Lộ dữ liệu cá nhân hàng ngàn nhân viên Con Cưng trên mạng?
Hacker đã tung lên mạng một tập tin chứa dữ liệu là danh sách kèm thông tin cá nhân đầy đủ được cho là của hàng ngàn nhân viên Con Cưng.
Vụ việc được cho là lộ thông tin khách hàng của Thế Giới Di Động vẫn đang làm rõ thì hacker lại tiếp tục tung lên mạng dữ liệu được cho là thông tin cá nhân của hàng ngàn nhân viên chuỗi siêu thị mẹ bầu và em bé Con Cưng.
Thông tin cá nhân của nhân viên Con Cưng bên trong file dữ liệu mà hacker đã tung lên.
Theo đó, trưa 10-11 một hacker đã tung lên trang mạng RaidForums thông tin đang nắm giữ dữ liệu của nhân viên Con Cưng kèm hình chụp để chứng minh là dữ liệu này có thật. Bên cạnh đó hacker này còn đính kèm một file dữ liệu được cho là của Con Cưng để chứng minh dữ liệu này là có thật và để người dùng tải về xem (tuy nhiên muốn tải về được phải trả phí).
Hình chụp màn hình mà hacker đưa lên cho thấy các thông tin cá nhân của nhân viên Con Cưng bao gồm tên t.uổi, địa chỉ, số điện thoại, email, chức vụ của nhân viên, vị trí cửa hàng làm việc… Chúng tôi đã tải về file dữ liệu này (có dung lượng khoảng 3.5MB) để kiểm tra.
Video đang HOT
Qua kiểm tra bên trong file dữ liệu này (dạng text với đuôi.txt) chúng tôi nhận thấy có dữ liệu của 2.272 nhân viên của Con Cưng với các thông tin cá nhân đi kèm đúng như hacker đã mô tả. Các thông tin trong file này ghi rõ tên t.uổi của từng nhân viên, ngày vào làm việc, email, chức vụ, nơi cửa hàng làm việc, số điện thoại…
Ngoài ra, hacker còn thông báo trong bài viết sẽ tiếp tục tung dữ liệu khách hàng của Con Cưng trong bài post tiếp theo. Hacker này cũng tuyên bố có trong tay dữ liệu của website fptshop.com.vn nhưng dữ liệu này sẽ chỉ được bán lại cho những ai muốn mua mà thôi.
Ảnh chụp màn hình thông tin về nhân viên của Con Cưng mà hacker đã đưa lên mạng.
Như vậy có thể thấy các dữ liệu của nhân viên Con Cưng đã bị hacker nắm giữ hoàn toàn tạo ra nguy cơ lộ lọt thông tin và có thể sử dụng vào các mục đích xấu rất nguy hiểm. Và nếu dữ liệu khách hàng của Con Cưng bị đưa trên mạng thì có thể xảy ra nhiều nguy cơ lộ thông tin của người dùng hoàn toàn.
Vào ngày 6-11 vừa qua cũng trên diễn đàn hacker quốc tế RaidForums, một thành viên đã lần lượt tung lên hàng loạt thông tin được cho là thông tin cá nhân các khách hàng của Thế Giới Di Động tại Việt Nam. Thành viên này không chỉ đưa lên ảnh chụp màn hình thông tin tên t.uổi, địa chỉ email, thông tin số thẻ thanh toán… mà còn cung cấp đường link chứa các file dữ liệu để người dùng tải về. Vụ việc này đã khiến nhiều người dùng hoang mang lo ngại khi thông tin thẻ tín dụng của nhiều người có nguy cơ bị lộ trên mạng. Hiện Cục An toàn thông tin đã vào cuộc để xử lý vụ việc Thế Giới Di Động.
Chúng tôi sẽ tiếp tục thông tin đến bạn đọc diễn biến tiếp theo của vụ việc Con Cưng.
Theo Báo Mới
Lưu ở đâu không quan trọng bằng xin phép người dùng
Dự thảo nghị định quy định chi tiết một số điều của Luật An ninh mạng, đang được đưa ra lấy ý kiến góp ý, đã đặt ra bốn điều kiện khá chặt chẽ, hạn chế số doanh nghiệp phải lưu trữ dữ liệu và đặt chi nhánh hoặc văn phòng đại diện tại Việt Nam (điều 25 của dự thảo).
Hai điều kiện đầu như quy định trong Luật An ninh mạng (một số loại hình doanh nghiệp cung cấp dịch vụ trên mạng Internet, mạng viễn thông; có thu thập, khai thác, phân tích, xử lý dữ liệu cá nhân). Hai điều kiện sau do dự thảo nghị định bổ sung, ràng buộc doanh nghiệp nào để người dùng vi phạm một số điều của Luật An ninh mạng và đồng thời chính doanh nghiệp cũng vi phạm một số điều khác của luật này lúc đó mới bị yêu cầu lưu trữ dữ liệu và mở văn phòng tại trong nước.
