Code Nguyen
Writer
Bạn có chắc dữ liệu cá nhân của mình an toàn khi chỉ… đi mua một chiếc xe?
700Credit là một công ty chuyên cung cấp dịch vụ kiểm tra tín dụng, xác minh danh tính, phát hiện gian lận cho hơn 20.000 đại lý ô tô, xe máy, RV và tàu thuyền trên khắp nước Mỹ. Mỗi lần khách hàng mua xe trả góp, làm hồ sơ tín dụng, dữ liệu cá nhân của họ sẽ đi qua hệ thống của 700Credit.
Vấn đề nằm ở chỗ, trong một vụ xâm nhập kéo dài hai ngày vào cuối tháng 10, kẻ tấn công đã truy cập trái phép vào dữ liệu của hơn 5,8 triệu người. Những thông tin bị lộ không hề nhẹ, gồm tên, địa chỉ, ngày sinh và số an sinh xã hội, tức là đủ bộ thông tin để mạo danh mở tài khoản tín dụng mới.
Điều đáng chú ý là cuộc tấn công không đi thẳng vào hệ thống lõi của 700Credit, mà thông qua một đối tác có quyền truy cập API. Nói cách khác, chỉ cần một mắt xích yếu trong chuỗi đối tác, toàn bộ dữ liệu khách hàng phía sau có thể bị lộ.
Chính sự kết nối dày đặc này tạo ra một bề mặt tấn công rất rộng. Theo các chuyên gia, đối tác bị xâm nhập đã có quyền truy cập API đủ sâu để truy xuất dữ liệu khách hàng của nhiều đại lý khác nhau, điều lẽ ra không nên xảy ra nếu phân quyền và kiểm soát truy cập được làm chặt chẽ.
Các đại lý ô tô vốn thu thập lượng lớn dữ liệu nhạy cảm khi khách hàng mua xe trả góp. Một lần kiểm tra tín dụng có thể kéo theo lịch sử tài chính, tài khoản tín dụng, nghĩa vụ nợ, thậm chí cả lịch sử việc làm. Khi những dữ liệu này rơi vào tay kẻ xấu, rủi ro mở tín dụng giả mạo là rất thực tế, không phải lý thuyết.
Hệ quả là người dùng sẽ nhận thư trực tiếp từ 700Credit, không phải từ đại lý họ từng giao dịch. Với nhiều người, điều này rất dễ gây nhầm lẫn, thậm chí có thể bỏ qua vì tưởng là thư quảng cáo hay lừa đảo.
Các chuyên gia bảo vệ quyền riêng tư đều nhấn mạnh rằng, bộ dữ liệu bị lộ gồm đúng những thông tin cốt lõi để mở tài khoản mới. Vì vậy, những ai nằm trong danh sách bị ảnh hưởng cần theo dõi báo cáo tín dụng sát sao, tận dụng dịch vụ giám sát được cung cấp, và cân nhắc đóng băng tín dụng nếu thấy dấu hiệu bất thường.
Nếu chỉ một đối tác có quyền truy cập API đã đủ làm lộ dữ liệu của hàng triệu người, thì trong các hệ sinh thái tài chính và bán lẻ tại Việt Nam, chúng ta đang kiểm soát chuỗi đối tác và dữ liệu khách hàng chặt chẽ tới mức nào?
Chuyện gì đã xảy ra với 700Credit?
Tôi đọc khá kỹ vụ rò rỉ dữ liệu của 700Credit và cảm giác đầu tiên là, đây không phải câu chuyện của riêng nước Mỹ. Nó rất quen với cách dữ liệu cá nhân đang được thu thập và chia sẻ trong các hệ sinh thái tài chính hiện nay.700Credit là một công ty chuyên cung cấp dịch vụ kiểm tra tín dụng, xác minh danh tính, phát hiện gian lận cho hơn 20.000 đại lý ô tô, xe máy, RV và tàu thuyền trên khắp nước Mỹ. Mỗi lần khách hàng mua xe trả góp, làm hồ sơ tín dụng, dữ liệu cá nhân của họ sẽ đi qua hệ thống của 700Credit.
