Các nền tảng giao dịch tiền điện tử đã quan tâm đúng mực đến dữ liệu cá nhân?

Vụ lộ lọt 17GB dữ liệu người dùng Việt Nam hồi tuần trước đã dấy lên mối lo ngại của người dùng về việc cung cấp thông tin cá nhân khi tham gia các nền tảng tiền điện tử.

Trên diễn đàn dành cho hacker tuần trước, một tin tặc đã đăng bán 17GB dữ liệu cá nhân KYC (Know Your Customer) của người dùng Việt Nam với nhiều ảnh chụp chứng minh thư nhân dân (CMTND), căn cước công dân (CCCD), sổ hộ khẩu, ảnh selfie… với mức giá 9.000 USD. Hacker tiết lộ có được số thông tin này thông qua Pi Network. Ngay sau đó, công tác điều tra đã được tiến hành. Mặc dù được khẳng định là không có liên quan đến Pi Network, tuy nhiên người dùng đã bắt đầu đặt ra nghi vấn về sự an toàn dữ liệu trên các nền tảng tiền điện tử này.

Trước đó, sàn giao dịch lớn nhất thế giới Binance cũng vướng phải nghi vấn làm lộ lọt thông tin KYC. Cụ thể, năm 2019, một hacker từng rao bán 10.000 tấm ảnh tương tự như dữ liệu KYC Binance với giá 300 BTC. Phía Binance đã đăng đàn bác bỏ thông tin này nhưng phía người dùng vẫn không khỏi lo lắng.

Ngành công nghiệp tiền điện tử toàn cầu phát triển chóng mặt kể từ sau cơn sốt Bitcoin hồi năm 2013. Chỉ sau năm năm, tổng giá trị vốn hóa của nó tăng gấp hơn mười lần. Tuy nhiên, tiền điện tử là thị trường non trẻ và đầy rẫy rủi ro. Các tình trạng lừa đảo và vi phạm bảo mật trên các nền tảng tiền điện tử vẫn xảy ra thường xuyên.

Thống kê từ năm 2011 đến năm 2021, thiệt hại liên quan đến dự án tiền điện tử lừa đảo trị giá lên gần 5 tỉ đô la, trong khi gần 3 tỉ đô la đã bị đánh cắp sau các vụ tấn công nhằm vào nền tảng tiền điện tử.

Các nền tảng giao dịch tiền điện tử đã quan tâm đúng mực đến dữ liệu cá nhân? ảnh 1

Ảnh minh họa: Finance Magnates.

Quan điểm về KYC từng "dậy sóng" cộng đồng tiền điện tử

Trên diễn đàn nổi tiếng trong cộng đồng tiền điện tử Bitcoin Talk, một bài viết đề cập đến rủi ro của hệ thống KYC trên nền tảng tảng điện tử thu hút hàng trăm lượt tương tác.

Cụ thể, tài khoản … - chủ bài viết - phân tích rằng “Khi các nền tảng yêu cầu KYC, người dùng buộc phải cung cấp nhận dạng cá nhân của họ cho bên thứ ba (chẳng hạn như sàn giao dịch, ICO, v.v.). Sau thời điểm đó, họ không còn kiểm soát quy trình nữa và hoàn toàn phụ thuộc về bên thứ ba lưu trữ dữ liệu nhạy cảm.

Rõ ràng, những rủi ro đối với người dùng bình thường là không thể tránh khỏi khi họ buộc phải cung cấp dữ liệu cá nhân của mình cho những người không xác định hoặc một dịch vụ tập trung. Đơn giản là không có gì đảm bảo rằng dữ liệu cá nhân của chúng ta được an toàn ở đó, ngay cả các công ty lớn với tiêu chuẩn bảo mật cao cũng có thể bị tấn công bất ngờ”.

Ở phần bình luận bên dưới, nhiều người dùng khác tỏ ra đồng tình với ý kiến này. Họ không có nhu cầu KYC vì nhiều lý do. Trong đó, quan trọng nhất tính ẩn danh khi giao dịch và tránh lộ lọt dữ liệu cá nhân. Một số ý kiến khác cho rằng nền tảng tiền điện tử vận hành dựa trên mô hình phi tập trung. Vì vậy, ngay cả nhà phát triển cũng không thể dễ dàng can thiệp, đảo chiều giao dịch nếu xảy ra sự cố.

Bên cạnh đó, chính các nền tảng tiền điện tử cũng không thực sự quan tâm đến KYC. Một nghiên cứu năm 2020 cho thấy, 56% các nhà cung cấp dịch vụ tài sản ảo (VASP) trên thế giới cho phép người dùng rút hoặc nạp thêm tiền lên đến các giá trị nhất định mà không cần thông qua bất kỳ thủ tục định danh nào hoặc nếu có thì quy trình cũng tương đối đơn giản.

