Chiếm quyền, bán cả danh mục
Phản ánh tới Tuổi Trẻ Online, chị N.T.D.T. (SN 1983, TP.HCM) cho biết đã đến cơ quan công an trình báo việc tài khoản chứng khoán (được mở tại VPS) bị đăng nhập trái phép.
Trao đổi chi tiết, chị N.T.D.T. kể có hai tài khoản chứng khoán cho mình và mẹ. Danh mục cả hai khi bán ra hơn 1,11 tỉ đồng.
"Trước ngày 1-6-2023, tôi nhận được tin nhắn của VPS mật khẩu tài khoản khách hàng bị lộ và các room tôi tham gia, tư vấn viên đều khuyến nghị khách hàng đổi mật khẩu. Sau đó tôi đã đổi mật khẩu mới hoàn toàn so với mật khẩu trước đây", chị T. nhớ lại.
Tuy nhiên sau đó, đến ngày 13-6-2023, cả hai tài khoản bị đăng nhập bất hợp pháp và bán hết toàn bộ các cổ phiếu trong danh mục để mua lại một mã giá cao, thanh khoản kém.
"Do đặc thù chứng khoán khi bán ra phải rút tiền chính chủ tài khoản ngân hàng nên họ mua một mã cổ phiếu như vậy. Tiền mất, đổi lại mớ cổ phiếu như giấy lộn", chị T. rầu rĩ.
"Đó là gia tài, mồ hôi công sức bao nhiêu năm tích cóp, tôi đã liên hệ với VPS nhiều lần nhưng chỉ nhận được câu trả lời chờ", chị D.T. nói tiếp.
Tương tự, anh V.T.D. (SN 1993, Hà Nội) bị kẻ gian đánh cắp thông tin và giao dịch mua bán bất thường trên tài khoản. Kẻ xấu đã bán gần như toàn bộ danh mục và mua vào các cổ phiếu rác, giảm sàn liên tiếp nhiều phiên sau đó.
Thời điểm phát hiện bất thường liên quan đến bảo mật hệ thống, anh D. cho biết đã liên hệ với bên VPS qua tổng đài, email và nhân viên quản lý tài khoản để kiểm tra và được hướng dẫn thay đổi mật khẩu.
"Sau hơn 2 tháng xảy ra vụ việc. Tôi chưa có được kết quả xử lý thỏa đáng", anh D. nói. Anh D. còn kể có hơn chục người cùng cảnh ngộ tập hợp kết nối với nhau. Tuy nhiên, nhiều người vì đợi chờ quá lâu nên bỏ cuộc.
Mua lại cổ phiếu rác, thiệt hại lớn?
Hai nhà đầu tư khác, anh N.H.Đ. (SN 1993, Đắk Lắk) và N.H.T. (SN 1991, Bình Thuận) đồng gửi đơn tới cơ quan công an, Ủy ban Chứng khoán nhà nước và nhiều cơ quan khác về việc bị kẻ xấu đánh cắp thông tin, mua bán bất thường trên tài khoản.
Danh mục của anh Đ. và anh T. đều bị bán ra cổ phiếu đang nắm giữ và mua vào cổ phiếu kém hoặc mất thanh khoản. Tổng giá trị thiệt hại của cả hai ước tính gần 1,5 tỉ đồng.
"Ngay thời điểm phát hiện giao dịch bất thường liên quan tới bảo mật của hệ thống VPS, chúng tôi đã liên hệ với VPS qua mail để kiểm tra và được hướng dẫn thay đổi mật khẩu", đơn kêu cứu của nhà đầu tư nêu.
Đến ngày 13-6-2023, họ cho biết lại nhận được thông báo từ VPS về việc không xác định được thông tin giao dịch bất thường và chuyển công an điều tra thêm. Đến nay vụ việc vẫn chưa đi đến "hồi kết" khiến nhà đầu tư cảm thấy mệt mỏi.
Trong văn bản trả lời nhà đầu tư N.H.Đ., Ủy ban Chứng khoán nhà nước cho biết đã giao đơn vị chức năng rà soát hoạt động của VPS theo quy định pháp luật về chứng khoán.
VPS nói gì?
Về phía VPS, ngày 5-9, công ty này cho biết đã nhận được phản ánh từ một số khách hàng về việc tài khoản chứng khoán có dấu hiệu bị đăng nhập trái phép.
VPS khẳng định đã "khẩn trương thực hiện các biện pháp nhằm kịp thời ngăn chặn những thiệt hại tiềm ẩn cho khách hàng trên không gian mạng, hướng tới bảo vệ tối đa quyền và lợi ích hợp pháp cho khách hàng".
Đồng thời VPS cho biết đã liên hệ, trình báo sự việc với cơ quan công an, phối hợp, cung cấp thông tin phục vụ quá trình điều tra.
"VPS sẽ thông tin cụ thể tới khách hàng về kết quả điều tra, sau khi nhận được thông báo chính thức từ cơ quan có thẩm quyền", đại diện phía VPS khẳng định.
Trước đây Ủy ban Chứng khoán nhà nước từng phát đi cảnh báo về lỗ hổng bảo mật của công ty chứng khoán. Theo đó, có một số đối tượng tìm cách truy cập vào hệ thống công nghệ thông tin của công ty chứng khoán thông qua các lỗ hổng bảo mật.
Cục An toàn thông tin vừa đưa ra cảnh báo các cơ quan, tổ chức, doanh nghiệp về các lỗ hổng bảo mật mức cao và nghiêm trọng trong các sản phẩm của Microsoft.