Những lỗ hổng vô hình đẩy dữ liệu người Việt vào “chợ đen” quốc tế

Sự yếu kém trong quản trị kỹ thuật của các nền tảng thương mại điện tử đang trở thành “điểm gãy” nguy hiểm nhất của toàn bộ hệ sinh thái số. Backend vốn là “trái tim vận hành” của hệ thống lại bị xây dựng theo ưu tiên tốc độ, tính năng và thương mại hóa trước khi tính đến bảo mật. Điều này tạo ra các lỗ hổng khó nhìn thấy nhưng lại dễ bị khai thác.

Ở nhiều nền tảng, việc phân quyền truy cập được thiết kế đơn giản để tăng hiệu quả vận hành, khiến rất nhiều bộ phận có thể truy cập những dữ liệu mà họ không thực sự cần. Hacker chỉ cần xâm nhập vào một tài khoản nhân viên cấp thấp là có thể leo thang đặc quyền, truy xuất dữ liệu ở mức cao hơn. Khi doanh nghiệp không triển khai mô hình “zero-trust” hoặc không giám sát bất thường, mọi mối nguy đều bị bỏ ngỏ.

Bên cạnh đó, cơ sở dữ liệu khổng lồ của các nền tảng thương mại điện tử trở thành “mỏ vàng” cho hacker không chỉ vì nó dễ tấn công mà còn vì dữ liệu có giá trị thương mại cao. Chỉ cần chi vài triệu đồng, hacker có thể mua được một gói dữ liệu 100.000 - 500.000 khách hàng, rồi sử dụng để thực hiện các cuộc gọi giả mạo có tỷ lệ thành công lên đến 30% mức cao đến nguy hiểm đối với một hành vi lừa đảo.

Yếu tố nội bộ tiếp tục là điểm yếu khó kiểm soát nhất. Nhiều vụ rò rỉ dữ liệu lớn tại Việt Nam không bắt nguồn từ mã độc hay xâm nhập phức tạp mà từ nhân viên bán dữ liệu để kiếm lợi nhuận. Nhiều doanh nghiệp chưa có quy trình giám sát chặt chẽ nên không phát hiện hành vi xuất dữ liệu bất thường trong hàng tháng trời. Khi một file dữ liệu rò rỉ, nó nhanh chóng bị copy, nhân bản và lan truyền theo cấp số nhân trong các nhóm Telegram, diễn đàn hacker và chợ đen quốc tế.

API vốn được thiết kế để tăng khả năng kết nối lại vô tình trở thành “lỗ hổng dễ quên”. Nhiều API để ở chế độ công khai theo mặc định, không giới hạn tốc độ, không theo dõi truy vấn. Tin tặc chỉ cần gửi hàng nghìn truy vấn mỗi phút để “vét sạch” dữ liệu mà không tạo ra cảnh báo hệ thống. Điều đáng lo hơn là nhiều nền tảng mua sắm trực tuyến cho phép truy xuất trạng thái đơn hàng chỉ bằng mã vận đơn thông tin nằm lộ trên từng gói hàng. Đây là lý do chỉ cần một tấm ảnh khoe hàng lên mạng xã hội, thông tin cá nhân người nhận lập tức bị lộ.

Khi dữ liệu bị rao bán, nó không dừng lại ở hoạt động mua bán đơn lẻ mà đi vào chuỗi giá trị hoàn chỉnh của nền kinh tế tội phạm số. Một gói dữ liệu có thể được mua đi bán lại hàng chục lần, được phân nhóm theo độ chi tiết, theo địa phương, theo hành vi tiêu dùng để phục vụ hàng loạt chiến dịch lừa đảo. Tội phạm mạng đã thương mại hóa dữ liệu người Việt theo cách mà chính người dùng không bao giờ tưởng tượng nổi.

Dữ liệu bị thương mại hóa trong nền kinh tế tội phạm số

Một khi dữ liệu người Việt bị rao bán, nó hiếm khi dừng lại ở một giao dịch đơn lẻ. Thay vào đó, dữ liệu đi vào chuỗi giá trị đầy đủ của nền kinh tế tội phạm số - nơi mọi thông tin đều được phân loại, tối ưu hóa và khai thác đến tận cùng.