Cho đến nay, KYC vẫn cho thấy tính hiệu quả trong các hoạt động tài chính truyền thống. Phương pháp này giúp xác minh danh tính khi thực hiện giao dịch lớn, qua đó ngăn chặn hành vi đầu cơ hoặc rửa tiền (Anti Money Laundering - AML).

Thực tế, các giao dịch được thực hiện với tài sản kỹ thuật số được theo dõi và ghi lại trên blockchain, nhưng bản thân những người tham gia vẫn ẩn danh qua tên đăng nhập. Điều này có thể khiến tội phạm dễ dàng trà trộn để lừa đảo nạn nhân hoặc tiến hành rửa tiền. Nạn nhân không thể truy cứu trách nhiệm với kẻ lừa đảo khi không có thông tin. Vì vậy, một số nền tảng lớn đã yêu cầu KYC để nâng cao sự tin tưởng của người dùng hợp pháp bằng cách xác minh thông tin giao dịch.

Dữ liệu KYC: thách thức mới đối với các nền tảng giao dịch tiền điện tử

Trong khi các vụ tấn công liên quan đến giao dịch tiền điện tử giảm dần thì các vụ vi phạm dữ liệu cá nhân KYC vẫn thường xuyên xảy ra và có xu hướng tăng.

Các nền tảng giao dịch tiền điện tử đã quan tâm đúng mực đến dữ liệu cá nhân? ảnh 2

Thống kê của Chainalysis. Ảnh: Finance Magnates.

Khi giao thức bảo mật trên giao dịch trên blockchain liên tục được cải tiến, tin tặc bắt đầu chuyển hướng sang mục tiêu khác là dữ liệu KYC của người dùng.

Số lượng dữ liệu định danh khách hàng (KYC) và yêu cầu chống rửa tiền (AML) ngày càng tăng trên các sàn giao dịch tiền điện tử đã biến nơi này trở thành các “mỏ vàng” thực sự về dữ liệu.

Mặc dù các biện pháp bảo mật để quản lý tài sản trên các sàn giao dịch tiền điện tử dường như đang được cải thiện, nhưng không rõ liệu các biện pháp an toàn dữ liệu cá nhân có được tuân thủ hay không.

Mark Hornsby - Giám đốc công nghệ tại Công ty lưu ký tiền điện tử Trustology - nói với Finance Magnates rằng, các biện pháp an toàn dữ liệu cá nhân trên nền tảng “gần như chắc chắn” không an toàn bằng các biện pháp được thực hiện để lưu ký tài sản tiền điện tử.

Ông dẫn chứng, năm 2020, một hacker tấn công tài khoản nhân viên tiếp thị và dịch vụ khách hàng của CryptoTrader trên nền tảng trung tâm hỗ trợ đã chiếm đoạt tên, địa chỉ email, hồ sơ xử lý thanh toán và tin nhắn của khách hàng, một số trong đó chứa thông tin thu nhập tiền điện tử.

Tin tặc hiện đang cố gắng bán thông tin này trên một diễn đàn dark web. Cùng thời điểm đó, Công ty ví tiền điện tử Ledger đã tiết lộ một vụ vi phạm dữ liệu đã làm lộ ra khoảng một triệu địa chỉ email và 9.500 thông tin khách hàng của họ. Đây chỉ là hai trong số rất nhiều vụ tấn công chưa từng được công bố hoặc không có bằng chứng.

 

Hornsby giải thích: “Chúng ta đang bị tấn công hàng ngày và chắc chắn sẽ không tránh khỏi việc bị tin tặc nhòm ngó. Đây không phải là vấn đề riêng của ngành tiền điện tử. Việc bảo vệ dữ liệu người dùng khỏi bị tấn công là thách thức lớn đối với nhiều lĩnh vực”.

Jacob Yocom-Piatt - đồng sáng lập và trưởng dự án cho mạng lưới tiền điện tử Decred - nhận định, bảo vệ dữ liệu cá nhân là một quá trình phức tạp hơn nhiều so với bảo vệ tài sản kỹ thuật số.

“Bảo vệ tài sản kỹ thuật số là vấn đề bảo vệ một lượng rất nhỏ thông tin, gồm các mã khóa riêng tư của bạn. Có nhiều công cụ hơn để thực hiện việc này” - ông nói thêm.

Tuy nhiên, “việc bảo vệ dữ liệu người dùng là thách thức hơn vì phạm vi tấn công lớn hơn nhiều. Có một lượng lớn thông tin nhận dạng cá nhân (Personally Identifiable Information - PII) phải được bảo vệ, nhưng dữ liệu này cần được xem xét đồng thời”.

