CEO của BKAV bị phản ứng vì nói hàng nghìn CMND rò rỉ từ Pi Network

Bài viết được cho là của CEO Bkav đã nhắc đến ứng dụng Pi Network như nguồn lộ dữ liệu trong vụ hàng nghìn CMND bị rao bán trên mạng.

Ngày 13/5, một người dùng trên diễn đàn R**** đã rao bán khoảng 17 GB dữ liệu là thông tin cá nhân của người Việt Nam với giá 9.000 USD. Dữ liệu bao gồm ảnh chụp hai mặt chứng minh công dân, căn cước công dân, ảnh selfie xác thực, địa chỉ, số điện thoại và email.

Bài viết được cho là của ông Nguyễn Tử Quảng, CEO Bkav nhắc tới ứng dụng Pi. Trong bài viết hiện tại ở trang cá nhân của ông Quảng không có phần nhắc tới Pi. Ảnh: HHV.

Sáng 18/5, mạng xã hội lan truyền ảnh chụp một bài viết của ông Nguyễn Tử Quảng, CEO Bkav. Trong bài viết này, ông Quảng cho biết các chuyên gia an ninh mạng của Bkav khẳng định những thông tin bị rao bán là “dữ liệu của ứng dụng tiền ảo Pi, không liên quan đến dữ liệu quốc gia dân cư”.

Thông tin từ ông Quảng lập tức gây ra tranh cãi, phản đối từ các cộng đồng người đào Pi tại Việt Nam. Nhiều cá nhân cho rằng CEO của BKAV đã có nhận định vội vã, thiếu kiểm chứng.

Tuy nhiên, trong bài viết mới nhất ở trang cá nhân của ông Quảng không nhắc tới phần ứng dụng Pi. Đại diện truyền thông của Bkav không đưa ra bình luận gì liên quan đến ứng dụng này, khẳng định đây là bài viết đã đăng và tồn tại từ sáng.

Pi Network có làm lộ CMND của người dùng?

Sau 2 ngày rao bán dữ liệu, thành viên diễn đàn R**** đăng bài viết mới cho biết chưa có ai mua tập dữ liệu, do vậy người này vẫn đang rao bán. Đáng chú ý, trong bài viết này người bán cho biết “tất cả dữ liệu đều lấy từ mạng lưới Pi”, sau đó chính người này đính chính đây chỉ là lời nói đùa.

Tới sáng 16/5, toàn bộ các bài viết của thành viên Ox1337xO trên diễn đàn R**** đã bị xóa. Dù bài viết của Ox1337xO đã bị xóa đi, thông tin “dữ liệu lấy từ Pi Network” vẫn lan truyền rất nhanh trong các nhóm bàn về tiền mã hóa. Từ trước đó, Pi Network đã là chủ đề bàn luận, so sánh với các dự án tiền mã hóa có tên tuổi khác. Thông tin Pi Network lộ dữ liệu được bàn luận sôi nổi.

Tài khoản bán dữ liệu người Việt ban đầu khẳng định “mọi dữ liệu được lấy từ Pi Network”.

Đối với câu nói dữ liệu lấy từ Pi Network, nhiều người tham gia “đào” Pi khẳng định thông tin này không chính xác, bởi người dùng Việt Nam không thể xác thực thông tin trên Pi Network bằng chứng minh nhân dân hoặc căn cước công dân.

Cụ thể, việc xác thực thông tin (KYC) trên Pi Network được thực hiện thông qua một dịch vụ bên thứ ba là Yoti. Phóng viên Zing đã tải và thực hiện toàn bộ quá trình KYC trên ứng dụng Yoti. Khi mới tải, app yêu cầu người dùng nhập tên, độ tuổi và quét khuôn mặt để tạo tài khoản ban đầu. Sau đó, người dùng có thể nhập giấy tờ cá nhân lên để xác thực.

Khi chọn quốc tịch Việt Nam, app sẽ chỉ có tùy chọn giấy tờ duy nhất là hộ chiếu (passport), không có những lựa chọn khác như giấy phép lái xe hay căn cước công dân. Theo Yoti, hiện tại chỉ người dùng tại 62 quốc gia có thể xác thực bằng giấy chứng minh công dân, trong đó không có Việt Nam.

Khi xác thực trên ứng dụng Yoti, nếu chọn quốc tịch Việt Nam người dùng chỉ có thể gửi ảnh hộ chiếu. Ảnh: TA.

Theo những bài viết hướng dẫn xác thực thông tin (KYC) trên Pi Network mới nhất, do vẫn chưa đi vào giai đoạn chính thức hoạt động (mainnet) nên ứng dụng này chưa yêu cầu mọi người dùng phải xác thực. Do đó, ứng dụng Pi Network sẽ lựa chọn ngẫu nhiên những người thường xuyên mở app và tương tác với ứng dụng để yêu cầu KYC.

Ngoài ra, một số hình ảnh được chụp lại cũng cho thấy tài khoản Ox1337xO sau đó đính chính rằng đây là dữ liệu lấy từ nguồn khác, nhưng anh ta nhắc đến Pi vì ghét ứng dụng này.

