Triệt phá đường dây mua bán trái phép gần 1.300GB dữ liệu

Dữ liệu các đối tượng mua bán, trao đổi chứa thông tin rất chi tiết về các cá nhân, tổ chức, doanh nghiệp, như: họ tên, ngày sinh, số chứng minh nhân dân, địa chỉ, số điện thoại, thông tin tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác…

Ngày 17-5, Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao, Bộ Công an (A05) đã thông tin về kết quả đấu tranh với nhóm đối tượng có hoạt động mua bán, sử dụng, trái phép dữ liệu cá nhân.

Cơ quan công án khám xét nơi các đối tượng thực hiện hành vi

Mua bán, trao đổi dưới dạng các gói dữ liệu “thô”

Theo A05, các gói dữ liệu bị rao bán như: danh sách cán bộ, danh bạ nội bộ của các bộ, tập đoàn kinh tế; khách hàng điện lực trên toàn quốc; thông tin chủ thuê bao điện thoại, internet của các nhà mạng; thông tin khách hàng vay, gửi tiết kiệm ngân hàng; chứng khoán; bảo hiểm; hồ sơ đăng ký kinh doanh; phụ huynh, học sinh; thông tin khách hàng thuộc các lĩnh vực bất động sản, siêu thị, mua ô tô, xe máy…

Dữ liệu các đối tượng mua bán, trao đổi chứa thông tin rất chi tiết về các cá nhân, tổ chức, doanh nghiệp, như: họ tên, ngày sinh, số chứng minh nhân dân, địa chỉ, số điện thoại, thông tin tài khoản ngân hàng (bao gồm cả số dư), thân nhân, chức vụ, vị trí công tác… Nhiều đối tượng còn cam kết “bảo hành” (cam kết tính chính xác) và có khả năng cập nhật dữ liệu, trích xuất dữ liệu theo yêu cầu người mua (cho thấy, những dữ liệu “gốc” được thu thập, trích xuất trực tiếp từ các hệ thống quản lý thông tin của các cơ quan, tổ chức, doanh nghiệp).

Những dữ liệu này bị rao bán công khai thông qua nhiều trang web, tài khoản, trang, nhóm trên mạng xã hội Facebook, Zalo, Telegram, diễn đàn tin tặc (raidforums.com…).

Đối tượng Lại Thị Phương. Ảnh A05 cung cấp

Trước thực trạng trên, Bộ Công an đã chỉ đạo đơn vị chức năng tập trung đấu tranh, làm rõ một số đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn tại Việt Nam.

Theo đó, cuối tháng 1-2021, A05 và Văn phòng Cơ quan Cảnh sát điều tra, Bộ Công an đã phối hợp với Công an Hà Nội, TPHCM, Thanh Hóa, Long An, Đồng Nai tổ chức phá án, khám xét khẩn cấp 7 địa điểm, áp dụng biện pháp tố tụng đối với 15 đối tượng liên quan, vô hiệu hóa 6 đường dây chiếm đoạt, mua bán dữ liệu quy mô lớn.

Ngày 26-2-2021, Văn phòng Cơ quan Cảnh sát điều tra, Bộ Công an đã ra quyết định khởi tố vụ án “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông” theo Điều 288 BLHS năm 2015, sửa đổi, bổ sung năm 2017.

Sau quá trình điều tra, thu thập chứng cứ, ngày 4-5, Văn phòng Cơ quan Cảnh sát điều tra, Bộ Công an đã ra các quyết định khởi tố bị can, bắt bị can để tạm giam 3 tháng đối với Dư Anh Quý (sinh năm 1988, trú tại thị trấn Kẻ Sặt, huyện Bình Giang, tỉnh Hải Dương, hiện nay sống tại huyện Đông Anh, Hà Nội) và quyết định khởi tố bị can, cấm đi khỏi nơi cư trú đối với Lại Thị Phương (sinh 1992, trú tại thị trấn Kẻ Sặt, huyện Bình Giang, tỉnh Hải Dương, Giám đốc Công ty VNIT TECH) cùng về hành vi “Đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông”.

