Lộ thông tin khách hàng, doanh nghiệp chịu hậu quả gì?

Trong thời đại công nghệ cao, bất kì doanh nghiệp nào cũng muốn sở hữu một lượng thông tin khách hàng khổng lồ để phục vụ mục đích “chốt sale” và mở rộng hoạt động kinh doanh. Thế nhưng, không nhiều doanh nghiệp hiểu được những rủi ro khi nắm trong tay loại thông tin nhạy cảm này. Nếu làm lộ hoặc mua bán thông tin khách hàng, doanh nghiệp sẽ bị xử phạt ra sao? Đâu là những lý do khiến doanh nghiệp bị lộ thông tin khách hàng? Cùng tìm hiểu trong bài viết dưới đây.

1. Thông tin khách hàng bao gồm những gì?

Thông tin khách hàng (hay dữ liệu khách hàng – customer data) là những thông tin cá nhân (personal information) của người tiêu dùng, được tổng hợp và lưu trữ bởi các doanh nghiệp cung cấp sản phẩm, dịch vụ.

Thông tin khách hàng có thể (nhưng không nhất thiết) bao gồm những yếu tố sau:

• Tên
• Tuổi (hoặc ngày tháng năm sinh)
• Số điện thoại
• Email
• Giới tính
• Nghề nghiệp
• Tình trạng hôn nhân
• Sở thích
• Thu nhập/ khả năng tài chính
• Số thẻ tín dụng (đối với các ngân hàng & dịch vụ tài chính)
• …

Hai thông tin cơ bản nhất thường được các bên thu thập là tên và số điện thoại. Đối với một số ngành đặc thù sẽ thu thập thêm các thông tin chi tiết hơn về người dùng nhằm mục đích nghiên cứu hành vi hay quảng cáo nhắm đối tượng.

2. Mua bán hoặc làm lộ thông tin khách hàng có vi phạm pháp luật không?

Câu trả lời là có. Doanh nghiệp nào mua bán, làm lộ (rò rỉ) thông tin khách hàng hoàn toàn có thể bị xử lý kỷ luật, phạt hành chính, hoặc truy cứu trách nhiệm hình sự. Nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

Các mức phạt:

• Khoản 3 điều 85 Nghị định 15/2020/NĐ-CP đưa ra quy định Phạt tiền từ 30.000.000 đồng đến 50.000.000 đồng đối với hành vi không áp dụng biện pháp quản lý hoặc biện pháp kỹ thuật theo quy định để bảo vệ thông tin cá nhân. Cũng theo Nghị định 15/2020/NĐ-CP, tại điều 84 khoản 2 quy định Phạt tiền từ 20.000.000 đồng đến 30.000.000 đồng đối với hành vi Sử dụng không đúng mục đích thông tin cá nhân đã thỏa thuận khi thu thập hoặc khi chưa có sự đồng ý của chủ thể thông tin cá nhân.
• Theo Điểm a khoản 5 Điều 63 Nghị định số 98/2020/NĐ-CP ngày 03 tháng 02 năm 2020  quy định Phạt tiền từ 30.000.000 đồng đến 40.000.000 đồng đối với một trong các hành vi vi phạm về Đánh cắp, tiết lộ, chuyển nhượng, bán các thông tin liên quan đến bí mật kinh doanh của thương nhân, tổ chức khác hoặc thông tin cá nhân của người tiêu dùng trong thương mại điện tử khi chưa được sự đồng ý của các bên liên quan.
• Điểm b khoản 1 điều 226 Bộ luật hình sự được sửa đổi, bổ sung năm 2009: Hành vi mua bán, trao đổi, tặng cho, sửa chữa, thay đổi hoặc công khai hóa những thông tin riêng hợp pháp của cơ quan, tổ chức, cá nhân khác trên mạng máy tính, mạng viễn thông, mạng Internet mà không được phép của chủ sở hữu thông tin đó có thể bị phạt tiền từ 10-100 triệu đồng. Người phạm tội có thể bị xử phạt cải tạo không giam giữ đến 3 năm hoặc phạt tù từ 6 tháng đến 7 năm. Ngoài ra, người phạm tội còn có thể bị phạt tiền từ 20-200 triệu đồng, bị cấm đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định.