Đối với nhiều sàn giao dịch tiền điện tử, việc xử lý dữ liệu AML và KYC là một tập hợp trách nhiệm mới. Nhiều nền tảng đã áp dụng các yêu cầu về dữ liệu định danh và phòng chống rửa tiền chỉ để tuân thủ yêu cầu của các cơ quan quản lý, chưa thực sự đặt trọng tâm vào việc bảo vệ dữ liệu, góp phần gây ra mất an toàn dữ liệu chung.

Sự mơ hồ về quy định xung quanh việc bảo vệ dữ liệu cá nhân dường như không ảnh hưởng nhiều đến các nền tảng tiền điện tử. Trên thực tế, một số nền tảng đã coi đó như một luận cứ để khẳng định mình là người dẫn đầu ngành khi nói đến việc xử lý và bảo vệ dữ liệu cá nhân.

Mặt khác, việc thiếu bộ khung quy định ở nhiều quốc gia đã cho phép các nền tảng không chú trọng tới nhiệm vụ bảo vệ dữ liệu khách hàng khiến dữ liệu dễ bị tấn công.

Drew Porter - Chủ tịch kiêm nhà sáng lập tại Red Mesa - cho biết, người dùng các nền tảng tiền điện tử nên xem xét dữ liệu cung cấp cho các nền tảng đó có dễ bị lộ hay không.

“Những dự án này đang tập trung vào các tính năng và khả năng mở rộng chứ không tập trung quá nhiều vào bảo mật, và thêm rằng các nguồn tin trong ngành đã nói rằng“ bảo mật và quyền riêng tư là điều cần suy nghĩ sau đối với nhiều người, vì trong mắt nhiều người, đó là việc kiếm tiền” - ông nhận định.

Do đó, lý do đằng sau mối đe dọa về dữ liệu cá nhân là độ phức tạp khi thu thập và xử lý dữ liệu, cũng như việc thiếu các quy định thực thi rõ ràng khi bảo vệ dữ liệu.

Để đối phó với sự phức tạp của việc xử lý và lưu trữ nhiều phần dữ liệu cá nhân nhạy cảm, các nền tảng tiền điện tử phải đánh giá phần thông tin nào là thực sự cần thiết. Mark Hornsby - công ty lưu ký tiền điện tử Trustology giải thích: “Trước tiên, các công ty nên luôn tập trung vào việc giảm thiểu dữ liệu. Bạn càng giữ ít dữ liệu về khách hàng của mình càng tốt".

Ngoài ra, dữ liệu cần được gửi đến hoặc lưu giữ bởi các công ty uy tín và được mã hóa liên tục. “Việc sử dụng hàm băm thích ứng là một cách lý tưởng để ngăn không cho dữ liệu bị truy xuất" - Hornsby nói thêm.

Các nền tảng giao dịch tiền điện tử đã quan tâm đúng mực đến dữ liệu cá nhân? ảnh 3

Ảnh minh họa: Finance Magnates.

Một phần khác của giải pháp cho vấn đề bảo mật dữ liệu là sự liên kết giữa các nền tảng để cùng tìm ra giải pháp tốt nhất. Có nhiều ví dụ về sự hợp tác này trong lĩnh vực tiền điện tử để phát triển các tiêu chuẩn ngành , tiêu biểu như CryptoUK và Hiệp hội Blockchain Nhật Bản.

Mark Hornsby nhận xét: “Ngành công nghiệp cần hợp tác để đảm bảo rằng phương pháp hay nhất được ghi lại và sẵn sàng cung cấp. Bằng cách chia sẻ kiến ​​thức và mã nguồn, chúng tôi có thể giúp giảm khả năng xảy ra và tác động của sự kiện vi phạm dữ liệu”.

Điều quan trọng nhất là nâng cao nhận thức người dùng

Ngoài việc các đơn vị cung cấp dịch vụ duy trì tính bảo mật, người dùng cũng phải cảnh giác khi ủy thác dữ liệu cho các nền tảng tiền điện tử. Mark Hornsby nói rằng, giáo dục người dùng về an toàn dữ liệu cá nhân có thể là phần quan trọng nhất của vấn đề bảo mật dữ liệu.

"Người dùng nên được khuyến khích và phổ biến cách dùng mật khẩu tốt" - ông nói. Hornsby đề xuất người dùng nên sử dụng trình quản lý mật khẩu và tạo mật khẩu ngẫu nhiên, duy nhất cho mỗi trang web/ứng dụng, luôn bật xác thực 2 yếu tố và kiểm soát dữ liệu chia sẻ. Người dùng cũng nên nghiên cứu các công ty mà họ đang ủy thác dữ liệu, tìm hiểu xem có sự cố nào trước đây liên quan đến việc đánh cắp dữ liệu hay chưa.