Tuy nhiên, trong tinh thần bảo vệ người dùng trước các vụ rò rỉ thông tin của nhiều dịch vụ như Facebook, thậm chí lộ cả thông tin thẻ tín dụng ở nhiều trang thương mại điện tử, dự thảo nghị định cần xác lập thêm một nguyên tắc mà nay EU và nhiều nước khác đã luật hóa: doanh nghiệp phải xin phép người dùng trước khi thu thập dữ liệu người dùng, được sự đồng ý rõ ràng mới tiến hành, đồng thời cần nói rõ dữ liệu thu thập nhằm mục đích gì, có trao cho bên thứ ba để kinh doanh, đổi chác hay không. Luật An ninh mạng có nói "Chính phủ quy định chi tiết" việc doanh nghiệp thu thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân nên nghị định hoàn toàn có thể thêm nội dung này.
Quy định bảo vệ dữ liệu chung (GDPR) của EU cấm doanh nghiệp cung cấp dịch vụ thu thập nhiều loại dữ liệu như dữ liệu sinh trắc học nhằm mục đích nhận dạng một người nào đó, giới tính hay xu hướng dục, gốc gác chủng tộc... Các dữ liệu cá nhân khác chỉ được thu thập và xử lý khi có sự đồng ý của người dùng, phải cung cấp thông tin như bên thu thập là ai, thu thập nhằm đáp ứng yêu cầu gì, cơ sở pháp lý của yêu cầu đó là gì, ai sẽ nhận dữ liệu, dữ liệu lưu trong bao lâu... Đáng chú ý, quan điểm của EU là chỉ cho phép doanh nghiệp dịch vụ lưu dữ liệu khi cần xử lý, xử lý xong hay nhu cầu chấm dứt thì phải xóa ngay dữ liệu đó đi. GDPR đặc biệt nghiêm khắc với dữ liệu của t.rẻ e.m, khi bên thu thập phải có sự đồng ý của ba mẹ hay người giám hộ trẻ.
Một điểm khác cần nhấn mạnh trong các văn bản liên quan đến an ninh mạng: đó là quyền của người dùng được truy cập dễ dàng thông tin doanh nghiệp đã thu thập về mình và quyền yêu cầu doanh nghiệp xóa thông tin đó đi. Người dùng cũng có quyền yêu cầu nơi thu thập dữ liệu chỉnh sửa thông tin nếu phát hiện không chính xác, chưa hoàn chỉnh. Và một khi doanh nghiệp cung ứng dịch vụ bị tấn công mạng, bị rò rỉ thông tin thì trách nhiệm của họ là thông báo ngay, đầy đủ đến người dùng, kèm theo là biện pháp khắc phục.
Quay trở lại dự thảo nghị định, điều 24 về dữ liệu phải lưu trữ tại Việt Nam có bao gồm "Dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra, gồm: thông tin chọn tải lên, đồng bộ hoặc nhập từ thiết bị". Điều này với một số dịch vụ là không khả thi; ví dụ Viber không lưu nội dung nhắn tin của người dùng; chỉ có máy đọc e-mail bên trong Gmail chứ người không được đọc; Skype không lưu cuộc trò chuyện bằng video...
Thời gian lưu trữ các loại dữ liệu thông tin cá nhân, dữ liệu người dùng tải lên như nêu trong dự thảo (theo thời gian hoạt động của doanh nghiệp hoặc đến khi không còn cung cấp dịch vụ đối với thông tin cá nhân; tối thiểu là 36 tháng đối với thông tin do người dùng tạo ra) là quá lâu không cần thiết. Doanh nghiệp cung cấp dịch vụ thu thập thông tin cá nhân do một nhu cầu nào đó nhưng khi không còn nhu cầu này nữa thì phải buộc doanh nghiệp xóa đi. Tương tự, nội dung do người dùng đưa lên họ có quyền xóa bất kỳ khi nào họ muốn và doanh nghiệp cung cấp dịch vụ không được lưu bản sao dưới bất kỳ hình thức nào. Đây cũng là thông lệ quốc tế; ví dụ, người dùng tải lên dịch vụ lưu trữ Dropbox một file nào đó, đến khi không cần nữa, họ xóa đi thì Dropbox không có quyền lưu file này chứ nói gì tối thiểu 36 tháng!
Thật ra, rất khó ràng buộc doanh nghiệp bằng cả bốn điều kiện như nói ở trên. Họ chỉ cần khăng khăng, chúng tôi không thu thập, khai thác, phân tích, xử lý dữ liệu cá nhân người dùng; tức dữ liệu cá nhân người dùng họ khai để đăng ký dịch vụ như nó nằm đó, không ai khai thác cả thì cũng đành chịu. Nhưng đã có quy định thì phải khả thi. Chắc chắn không doanh nghiệp cung cấp dịch vụ thư điện tử nào lưu thông tin người dùng chọn tải lên hay nhập từ máy tính tối thiểu 36 tháng nếu người dùng này chọn xóa các thư không còn muốn lưu nữa.
Theo báo mới
Xử lý nội dung 'xấu, độc' trên Internet: Việt Nam có thể tham khảo được gì từ Đức? Xấp xỉ 200.000 là số lượt nội dung đăng tải trên mạng xã hội video YouTube bị người dùng (cả tổ chức và cá nhân) 'báo cáo' đến mạng xã hội này yêu cầu xem xét gỡ bỏ chỉ trong sáu tháng đầu năm nay. Trong đó, gần 60.000 yêu cầu được đáp ứng do YouTube xác định nội dung báo cáo đúng...
