Vụ hơn 163 triệu tài khoản Zing ID bị rao bán và nguy cơ lộ thông tin cá nhân người dùng

VietTimes -- Sự cố lộ thông tin Zing ID của hơn 163 triệu tài khoản, vừa diễn ra vài ngày qua, đã nhanh chóng trở thành sự việc gây xôn xao khắp các cộng đồng mạng xã hội. Đây chỉ là một trong nhiều những vụ việc liên quan tới bảo vệ thông tin cá nhân người dùng làm nóng dư luận xã hội thời gian gần đây.

Vào tối ngày 24/4, trên diễn đàn chuyên chia sẻ, mua bán dữ liệu rò rỉ Raidforums.com, một thành viên chia sẻ file dữ liệu được cho là gồm 163.666.400 tài khoản Zing ID của VNG trong một file đính kèm có dung lượng 7,55GB. Theo đó, dữ liệu bao gồm nhiều thông tin cá nhân như mật khẩu, tên đăng nhập, mã game (gamecode), email, số điện thoại, tên đầy đủ, ngày sinh, địa chỉ, IP, tên thành phố, tên quốc gia,... của những người có tài khoản Zing ID.

Vụ hơn 163 triệu tài khoản Zing ID bị rao bán và nguy cơ lộ thông tin cá nhân người dùng ảnh 1 Thành viên diễn đàn khẳng định các thông tin này chính là dữ liệu Zing ID của VNG.

Đến thời điểm tối ngày 27/4, file đính kèm trong chủ đề này đã bị xóa. Tuy nhiên, tới sáng ngày 28/4, người đăng tải tập tin này lên đã cập nhật lại địa chỉ và tuyên bố cho phép mọi người tải về miễn phí.

Qua quan sát, có thể thấy các thông tin trong file được chia sẻ đều rất chi tiết, mang khối lượng thông tin khổng lồ, tuy nhiên, thông tin quan trọng nhất là mật khẩu thì đã mã hóa và hiện chưa có thông tin về việc giải mã.

Ngay khi sự cố bị phát hiện, VNG (đơn vị chủ quản của Zing – PV) đã nhanh chóng lên tiếng trấn an người dùng: “Phạm vi người dùng bị tác động thực sự bởi sự cố này không lớn, tập trung ở các khách hàng chơi game và không ảnh hưởng tới các sản phẩm khác của VNG. Hơn nữa, gần 99% số tài khoản Zing ID nói trên đã không phát sinh hoạt động nào trong hơn 1 năm trở lại đây”.

Một thành viên của diễn đàn cho biết nhiều thông trong file đính kèm đó đã  cũ, thậm chí có đến 18 triệu tài khoản, trong số hơn 163 triệu tài khoản được cung cấp, là sử dụng email Yahoo. Ngoài ra, nhiều thành viên nhận ra các thông tin được cung cấp theo dạng chuỗi text01, text02, text03, text04, text 05, hay number01, number02, number03, number04, number05; hoặc datetime01, datetime02, datetime03, datetime04, datetime05;… và tỏ ý nghi ngờ kho dữ liệu này.

Vụ hơn 163 triệu tài khoản Zing ID bị rao bán và nguy cơ lộ thông tin cá nhân người dùng ảnh 2 Dữ liệu này có nhiều thông tin dạng chuỗi và rất khó được kiểm chứng.

Cùng với những thông tin đăng kí bất thường như trên, nhiều thông tin được cung cấp trong file tài liệu cũng dấy lên sự nghi ngờ về tính xác thực của nội dung tài liệu, khi thực tế, hầu hết các tài khoản trên Zing ID là tài khoản clone, hoặc tài khoản có ít giá trị thông tin do người dùng (game thủ) xem nhẹ, điền sai vô tội vạ để nhanh chóng có tài khoản tham gia.

Trước sự việc này, VNG cho biết: “Zing ID là hệ thống quản lý tài khoản cho các sản phẩm game của VNG. Năm 2015, VNG đã ghi nhận việc 160 triệu Zing ID có nguy cơ bị rò rỉ và có thể ảnh hưởng tới một bộ phận tệp khách hàng chơi game của công ty. Ngay tại thời điểm đó, chúng tôi đã kịp thời  có các biện pháp xử lý, ngăn chặn xâm nhập, giới hạn số lượng người dùng bị ảnh hưởng bởi sự cố thông qua các biện pháp kỹ thuật”.

Có thể thấy, sự cố này đã dự báo trước và nội dung thông tin trong đó gần như đã cũ, không còn quá quan trọng. Nhưng vô hình trung, nó đã tạo nên một làn sóng nghi ngại từ cộng đồng trong những ngày vừa qua. Sự cố này cũng là minh chứng về việc những thông tin cá nhân không hề liên quan đến tài chính, không có nhiều giá trị nhưng nếu bị để lọt ra ngoài, nó sẽ nhanh chóng khiến dân mạng tức giận. Quyền riêng tư trong thế giới mạng xã hội bùng nổ đang dần trở thành điều rất được quan tâm.

Trao đổi với VietTimes, một chuyên gia bảo mật nhận định: Dữ liệu cá nhân đang được nhìn nhận là một tài sản đặc biệt giá trị. Mọi thông tin cá nhân dù đơn giản nhất, như về nơi ở, quá trình học tập, cho đến các thói quen, hành vi,... đều trở thành tiền trong thời công nghệ số.

Khi đăng ký sử dụng một dịch vụ bất kì, người dùng phải chấp nhận một cách bắt buộc cho đơn vị cung cấp thu thập và sử dụng dữ liệu. Tất nhiên, các đơn vị đều đưa ra cam kết bảo mật và mã hóa.Thế nhưng, điều này có thể đúng với đơn vị thu thập dữ liệu, mà hoàn toàn không liên quan đến những người sẽ sử dụng chúng sau này.

Thực tế, đa phần các công ty đều cam kết giữ kín thông tin cá nhân người dùng vì chính sách bảo mật. Tuy nhiên, họ có thể chia sẻ thông tin đó cho các đối tác chiến lược. Và người dùng không bao giờ được thông báo về sự chia sẻ này và về lâu dài, hoàn toàn không biết ai sẽ tiếp cận số thông tin ấy.