Tuy nhiên, nếu dữ liệu được ủy ​​thác cho một bên thứ ba tập trung, mức độ rủi ro liên quan đến việc lộ lọt sẽ tăng lên đáng kể. Jacob Yocom-Piatt - đồng áng lập Decred - nói: “Người dùng không bao giờ có thể chắc chắn rằng dữ liệu cá nhân của họ được bảo mật đúng cách bằng các nền tảng mà họ chọn sử dụng. Bằng cách cho phép ai đó quản lý dữ liệu của bạn, cho dù chúng ta đang nói về khóa cá nhân hay PII, bạn luôn có nguy cơ bên thứ ba đáng tin cậy đó bị tấn công và mất quyền kiểm soát dữ liệu của bạn”.

(Theo Viettimes, Finance Magnates, Bitcoin Talk, PYMNTS)

Làm gì khi phát hiện dữ liệu cá nhân bị rao bán?

Làm gì khi phát hiện dữ liệu cá nhân bị rao bán?

Nếu dữ liệu cá nhân của bạn bị rò rỉ và rao bán, cần hành động thật nhanh để tránh thiệt hại.

 
List comment
 
Chiêu thức tinh vi giả mạo ngân hàng lừa đảo người dùng
icon

Các đối tượng lừa đảo dùng chiêu thức lập website hay giả mạo tin nhắn ngân hàng rồi dẫn dụ người dùng truy cập vào đường link để chiếm đoạt tiền trong tài khoản, lấy cắp thông tin người dùng.  

 
Lập tài khoản Facebook giả mạo Chùa Bái Đính để kêu gọi từ thiện
icon

Trung tâm Xử lý tin giả Việt Nam (VAFC) vừa cảnh báo tài khoản Facebook giả mạo “Bái Đính Chùa” để kêu gọi tiền từ thiện vào tài khoản cá nhân.

 
Mở chiến dịch “Khiên Xanh” kêu gọi cộng đồng báo cáo các website không an toàn
icon

Chiến dịch “Khiên Xanh” vừa được NCSC và Cốc Cốc khởi động với trọng tâm là kêu gọi mỗi cá nhân chủ động báo cáo trang web không an toàn để bảo vệ người dùng Internet tại Việt Nam.

 
Làm gì khi phát hiện dữ liệu cá nhân bị rao bán?
icon

Nếu dữ liệu cá nhân của bạn bị rò rỉ và rao bán, cần hành động thật nhanh để tránh thiệt hại.

 
Nhật hạn chế dùng công nghệ ngoại trong mạng viễn thông
icon

Chính phủ Nhật Bản sẽ giới thiệu quy định mới cho 14 lĩnh vực hạ tầng quan trọng để củng cố năng lực quốc phòng mạng.  

 
 
Chuyện về ‘ông tổ’ mã độc tống tiền
icon

Vụ tấn công mã độc tống tiền đầu tiên trên thế giới được ghi nhận vào năm 1989, thủ phạm là một nhà sinh vật học.

Ba hệ lụy với các nạn nhân của vụ lộ thông tin 10.000 người Việt
icon

Theo Viettel Cyber Security, bên cạnh rủi ro về pháp lý, tài chính và nguy cơ bị hacker tấn công từ việc lợi dụng thông tin bị lộ, các nạn nhân của vụ việc này còn bị tổn hại về quyền riêng tư cả hiện tại và lâu dài.

Phát hiện lỗ hổng bảo mật ảnh hưởng tới tất cả thiết bị hỗ trợ Wi-Fi từ năm 1997 đến nay
icon

Một loạt lỗ hổng mới đã được phát hiện trong tiêu chuẩn Wi-Fi và nó dường như ảnh hưởng đến các thiết bị hỗ trợ Wi-Fi từ năm 1997 trở lại đây.

Vụ dữ liệu cá nhân rao bán giá 200 triệu, chuyên gia nói gì?
icon

Các dữ liệu như  tên, ngày sinh, ảnh đại diện, địa chỉ, email, số điện thoại, ảnh căn cước công dân của nhiều người Việt Nam đang bị hacker rao bán. Những thông tin này có thể dùng để thực hiện hành vi lừa đảo, quảng cáo.  

Hacker xóa dấu vết, gỡ dữ liệu công dân người Việt Nam
icon

Đây đều là các dữ liệu nhạy cảm như tên, ngày sinh, ảnh đại diện, địa chỉ, email, số điện thoại, số và ảnh chứng minh thư nhân dân từng bị hacker rao bán.   

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123