Ngày 11/9, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) cho biết đã phát hiện dấu hiệu tấn công, xâm nhập nhằm đánh cắp dữ liệu cá nhân tại Trung tâm Thông tin Tín dụng Việt Nam (CIC). Ngân hàng Nhà nước (NHNN), cơ quan chủ quản của CIC ngay sau đó cũng cho biết đã nhận báo cáo về sự cố này.

CIC được thành lập năm 1999, trực thuộc NHNN, với chức năng thu thập và cung cấp thông tin tín dụng để phục vụ công tác quản lý tiền tệ cũng như hỗ trợ các tổ chức tín dụng, khách hàng vay vốn.

Theo Thông tư 15 của NHNN, CIC tiếp nhận dữ liệu từ các tổ chức tín dụng theo 9 nhóm, bao gồm thông tin định danh khách hàng, thông tin về người có liên quan, các hoạt động cấp tín dụng, dữ liệu thẻ tín dụng, cùng báo cáo tài chính (đối với doanh nghiệp)...

Các nhóm dữ liệu này được chi tiết hóa bằng nhiều “chỉ tiêu” cụ thể hơn theo Quyết định 573. Ví dụ, với định danh khách hàng cá nhân và hộ kinh doanh, tổ chức tín dụng phải cung cấp tên, ngày sinh, địa chỉ, số điện thoại, CCCD, mã số thuế, thông tin vợ/chồng.

Ngoài ra, CIC còn thu thập thông tin về nơi làm việc, chức vụ, số năm kinh nghiệm cùng mức thu nhập bình quân hàng tháng cũng được quy định là chỉ tiêu bắt buộc.

Về nhóm thông tin hợp đồng tín dụng, CIC yêu cầu dữ liệu như số hợp đồng, ngày bắt đầu và kết thúc, hạn mức, trạng thái tài sản đảm bảo; cũng như các thông tin về biện pháp bảo đảm cấp tín dụng như mô tả tài sản đảm bảo, chủ sở hữu tài sản, ngày định giá, giá trị bảo đảm...

Với nhóm dữ liệu thẻ tín dụng, CIC lưu trữ 21 trường thông tin như số hợp đồng, hạn mức, mã thẻ, loại thẻ, phương thức phát hành, ngày mở thẻ, ngày hết hạn, ngày sao kê, dư nợ thẻ, số tiền phải thanh toán trên sao kê, số tiền quá hạn, số ngày quá hạn, nhóm nợ tự phân loại...

Tuy nhiên, NHNN khẳng định, dữ liệu CIC không bao gồm thông tin về tài khoản tiền gửi, số dư tiền gửi, sổ tiết kiệm, tài khoản thanh toán, số thẻ ghi nợ, số thẻ tín dụng, mã số bảo mật (CVV/CVC), lịch sử giao dịch thanh toán của khách hàng.

Thông báo này cũng được các ngân hàng lớn như Vietcombank, Agribank, VietinBank và BIDV đồng loạt nhấn mạnh sau sự cố.

CIC đang lưu giữ những thông tin nào của khách hàng?
Dữ liệu CIC không bao gồm thông tin về tài khoản tiền gửi, số dư tiền gửi, sổ tiết kiệm...

Theo chuyên gia an ninh mạng Ngô Minh Hiếu (Hiếu PC), CIC nắm giữ kho dữ liệu tín dụng tập trung khổng lồ về tín dụng của khách hàng. Do đó, nhóm tội phạm chọn CIC để tấn công vì kho dữ liệu này và khả năng thu lợi từ việc rao bán.

Ngoài ra, Bộ Công an nhấn mạnh, nhóm tội phạm mạng thường nhắm đến người cao tuổi ít tiếp xúc công nghệ, dễ bị thao túng tâm lý; sinh viên ít kiến thức về đời sống, xã hội; nhóm công nhân, người lao động tự do thường xuyên sử dụng các dịch vụ liên quan đến thẻ tín dụng

Các đối tượng có thể gài bẫy nạn nhân bằng những thông tin gian dối như “xóa nợ CIC”, “vay nhanh lãi suất 0%” hay “việc làm thêm thu nhập cao”.

Cơ quan chức năng khuyến cáo người dùng tuyệt đối không truy cập vào các đường link, file đính kèm lạ trong tin nhắn hoặc email, không cung cấp OTP, cũng như không chuyển tiền vào tài khoản không rõ nguồn gốc.

Khi cần thay đổi thông tin liên quan đến tài khoản, khách hàng nên thực hiện trực tiếp tại quầy giao dịch hoặc qua ứng dụng chính thức (có trong Google Play hoặc Appstore), website chính thống của ngân hàng.