Các quyết định này đã được Viện Kiểm sát nhân dân tối cao phê chuẩn. Những đối tượng còn lại đang được tiếp tục điều tra, làm rõ và xử lý trong thời gian tới.

Đọc lệnh bắt đối tượng Dư Anh Quý. Ảnh: A05 cung cấp

Hàng tỷ thông tin cá nhân bị chiếm đoạt

Theo điều tra, các đối tượng đã thu thập, chiếm đoạt, mua bán, sử dụng trái phép gần 1.300GB dữ liệu, chứa hàng tỷ thông tin về các cá nhân, tổ chức trên toàn quốc là khách hàng điện lực; phụ huynh, học sinh tại các trường trên cả nước; khách hàng của nhiều ngân hàng, trong đó có các ngân hàng lớn nhất Việt Nam; thông tin đăng ký kinh doanh, nhân sự cơ quan nhà nước, bảo hiểm, hộ khẩu; dữ liệu viễn thông, thuê bao điện thoại của các nhà mạng viễn thông lớn nhất Việt Nam; thông tin khách hàng tại các dự án bất động sản trên toàn quốc; khách hàng điện máy trên toàn quốc; thông tin của khách hàng VIP, khách hàng đầu tư tài chính, chứng khoán, khách hàng các ngành SPA, nha khoa, thời trang, thẩm mỹ viện...

Những dữ liệu này được các đối tượng thu thập từ nhiều nguồn và bằng nhiều phương thức khác nhau, đáng chú ý là lợi dụng quyền quản trị hệ thống thông tin tại một số cơ quan, doanh nghiệp để trích xuất dữ liệu.

Tang vật vụ án

Kết quả điều tra bước đầu cũng cho thấy, phát hiện nhiều cá nhân, doanh nghiệp (bảo hiểm, trung tâm ngoại ngữ, bất động sản…) mua dữ liệu với số lượng lớn từ các đối tượng để sử dụng trái phép nhằm thu lợi bất chính. Có dấu hiệu về sự thiếu trách nhiệm, buông lỏng quản lý của một số cơ quan, tổ chức, doanh nghiệp đối với thông tin, dữ liệu cá nhân về khách hàng do mình quản lý.

Trong số các đối tượng chiếm đoạt dữ liệu mà Bộ Công an làm rõ chủ yếu lợi dụng quyền quản trị, truy cập hệ thống được cấp để trích xuất dữ liệu trái phép. Đáng chú ý, sau khi chiếm đoạt, các đối tượng công khai rao bán trong thời gian dài nhưng chủ quản hệ thống không phát hiện, ngăn chặn, trình báo với cơ quan chức năng, cũng như thực hiện trách nhiệm với những khách hàng bị lộ thông tin. Có dấu hiệu một số doanh nghiệp khai thác, sử dụng trái phép dữ liệu khách hàng để cung cấp cho bên thứ ba nhằm thu lợi bất chính.

Hiện Văn phòng Cơ quan Cảnh sát điều tra, Bộ Công an đang phối hợp với A05 và các đơn vị chức năng điều tra, làm rõ toàn bộ vụ án, xử lý các đối tượng liên quan theo quy định pháp luật. Đồng thời, điều tra mở rộng, làm rõ để xử lý theo quy định pháp luật đối với những đối tượng thực hiện hành vi xâm nhập, chiếm đoạt dữ liệu “gốc” từ các hệ thống thông tin dữ liệu của cơ quan, tổ chức để cung cấp cho các đối tượng mua bán; làm rõ các cá nhân, tổ chức mua, sử dụng trái phép dữ liệu; làm rõ trách nhiệm của chủ quản các hệ thống thông tin do buông lỏng quản lý bị các đối tượng lợi dụng chiếm đoạt dữ liệu và kiến nghị hình thức, biện pháp xử lý phù hợp.

ĐỖ TRUNG (SGGPO)