Tham khảo: Xây dựng Chính Sách Bảo Mật cho doanh nghiệp để giảm thiểu thiệt hại

3. Nguyên nhân gây lộ thông tin khách hàng?

Có rất nhiều kịch bản lộ thông tin khách hàng, dưới đây là một vài hình thức phổ biến:

• Tin tặc tấn công vào hệ thống website, server, hệ thống dữ liệu thông tin doanh nghiệp.
• Nhân viên nội bộ công ty đánh cắp dữ liệu vì mục đích cá nhân
• Lưu trữ thông tin khách hàng ở nơi không an toàn (google drive, excel,…)
• Phần mềm CRM chưa được tích hợp các tính năng bảo mật.
• Cán bộ nhân viên sơ ý, không có thói quen sử dụng internet an toàn.

4. Hậu quả doanh nghiệp phải gánh chịu

Ngoài trách nhiệm trước pháp luật, doanh nghiệp còn phải gánh chịu những hậu quả trực tiếp và gián tiếp: mất niềm tin của khách hàng, doanh thu tụt giảm, uy tín thương hiệu bị ảnh hưởng, kéo theo nhiều hệ lụy khác như giá cổ phiếu giảm, mất cơ hội được đầu tư…

Vào ngày 12/08/2021, dantri.com đưa tin về lỗ hổng chiếm đoạt tài sản trên Zalo

“Lỗ hổng này không để lại bất kỳ dấu vết nào, không cảnh báo… Nạn nhân có thể là bất kỳ ai bạn muốn”, tin tặc cho biết trong một bài đăng thu hút sự chú ý của cộng đồng mạng.

Cụ thể, trên diễn đàn trao đổi dữ liệu của hacker tên Raid***, một tài khoản mới lập vào tháng 8/2021 mang tên ilovevng đã đăng bài chào bán lỗ hổng 0-day (Zero day) giúp chiếm quyền kiểm soát bất kỳ tài khoản Zalo Chat hay Zalo Pay nào. 

Người này tiết lộ rằng bản thân từng quan sát nhóm bảo mật của VNG (công ty mẹ đang sở hữu Zalo) tại các sự kiện an ninh mạng toàn cầu nên quyết định “thử làm gì đó với Zalo”.

Mô tả về lỗ hổng, tin tặc cho biết cần phải gửi một đường link tới nạn nhân thông qua ứng dụng Zalo. “Chỉ cần nạn nhân nhấn vào đường link đó, tài khoản của họ sẽ thuộc về bạn mà không cần phải làm thêm bất kỳ thao tác nào khác”, người bán khẳng định. 

Hay trước đó ngày 04/08/2021 dantri.com đưa tin về vụ Hacker “báo giá” 290.000 USD cho mã  nguồn của BKAV

Ngày 4/8, trên diễn đàn R*forums, tài khoản “chunxong” đã đăng tải một bài viết khẳng định rằng người này đã tấn công vào máy chủ của công ty an ninh mạng BKAV và lấy cắp mã nguồn các sản phẩm của công ty này, bao gồm mã nguồn gói phần mềm bảo mật BKAV Pro, phần mềm bảo mật di động BKAV Mobile…

Bên cạnh đó, hacker cũng để lại phương thức liên hệ thông qua một địa chỉ email có tên “lovebkav***” nhằm mục đích rao bán toàn bộ số dữ liệu này.

Bên cạnh đó, người này còn bán nhiều tài liệu khác, trong đó hacker yêu cầu 10.000 USD để có được quyền truy cập ban đầu và 30.000 USD để tiếp cận với các nguồn tài nguyên khác.

Như vậy, toàn bộ dữ liệu mà hacker tuyên bố nắm giữ của BKAV đang được chào bán với mức giá 290.000 USD.