Hàng tỷ dữ liệu cá nhân, tổ chức bị mua bán trên mạng

Gần đây nhất, tháng 1/2022, Công an tỉnh Thừa Thiên Huế triệt phá đường dây mua bán dữ liệu cá nhân trái phép có quy mô liên tỉnh và lớn nhất tại địa phương, khởi tố 5 đối tượng về tội “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”.

Trước đó, Phòng An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao, Công an tỉnh Thừa Thiên Huế phát hiện nhóm “mua bán data mới 2020” trên Facebook có khoảng 300 thành viên, hoạt động mua bán, trao đổi dữ liệu thông tin cá nhân trái phép với giá 1.000 đồng/thông tin. Các đối tượng thường trao đổi thông tin qua Zalo, Messenger và chuyển tiền qua các tài khoản ngân hàng.

Kết quả điều tra xác định, nhóm này đã mua, bán khoảng 6,2 triệu thông tin dữ liệu cá nhân trên toàn quốc, thu lời bất chính 2,3 tỷ đồng.

Một vụ việc tương tự, giữa năm 2021, Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao phối hợp với Văn phòng Cơ quan CSĐT - Bộ Công an triệt phá đường dây mua bán, sử dụng, trái phép dữ liệu cá nhân lớn nhất từ trước tới nay xảy ra tại Hà Nội, TPHCM và một số tỉnh thành.

Hai trong số các đối tượng bị khởi tố về tội “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” trong vụ án này là Dư Anh Quý (SN 1988) và vợ là Lại Thị Phương (SN 1992, Giám đốc Công ty giải pháp năng lượng VNIT TECH, cùng trú tại Đông Anh, Hà Nội).

Kết quả điều tra cho thấy, các đối tượng đã thu thập, chiếm đoạt, mua trái phép gần 1.300GB dữ liệu, chứa hàng tỉ thông tin khách hàng trong ngành điện lực, giáo dục, ngân hàng, đăng ký kinh doanh, bảo hiểm, hộ khẩu, dữ liệu viễn thông, thuê bao điện thoại, bất động sản... để rao bán. Điều đáng nói, các đối tượng còn cam kết tính chính xác và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua.

Doanh nghiệp mua dữ liệu để thu lời bất chính

Từ các vụ án nêu trên, cơ quan chức năng xác định, dữ liệu cá nhân được các đối tượng thu thập từ nhiều nguồn và bằng nhiều phương thức khác nhau, như: qua các phần mềm trái phép cài ẩn trong các trang mạng bán hàng. Khi người dùng truy cập vào sẽ bị lộ các thông tin cá nhân như địa chỉ IP, thời gian, số điện thoại, địa điểm…

Ngoài ra, một số đối tượng còn dùng mã độc, phần mềm gián điệp thu thập dữ liệu cá nhân trên môi trường mạng máy tính và điện thoại di động; tấn công, xâm nhập hệ thống máy tính để chiếm đoạt thông tin, dữ liệu cá nhân. Hoặc các đối tượng lợi dụng quyền quản trị hệ thống thông tin tại một số cơ quan, doanh nghiệp để trích xuất dữ liệu.

Các dữ liệu này được mua đi, bán lại nhiều lần, cung cấp dưới dạng dịch vụ như databox.vn, databoxviet.com, laydata.com, laydata.net, khodata.net, databox.biz, fff.com.vn, cokhach.com, vltoolkit.com… thậm chí xuất hiện trên các diễn đàn tin tặc.

Theo Bộ Công an, việc mua bán dữ liệu cá nhân dưới 2 hình thức chính: Một là, các doanh nghiệp, công ty kinh doanh dịch vụ thu thập dữ liệu cá nhân của khách hàng, cho phép các đối tác thứ ba tiếp cận thông tin này nhưng không yêu cầu, quy định chặt chẽ, để đối tác thứ ba chuyển giao, buôn bán cho các đối tác khác; Thứ hai, các doanh nghiệp chủ động thu thập thông tin cá nhân của khách hàng, hình thành kho dữ liệu cá nhân, phân tích, xử lý để kinh doanh, buôn bán.

Trong đó, nhiều cá nhân, doanh nghiệp như bảo hiểm, trung tâm ngoại ngữ, bất động sản… mua dữ liệu với số lượng lớn từ các đối tượng để sử dụng trái phép; một số doanh nghiệp có dấu hiệu khai thác, sử dụng trái phép dữ liệu khách hàng để cung cấp cho bên thứ ba.