô Tuấn Anh - Phó chủ tịch Tập đoàn Bkav, trước đây những thông tin cá nhân được yêu cầu cung cấp chỉ là email, điện thoại. Nhưng hiện giờ, rất nhiều dịch vụ thường yêu cầu nhà đầu tư tạo tài khoản và cung cấp thông tin định danh sinh trắc học như hình ảnh, ảnh chụp CMTND, CCCD, thông tin định danh qua video... Rủi ro ở chỗ người dân cung cấp những thông tin này cho một đơn vị không đáng tin cậy, nên có thể bị mạo danh đăng ký các dịch vụ như vay mượn, giao dịch. Người bị lấy trộm thông tin bỗng mang nợ vào thân và những rắc rối pháp lý khác. Bên cạnh đó, không loại trừ khả năng một số sàn giao dịch tiền ảo, ngoại tệ trái phép yêu cầu nhà đầu tư chụp ảnh để chứng minh nhưng lại khai thác dữ liệu và bán cho bên thứ ba. Do các sàn giao dịch này không được pháp luật thừa nhận, nên người dùng chia sẻ thông tin cá nhân phải tự chịu rủi ro.

Một câu hỏi được nhiều người quan tâm là người dùng cần phải hành động gì khi biết thông tin cá nhân của mình bị rao bán?

Theo hãng bảo mật Kaspersky, người dùng phải nhanh chóng hành động nếu phát hiện thông tin cá nhân bị rò rỉ. Việc một tài khoản bị rò rỉ thông tin cũng có thể khiến các tài khoản khác gặp rủi ro, nhất là khi mật khẩu được chia sẻ hoặc các tài khoản thường xuyên giao dịch với nhau. Nếu rò rỉ thông tin tài chính, phải thông báo cho ngân hàng và tổ chức tài chính, thay đổi mật khẩu tất cả các tài khoản, bao gồm cả câu hỏi bảo mật và mã PIN. Đồng thời, nên cân nhắc việc khóa tín dụng. Theo dõi các tài khoản ngân hàng, nếu thấy các giao dịch nghi ngờ, lập tức kiểm tra và thông báo cho ngân hàng hoặc tổ chức tín dụng. Sao lưu các tập tin đề phòng dữ liệu bị đánh cắp hay bị mã hoá đòi tiền chuộc. Cần bảo vệ máy tính và các thiết bị khác bằng phần mềm bảo mật, cẩn thận khi nhấp vào các đường link.

Ngoài ra, người dùng cần thường xuyên theo dõi bảng sao kê ngân hàng và báo cáo tín dụng. Vì dữ liệu bị đánh cắp có thể xuất hiện trên web đen vài năm sau khi dữ liệu gốc bị xâm phạm. Điều này có nghĩa là một vụ đánh cắp danh tính đã xảy ra rất lâu sau khi bạn quên mất việc dữ liệu đã từng bị rò rỉ.

Mỗi người phải coi thông tin cá nhân như tài sản của mình, biết cách tự bảo vệ và có biện pháp lưu trữ, phân loại và chia sẻ thông tin phù hợp (thông tin nào có thể chia sẻ, chia sẻ với đối tượng nào); cân nhắc kỹ lưỡng trước khi cung cấp thông tin của mình cho các dịch vụ trên mạng.