Giải pháp nào bảo vệ thông tin khách hàng?

0
32

Không dừng lại ở rao bán dữ liệu khách hàng…



Sự việc bắt đầu từ ngày 7-11, trên RaidForums (diễn đàn với hơn 90.000 thành viên, chuyên mua bán thông tin và dữ liệu rò rỉ), thành viên có tên “erwincho” đã công bố 5 triệu địa chỉ email được cho là đăng ký tài khoản trên website của Công ty cổ phần Thế giới di động (thegioididong) – hệ thống bán lẻ điện thoại và điện tử tiêu dùng trên toàn quốc. Trong tập tin này chứa thông tin hàng chục nghìn giao dịch có đầy đủ thời gian giao dịch, số tiền, tên các loại thẻ của khách hàng thegioididong. Đại diện Thế giới di động lên tiếng phủ nhận khi cho rằng những thông tin chia sẻ kia là giả mạo và hệ thống không có dấu hiệu bị tấn công.

Mặc cho những phủ nhận trên được đưa ra, cổ phiếu của Thế giới di động trên sàn chứng khoán HOSE (mã MWG) vẫn bị mất điểm liên tiếp trong các ngày 8, 9-11, ước tính thiệt hại gần 2.000 tỷ đồng. Đến chiều 10-11, cũng tại Diễn đàn RaidForums, một tài khoản khác có nick “herasvn” đã công bố dữ liệu cá nhân của hệ thống cửa hàng online concung.vn (chuyên đồ trẻ em của Công ty cổ phần Con Cưng). Trong đó, có thông tin cụ thể của một người được cho là nhân viên tiếp thị của Con Cưng; đồng thời cho biết đã có dữ liệu của hệ thống bán lẻ FPT Shop và sẽ giao dịch trao đổi hoặc bán khi được giá. Đến chiều 13-11, tài khoản này lại tiếp tục đăng tải hình ảnh hợp đồng mua bán được cho là lấy từ nội bộ máy chủ của FPT Shop, đăng tải cả mã nguồn của phần mềm khách hàng và máy chủ; đồng thời tiếp tục gửi “thông điệp” đang nắm giữ nhiều thông tin, dữ liệu khách hàng của FPT Shop…

Việc lộ, lọt dữ liệu, rao bán thông tin khách hàng không phải chuyện mới, song rõ ràng sự việc này đang đặt ra nhiều vấn đề. Trong đó, có sự nguy hiểm từ việc tấn công, đánh cắp dữ liệu của hệ thống, để từ đó tin tặc thực hiện các hành vi rao bán công khai hoặc những hành động khác khó dự đoán được.

Trước hết phải biết “tự bảo vệ”

Sau khi xảy ra vụ Diễn đàn RaidForums công bố dữ liệu được cho là của Thế giới di động, ngày 9-11, Cục An toàn thông tin thuộc Bộ Thông tin và Truyền thông cho biết chưa nhận thấy có dấu hiệu tấn công vào các thành phần hệ thống liên quan tới thông tin cá nhân bị công bố. Cùng với đó, Ngân hàng Nhà nước Việt Nam cũng cho biết, chưa ghi nhận trường hợp khách hàng của ngân hàng có liên quan trong vụ việc này bị lộ, lọt thông tin thẻ, cũng như bị khai thác, lợi dụng chiếm đoạt tiền trong tài khoản.

Với trường hợp Công ty cổ phần Con Cưng, trao đổi với báo chí, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng của Tập đoàn Công nghệ BKAV cho biết, không loại trừ khả năng hệ thống của doanh nghiệp đã bị xâm nhập và việc này có thể bắt nguồn từ các nhân viên (bị lộ tài khoản mail…) trong doanh nghiệp! Vì vậy, cần đổi mật khẩu trong trường hợp sử dụng mật khẩu bị lộ cho các tài khoản khác; người dùng cần cẩn thận với những email, tin nhắn lạ, có dấu hiệu lừa đảo để tự bảo vệ mình; đặc biệt doanh nghiệp cần rà soát, phát hiện lỗ hổng và xử lý kịp thời.

Theo quy định hiện hành, để bảo đảm cho các hoạt động thanh toán điện tử, doanh nghiệp phải áp dụng chứng chỉ PCI DSS – một tiêu chuẩn an ninh thông tin bắt buộc dành cho các doanh nghiệp lưu trữ, truyền tải và xử lý thẻ thanh toán quản lý. Vì vậy, với các doanh nghiệp khi áp dụng chứng chỉ PCI DSS cần tuân thủ đúng quy chuẩn về bảo mật an toàn thông tin, mà việc thực hiện mã hóa cơ sở dữ liệu là rất quan trọng, đặc biệt là các cổng thanh toán điện tử.

Đây cũng là nội dung khuyến cáo của Cục An toàn thông tin. Ngoài ra, Cục cũng đề nghị các cơ quan, tổ chức, doanh nghiệp cần tăng cường triển khai các biện pháp bảo đảm an toàn cho hệ thống thông tin phục vụ hoạt động nội bộ cũng như cung cấp dịch vụ trên mạng cho người sử dụng. Đồng thời, phải định kỳ kiểm tra, rà quét điểm yếu, lỗ hổng để phát hiện và kịp thời xử lý. Với các doanh nghiệp không chuyên hoặc chưa có đội ngũ cán bộ chuyên trách về an toàn thông tin, nên ưu tiên nguồn lực thuê dịch vụ chuyên nghiệp do các doanh nghiệp uy tín cung cấp, đặc biệt là các doanh nghiệp trong nước như Viettel, VNPT, CMC, BKAV, FPT. Về phía người dùng, cần cân nhắc kỹ trước khi cung cấp thông tin của mình cho các dịch vụ trên mạng, duy trì thói quen định kỳ thay đổi các thông tin xác thực để giảm thiểu nguy cơ lộ, lọt.

Nguồn: hanoimoi.com.vn

BÌNH LUẬN

Please enter your comment!
Please enter your name here

Website này sử dụng Akismet để hạn chế spam. Tìm hiểu bình luận của bạn được duyệt như thế nào.