Theo Trung tâm Giám sát An toàn Không gian mạng Quốc gia (NCSC), dữ liệu bị rao bán có thể bị lộ từ một dịch vụ cho vay tiền trực tuyến hoặc sàn giao dịch tiền mã hóa.

Sáng 17/5, trung tướng Tô Ân Xô, Chánh văn phòng Bộ Công an, cho biết Cục An ninh mạng cùng các đơn vị liên quan đã vào cuộc kiểm tra, xác minh thông tin hàng nghìn CMND được cho là của công dân Việt Nam bị rao bán trên mạng.

“Cần phải kiểm tra, xác minh làm rõ hàng nghìn CMND đó bị lộ ra từ đâu để xử lý”, tướng Xô nói, Theo ông Xô, đối với giấy tờ tùy thân, rất nhiều nơi có thể yêu cầu người dân cung cấp như ngân hàng, hàng không hay một số lĩnh vực kinh doanh cũng đòi hỏi cung cấp CMND.

Chánh văn phòng Bộ Công an nhận định thông tin cá nhân của hàng nghìn người có thể được sử dụng với nhiều mục đích khác nhau, trong đó “không thể không đề phòng những mục đích xấu”. Do đó, ngay sau khi nắm bắt thông tin, các đơn vị liên quan của Bộ Công an đã vào cuộc để kiểm tra.

Vẫn có rủi ro dữ liệu với Pi Network

Do người dùng chỉ có thể xác thực thông tin trên Pi Network bằng hộ chiếu, thông tin ứng dụng này làm lộ chứng minh nhân dân của người Việt là không có cơ sở. Tuy nhiên, các chuyên gia bảo mật vẫn cảnh báo về rủi ro dữ liệu khi sử dụng Pi Network.

Vào cuối tháng 4, nhà nghiên cứu bảo mật Ryan Montgomery cho biết sau khi kiểm tra luồng dữ liệu từ ứng dụng Pi, anh này nhận thấy có 3.700 tài khoản trong điện thoại bị gửi đến máy chủ của Pi. Montgomery đã tìm cách liên lạc trực tiếp với nhóm phát triển của Pi trên Twitter nhưng không nhận được câu trả lời.

“Chúng ta nên nhờ tới Apple thôi”, nhà nghiên cứu bảo mật này nhận xét.

Ứng dụng Pi yêu cầu truy cập danh bạ điện thoại nếu dùng tính năng mời bạn bè. Ảnh: TA.

Trong bài viết đăng tải sáng 18/5, hai nhà nghiên cứu bảo mật là manhnho và Cu64 của dự án Chống lừa đảo đã phân tích ứng dụng Pi Network phiên bản 1.30.3 trên hệ điều hành Android, được tải về từ Play Store.

Khi sử dụng tính năng mời bạn bè dùng Pi Network, ứng dụng sẽ yêu cầu quyền truy cập danh bạ trên điện thoại. Theo nhóm nghiên cứu, sau khi bấm đồng ý, ứng dụng Pi sẽ gửi danh bạ trong máy lên máy chủ. Sau đó, mỗi lần truy cập mục Nhóm khai thác, ứng dụng lại gửi một bản cập nhật của danh bạ.

Tuy nhiên, vấn đề nằm ở hệ thống quản lý dữ liệu của người dùng. Khi người dùng lựa chọn xóa tài khoản Pi, đúng ra các dữ liệu liên quan đến họ, bao gồm cả danh bạ, cũng phải được xóa đi trên máy chủ. Dù vậy, nhóm nghiên cứu cho thấy họ có thể khôi phục dữ liệu này.

Bằng cách lấy token xác thực của ứng dụng và gửi yêu cầu lên máy chủ, hai nhà nghiên cứu đã lấy lại được toàn bộ danh bạ mà ứng dụng Pi đã tải lên, ngay cả khi họ đã thực hiện yêu cầu xóa tài khoản của mình. Nhóm nghiên cứu khẳng định dữ liệu này đúng ra phải bị xóa hết sau khi người dùng xóa tài khoản.

Tôi vẫn bảo lưu quan điểm nhóm phát triển ứng dụng Pi cần minh bạch hơn nữa

Tiến sĩ Đặng Minh Tuấn, Trưởng Lab Blockchain thuộc Học viện Bưu chính Viễn thông.

“Việc không tôn trọng quyền riêng tư của người dùng là vấn đề rất đáng quan tâm, đặc biệt trong bối cảnh nếu dữ liệu trên không được sử dụng vào đúng mục đích, sẽ gây rất nhiều vấn đề rắc rối cho người dùng.

Hiện nay, chúng tôi vẫn chưa biết được họ dùng dữ liệu danh bạ của người dùng vào việc gì, có bán đi hay không. Hành vi của họ mơ hồ và rất cần cảnh giác”, đại diện nhóm Chống lừa đảo chia sẻ.

“Tôi vẫn bảo lưu quan điểm nhóm phát triển ứng dụng Pi cần minh bạch hơn nữa. Nếu không minh bạch về mã nguồn, có khả năng ứng dụng thực hiện những hành vi mà người dùng không biết đến, như có thể truy nhập và danh bạ người dùng và gửi về server ở nước ngoài”, Tiến sĩ Đặng Minh Tuấn, Trưởng Lab Blockchain thuộc Học viện Bưu chính Viễn thông chia sẻ.