Một gói dữ liệu có thể được mua đi bán lại hàng chục lần, được tổ chức thành nhiều tầng: theo độ chi tiết, khu vực địa lý, hành vi tiêu dùng, thói quen mua sắm… nhằm phục vụ hàng loạt chiến dịch lừa đảo. Tội phạm mạng đã thương mại hóa dữ liệu cá nhân theo cách mà người dùng không thể tưởng tượng: từ giả mạo cuộc gọi chăm sóc khách hàng, đánh cắp OTP, giả mạo thu hộ chi hộ đến các mô hình lừa đảo tinh vi dựa trên “định danh hành vi”.

Khi dữ liệu được coi như hàng hóa và lưu thông tự do trong các nhóm hacker quốc tế, rủi ro không còn chỉ dừng ở spam hay làm phiền. Thay vào đó, người dùng phải đối mặt với nguy cơ mất tiền, mất danh tính, bị tấn công xã hội và thậm chí bị xây dựng hồ sơ tài chính giả để phục vụ gian lận quy mô lớn.

Dữ liệu cá nhân của hàng chục triệu người Việt đang âm thầm nuôi dưỡng một nền kinh tế tội phạm số trị giá hàng trăm triệu USD, phát triển ngày một tinh vi và khó kiểm soát. Và chừng nào các doanh nghiệp chưa thực sự coi bảo mật là trách nhiệm cốt lõi, vòng xoáy rò rỉ - mua bán - khai thác dữ liệu vẫn sẽ tiếp tục luân chuyển không ngừng.

Theo chuyên gia an ninh mạng Vũ Ngọc Sơn, Trưởng Ban Nghiên cứu, tư vấn, phát triển công nghệ và Hợp tác quốc tế của Hiệp hội An ninh mạng Quốc gia (NCA), sự bùng nổ của trí tuệ nhân tạo trong năm 2025 đã khiến các phương thức lừa đảo trực tuyến trở nên tinh vi hơn rất nhiều. Không chỉ dựa trên dữ liệu cá nhân bị rò rỉ, tội phạm mạng còn sử dụng AI và deepfake để giả mạo gương mặt, giọng nói người thân, tạo ra những tình huống khiến nạn nhân dễ mất bình tĩnh và đưa ra quyết định sai lầm.

Ông Vũ Ngọc Sơn cho biết các cuộc gọi video giả mạo, ghi âm “nhận dạng”, hay tin nhắn mạo danh với độ chính xác cao xuất hiện ngày càng nhiều. Khi được kết hợp với dữ liệu cá nhân bị lộ, các cuộc tấn công này trở nên cực kỳ thuyết phục và rất khó phát hiện.

Bên cạnh cảnh báo về xu hướng tấn công mới, ông nhấn mạnh việc người dùng chủ động tự bảo vệ mình thông qua các công cụ phòng vệ số. Một trong số đó là nTrust, nền tảng do Hiệp hội An ninh mạng Quốc gia phát hành để phát hiện đường link và phần mềm độc hại. Theo ông, việc sử dụng các công cụ này như một “bộ lọc an toàn đầu tiên” giúp người dân giảm đáng kể nguy cơ truy cập vào trang web lừa đảo.

Ông Vũ Ngọc Sơn cho rằng trong bối cảnh dữ liệu cá nhân bị mua bán công khai và tội phạm mạng sở hữu công nghệ ngày càng mạnh, kỹ năng số và bộ công cụ tự bảo vệ chính là lớp phòng vệ quan trọng nhất của mỗi người dân.

Song song với việc nâng cao nhận thức và kỹ năng của người dùng, Việt Nam cũng đang củng cố hành lang pháp lý để bảo vệ dữ liệu cá nhân. Luật Bảo vệ dữ liệu cá nhân 2025 nghiêm cấm tuyệt đối việc đánh cắp, mua bán hay trao đổi trái phép dữ liệu cá nhân - yếu tố khiến tội phạm có thể tiếp cận người dân bằng các cuộc gọi “đúng tên, đúng tuổi”. Trong Dự thảo Luật An ninh mạng 2025, nội dung về an ninh dữ liệu tiếp tục được xác định là trọng tâm, đồng thời nghiêm cấm hành vi sử dụng công nghệ để giả mạo thông tin, hình ảnh, giọng nói hoặc làm nhái thương hiệu.

Thu Uyên