Ngày 18-5, Cơ quan Cảnh sát điều tra Bộ Công an (C01) cho biết đã ra quyết định khởi tố bị can đối với Lại Thị Phương (29 tuổi, giám đốc Công ty VNIT TECH) và Dư Anh Quý (33 tuổi, chồng Phương, cùng trú tại Hà Nội) về tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông, theo Điều 288 BLHS năm 2015.
Trong đó, Quý bị bắt tạm giam, Phương bị cấm đi khỏi nơi cư trú. Hai bị can được xác định có vai trò chính trong một đường dây chiếm đoạt, mua bán trái phép dữ liệu cá nhân quy mô lớn tại Việt Nam.
Công an triệt phá đường dây chiếm đoạt, sử dụng trái phép dữ liệu cá nhân của Quý và Phương. Ảnh: TP
Hàng tỉ dữ liệu bị chiếm đoạt trái phép
Cuối tháng 1-2021, C01 phối hợp Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao (Bộ Công an) cùng Công an Hà Nội, TP.HCM, Thanh Hóa, Long An và Đồng Nai tổ chức triệt phá đường dây của Quý và Phương.
Hàng chục chiến sỹ cảnh sát, chia thành nhiều mũi, đồng loạt khám xét khẩn cấp bảy địa điểm, qua đó áp dụng biện pháp tố tụng đối với 15 nghi phạm, vô hiệu hoá sáu ổ nhóm chiếm đoạt, mua bán dữ liệu cá nhân.
Nhiều tháng ròng rã thu thập chứng cứ, bước đầu công an xác định đường dây này đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300GB dữ liệu, chứa hàng tỉ thông tin về các cá nhân, tổ chức trên toàn quốc.
Những các nhân, tổ chức bị chiếm đoạt thông tin rất đa dạng, từ khách hàng điện lực, phụ huynh, học sinh cho đến khách hàng của nhiều ngân hàng lớn. Họ cũng có thể là nhân sự cơ quan nhà nước, khách hàng tại các dự án bất động sản, khách hàng điện máy, thậm chí cả khách hàng VIP đầu tư tài chính, chứng khoán, mỹ viện...
Thông tin bị chiếm đoạt đều là dữ liệu quan trọng như đăng ký kinh doanh, bảo hiểm, hộ khẩu, dữ liệu viễn thông hoặc thuê bao điện thoại… Những dữ liệu này được các nghi phạm thu thập từ nhiều nguồn và bằng nhiều phương thức khác nhau, điển hình là việc lợi dụng quyền quản trị hệ thống thông tin tại một số cơ quan, doanh nghiệp để trích xuất dữ liệu.
Đáng chú ý, công an cho biết quá trình điều tra phát hiện nhiều cá nhân, doanh nghiệp (bảo hiểm, trung tâm ngoại ngữ, bất động sản…) mua dữ liệu với số lượng lớn từ đường dây của Quý và Phương để sử dụng trái phép, nhằm thu lợi bất chính.
Cùng với đó, cơ quan chức năng còn phát hiệu dấu hiệu về sự thiếu trách nhiệm, buông lỏng quản lý của một số cơ quan, tổ chức, doanh nghiệp trong việc quản lý thông tin, dữ liệu cá nhân về khách hàng. Nghiêm trọng hơn, một số doanh nghiệp có dấu hiệu khai thác, sử dụng trái phép dữ liệu khách hàng để cung cấp cho bên thứ ba.
Sau khi chiếm đoạt, các nghi phạm công khai rao bán thông tin trong thời gian dài nhưng chủ quản hệ thống không phát hiện, ngăn chặn, trình báo với cơ quan chức năng, cũng như thực hiện trách nhiệm với những khách hàng bị lộ thông tin.
Nắm được cả số dư tài khoản
Từ năm 2019 đến nay, lực lượng công an liên tiếp triệt phá nhiều vụ chiếm đoạt, sử dụng trái phép dữ liệu thông tin cá nhân.
Điển hình, cơ quan công an vô hiệu hóa ba hệ thống, 20 trang web cung cấp dịch vụ xác định số điện thoại đăng ký tài khoản mạng xã hội với gần 500 triệu thông tin cá nhân; vô hiệu hóa bốn hệ thống cung cấp dịch vụ với gần 141 GB dữ liệu xác định số điện thoại thuê bao 3G, 4G.
Kết quả điều tra cho thấy hoạt động thu thập, chiếm đoạt, mua bán, sử dụng trái phép thông tin, dữ liệu cá nhân trên không gian mạng diễn biến phức tạp. Dữ liệu bị chiếm đoạt, mua bán có quy mô lớn, thuộc hầu hết các lĩnh vực, ảnh hưởng đến hàng triệu cá nhân, tổ chức trên toàn quốc.
Các “gói” dữ liệu được rao bán rất đa dạng, như danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế; khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh...
Đặc biệt, dữ liệu chứa thông tin rất chi tiết về các cá nhân, tổ chức như: họ tên, ngày sinh, số CMND, địa chỉ, số điện thoại, thông tin tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác…
Nhiều đối tượng còn cam kết tính chính xác và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua. Điều này cho thấy những dữ liệu “gốc” được thu thập, trích xuất trực tiếp từ các hệ thống quản lý thông tin của các cơ quan, tổ chức, doanh nghiệp.
Dữ liệu bị chiếm đoạt được rao bán, rao mua công khai, dưới nhiều hình thức, trong đó thông qua các trang web, tài khoản, trang, nhóm trên mạng xã hội Facebook, Zalo, Telegram hoặc diễn đàn tin tặc (raidforums.com…).
Cũng theo công an, các dữ liệu thu thập trái phép sẽ được sử dụng để xây dựng thành hệ thống phục vụ quảng cáo, chăm sóc khách hàng hoặc bán dưới dạng dịch vụ (khách hàng được cấp tài khoản sử dụng), phổ biến là dịch vụ xác định số điện thoại đăng ký tài khoản mạng xã hội và số điện thoại của thuê bao 3G, 4G.
Mở rộng đều tra đến tận “gốc, rễ” Ngoài việc khởi tố hai bị can như đã nêu, C01 cho biết đang tiếp tục phối hợp với các đơn vị liên quan để mở rộng điều tra vụ án. Theo đó, công an sẽ làm rõ những người thực hiện hành vi xâm nhập, chiếm đoạt dữ liệu “gốc” từ các hệ thống thông tin dữ liệu của cơ quan, tổ chức để cung cấp cho các nghi phạm mua bán; các cá nhân, tổ chức mua, sử dụng trái phép dữ liệu. Chưa hết, công an cũng sẽ làm rõ trách nhiệm của chủ quản các hệ thống thông tin do buông lỏng quản lý bị các nghi phạm lợi dụng chiếm đoạt dữ liệu và kiến nghị hình thức, biện pháp xử lý phù hợp. |