Một số vụ rò rỉ dữ liệu gây chú ý toàn cầu vì số lượng người dùng bị ảnh hưởng, chẳng hạn sự cố quét dữ liệu Facebook năm 2019 làm lộ thông tin của 553 triệu người trên toàn thế giới. Cũng có những vụ rò rỉ ảnh hưởng đến toàn bộ hoặc phần lớn dân số của một quốc gia, ví dụ: cơ sở dữ liệu cấu hình sai khiến gần như toàn bộ dân số Ecuador bị lộ thông tin vào năm 2019; vụ rò rỉ nội bộ làm lộ thông tin của gần như toàn bộ người dân Israel năm 2006; cơ sở dữ liệu cử tri bị cấu hình sai khiến hơn 75% cử tri Mexico bị lộ thông tin năm 2016; hay vụ tấn công bằng ransomware vào UnitedHealth Change Healthcare năm 2024 làm ảnh hưởng đến hơn 190 triệu người Mỹ.
Và giờ đây là Việt Nam. Nhóm ShinyHunters tuyên bố đã tấn công thành công và lấy đi hơn 160 triệu bản ghi từ Viện Tín dụng Việt Nam, đơn vị quản lý Trung tâm Thông tin Tín dụng Quốc gia (CIC). CIC là tổ chức sự nghiệp công lập trực thuộc Ngân hàng Nhà nước Việt Nam, có chức năng đăng ký tín dụng quốc gia; thu thập, xử lý, lưu trữ và phân tích thông tin tín dụng; phòng ngừa và hạn chế rủi ro tín dụng; chấm điểm và xếp hạng tín dụng của pháp nhân và cá nhân trong lãnh thổ Việt Nam; đồng thời cung cấp các sản phẩm, dịch vụ thông tin tín dụng theo quy định của Ngân hàng Nhà nước và pháp luật.
Trong khi những người liên quan đến ShinyHunters khoe khoang trên Telegram rằng Việt Nam đã bị “chiếm quyền trong vòng 24 giờ,” nhóm này đã rao bán dữ liệu trên một diễn đàn hacker, kèm theo một lượng lớn mẫu dữ liệu được mô tả là hơn 160 triệu bản ghi với “thông tin cực kỳ nhạy cảm bao gồm PII (thông tin nhận dạng cá nhân) cơ bản, thanh toán tín dụng, phân tích rủi ro, thẻ tín dụng (yêu cầu người mua tự giải mã thuật toán FDE), CMND quân đội, CMND chính phủ, mã số thuế, báo cáo thu nhập, các khoản nợ và nhiều dữ liệu khác.”
DataBreaches đã hỏi ShinyHunters thêm chi tiết, bao gồm số lượng cá nhân duy nhất trong dữ liệu, vì dân số Việt Nam hiện vào khoảng dưới 102 triệu người. ShinyHunters trả lời rằng dữ liệu bao gồm cả dữ liệu lịch sử. Họ nói rằng không rõ có bao nhiêu cá nhân duy nhất, nhưng gần như chắc chắn đã có toàn bộ dân số.
Bởi sự cố này không giống với các chiến dịch gần đây của ShinyHunters, DataBreaches đã hỏi tại sao họ chọn mục tiêu này và bằng cách nào xâm nhập. Theo ShinyHunters, họ chọn CIC vì đây là nơi chứa lượng dữ liệu khổng lồ. Tổng số bản ghi (dòng) trên tất cả các bảng là khoảng hơn 3 tỷ. Họ cho biết đã khai thác bằng một lỗ hổng n-day. Khi được hỏi thêm liệu CIC có thể đã vá lỗ hổng này hay không, ShinyHunters trả lời rằng không có bản vá nào tồn tại vì phần mềm đã hết vòng đời hỗ trợ.
Trả lời câu hỏi liệu CIC có phản ứng với bất kỳ yêu cầu tống tiền hay đòi chuộc dữ liệu nào hay không, ShinyHunters cho biết không hề có yêu cầu nào, vì họ cho rằng sẽ chẳng nhận được phản hồi.
DataBreaches đã gửi email cho CIC để hỏi về vụ việc, nhưng đến thời điểm bài viết vẫn chưa nhận được phản hồi. Nếu CIC trả lời, bài viết sẽ được cập nhật. Tuy nhiên, cần lưu ý rằng hiện chưa có xác nhận chính thức về các tuyên bố của ShinyHunters, dù các cáo buộc có vẻ đáng tin.
Cũng cần nhấn mạnh rằng bài viết này gọi đây là một vụ tấn công của ShinyHunters, chứ không quy cho Scattered Spider hay Lapsus$. Khi được hỏi nên quy trách nhiệm cho nhóm nào, ShinyHunters trả lời: “Đây không phải kiểu hack của Scattered Spider … mà là ShinyHunters.” Họ cũng thừa nhận rằng cần giải quyết “vấn đề tên gọi,” nhưng nói thêm: “Tôi không biết phải sửa thế nào khi trong nhiều năm qua mọi người đều nghĩ rằng đây là hai nhóm hoàn toàn khác nhau.”
(nguồn databreaches)