Vấn đề nằm ở chỗ, trong một vụ xâm nhập kéo dài hai ngày vào cuối tháng 10, kẻ tấn công đã truy cập trái phép vào dữ liệu của hơn 5,8 triệu người. Những thông tin bị lộ không hề nhẹ, gồm tên, địa chỉ, ngày sinh và số an sinh xã hội, tức là đủ bộ thông tin để mạo danh mở tài khoản tín dụng mới.
Điều đáng chú ý là cuộc tấn công không đi thẳng vào hệ thống lõi của 700Credit, mà thông qua một đối tác có quyền truy cập API. Nói cách khác, chỉ cần một mắt xích yếu trong chuỗi đối tác, toàn bộ dữ liệu khách hàng phía sau có thể bị lộ.
API, đối tác và bài toán bảo mật bị xem nhẹ
700Credit hợp tác với ba tổ chức xếp hạng tín dụng lớn là Equifax, TransUnion và Experian, đồng thời tích hợp với hơn 250 nền tảng phần mềm khác, từ hệ thống quản lý đại lý đến CRM và các nền tảng tuân thủ.
Chính sự kết nối dày đặc này tạo ra một bề mặt tấn công rất rộng. Theo các chuyên gia, đối tác bị xâm nhập đã có quyền truy cập API đủ sâu để truy xuất dữ liệu khách hàng của nhiều đại lý khác nhau, điều lẽ ra không nên xảy ra nếu phân quyền và kiểm soát truy cập được làm chặt chẽ.
Các đại lý ô tô vốn thu thập lượng lớn dữ liệu nhạy cảm khi khách hàng mua xe trả góp. Một lần kiểm tra tín dụng có thể kéo theo lịch sử tài chính, tài khoản tín dụng, nghĩa vụ nợ, thậm chí cả lịch sử việc làm. Khi những dữ liệu này rơi vào tay kẻ xấu, rủi ro mở tín dụng giả mạo là rất thực tế, không phải lý thuyết.
Thông báo, trách nhiệm và sự lúng túng của người dùng
700Credit cho biết họ sẽ gửi thư thông báo vi phạm cho các cá nhân bị ảnh hưởng bắt đầu từ ngày 22 tháng 12, kèm theo 12 tháng giám sát tín dụng miễn phí. Điều đáng nói là theo quy định của FTC, chỉ có một thông báo vi phạm duy nhất được phép nộp, thay vì từng đại lý gửi riêng.
Hệ quả là người dùng sẽ nhận thư trực tiếp từ 700Credit, không phải từ đại lý họ từng giao dịch. Với nhiều người, điều này rất dễ gây nhầm lẫn, thậm chí có thể bỏ qua vì tưởng là thư quảng cáo hay lừa đảo.
Các chuyên gia bảo vệ quyền riêng tư đều nhấn mạnh rằng, bộ dữ liệu bị lộ gồm đúng những thông tin cốt lõi để mở tài khoản mới. Vì vậy, những ai nằm trong danh sách bị ảnh hưởng cần theo dõi báo cáo tín dụng sát sao, tận dụng dịch vụ giám sát được cung cấp, và cân nhắc đóng băng tín dụng nếu thấy dấu hiệu bất thường.
Nếu chỉ một đối tác có quyền truy cập API đã đủ làm lộ dữ liệu của hàng triệu người, thì trong các hệ sinh thái tài chính và bán lẻ tại Việt Nam, chúng ta đang kiểm soát chuỗi đối tác và dữ liệu khách hàng chặt chẽ tới mức nào?
Góc nhìn riêng
Vụ việc này cho thấy bảo mật không chỉ là câu chuyện của hệ thống trung tâm, mà là bài toán toàn chuỗi. Với các doanh nghiệp tại Việt Nam, đặc biệt trong tài chính, bán lẻ, trả góp, cần rà soát nghiêm túc quyền truy cập API của đối tác, phân vùng dữ liệu theo nguyên tắc tối thiểu, và coi quản lý bên thứ ba là một phần bắt buộc của chiến lược an ninh, không phải việc làm cho có. Người dùng thì nên hình thành thói quen theo dõi tín dụng và dữ liệu cá nhân, vì khi sự cố xảy ra, phản ứng sớm là lớp phòng thủ cuối cùng. (Theo Cybernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
