Ministerium für öffentliche Sicherheit: VNG Company hat mehr als 163 Millionen Kundenkonten offengelegt

Das Ministerium für öffentliche Sicherheit hat in einem Bericht über den aktuellen Stand der gesellschaftlichen Beziehungen im Zusammenhang mit dem Schutz personenbezogener Daten, der Teil des Entwurfs für die Ausarbeitung eines Gesetzes zum Schutz personenbezogener Daten ist, klar zum Ausdruck gebracht, dass die VNG Company mehr als 163 Millionen Kundenkonten offengelegt hat.

Das Ministerium für öffentliche Sicherheit hat festgestellt, dass die Offenlegung personenbezogener Daten im Cyberspace weit verbreitet ist. Nutzer sind sich des Schutzes personenbezogener Daten nicht bewusst, veröffentlichen diese öffentlich oder legen sie während der Übertragung, Speicherung oder des Austauschs für geschäftliche Zwecke offen. Aufgrund unzureichender Schutzmaßnahmen kommt es zu ihrer Aneignung und öffentlichen Veröffentlichung.

Das Ministerium für öffentliche Sicherheit listete in seinem Bewertungsbericht einige typische Fälle auf: „ Die VNG Company hat über 163 Millionen Kundenkonten offengelegt; Mobile World und Dien May Xanh Company haben über 5 Millionen E-Mails und Zehntausende Zahlungskarteninformationen von Kunden, z. B. von Visa und Kreditkarten, offengelegt; Hacker haben das Serversystem von Vietnam Airlines angegriffen und 411.000 Kundenkonten von Mitgliedern des Golden Lotus-Programms ins Internet gestellt .“

Das Ministerium für öffentliche Sicherheit erwähnte auch die Situation, dass Kundeninformationen an vietnamesische Taxivermittlungsunternehmen weitergegeben wurden, um per SMS Kunden anzuwerben; und dass Kundendaten der FPT Company öffentlich im Internet veröffentlicht wurden.

Nach Angaben des Ministeriums für öffentliche Sicherheit ist der Kauf und Verkauf personenbezogener Daten derzeit weit verbreitet und öffentlich, sowohl Rohdaten als auch verarbeitete personenbezogene Daten. Viele Fälle wurden aufgrund fehlender gesetzlicher Regelungen nicht behandelt.

Zu den Rohdaten zählen Listen von Beamten und internen Kontakten von Ministerien und Wirtschaftsgruppen (Industrie und Handel, Finanzen, Verkehr, Wissenschaft und Technologie, Landwirtschaft und ländliche Entwicklung, Handel, Hauptsteuerbehörde, Kohlegruppe usw.); Stromkunden im ganzen Land; Informationen zu Telefon- und Internetkunden der Netzbetreiber; Informationen zu Kunden, die Kredite aufnehmen und bei Banken sparen; Wertpapiere; Versicherungen usw.

Die verarbeiteten personenbezogenen Daten werden vom Ministerium für öffentliche Sicherheit als detaillierte Informationen über Einzelpersonen, Organisationen und Unternehmen identifiziert, wie etwa: vollständiger Name, Geburtsdatum, Ausweisnummer, Adresse, Telefonnummer, Bankkontonummer (einschließlich Kontostand), Verwandte, Position, berufliche Stellung usw.

Das Ministerium für öffentliche Sicherheit analysierte die Situation weiter und erklärte, dass Unternehmen und Dienstleistungsunternehmen personenbezogene Daten von Kunden sammeln und Dritten Zugriff auf personenbezogene Daten gewähren, allerdings ohne strenge Anforderungen oder Vorschriften, sodass Dritte diese Daten an andere Partner weitergeben und mit ihnen handeln können.

Unternehmen erfassen proaktiv persönliche Daten ihrer Kunden, erstellen persönliche Datenlager und analysieren und verarbeiten diese Daten, um Geschäfte und Handel abzuwickeln.

„ Der Handel mit personenbezogenen Daten erfolgt systematisch und organisiert, mit der Verpflichtung zur „Garantie“ und der Möglichkeit, Daten auf Anfrage des Käufers zu aktualisieren und zu extrahieren. Viele Daten werden seit langem öffentlich und in großen Mengen im Cyberspace verkauft. Der Kauf und Verkauf erfolgt über Websites, Konten, Seiten, Gruppen in sozialen Netzwerken, Hackerforen … “, heißt es in dem Bericht des Ministeriums für öffentliche Sicherheit deutlich.

Das Ministerium für öffentliche Sicherheit erwähnte in seinem Bewertungsbericht auch Methoden und Tricks zur illegalen Sammlung personenbezogener Daten.

Das Ministerium für öffentliche Sicherheit erklärte, dass die Täter Webseiten mit attraktiven Inhalten erstellen oder nutzen würden, um Nutzer anzulocken. Wenn Nutzer auf diese Webseiten zugreifen, würden sie unbemerkt Schadcode auf Computern und Smartgeräten installieren, um Informationen zu sammeln.

Beispielsweise fügen die Angreifer Schadcodes auf Online-Spieleseiten oder Websites mit obszönen Inhalten ein oder erstellen gefälschte Anmeldeseiten (Facebook, E-Mail, Bank). Diese Seiten werden dem Opfer per E-Mail zugesandt und haben die gleiche Oberfläche wie die Anmeldeseiten von Dienstanbietern. Ist das Opfer unvorsichtig und gibt seine Daten auf dieser Website ein, gelangen diese an den Hacker und nicht, wie vermutet, an den Dienstanbieter.

Eine weitere vom Ministerium für öffentliche Sicherheit erwähnte Methode ist die illegale Erfassung personenbezogener Daten durch kostenlose Software. So wird beispielsweise kostenlos im Internet angebotene Software, insbesondere Software unbekannter Herkunft und gecrackte Software, ausgenutzt, um Schadsoftware zu installieren. Beim Herunterladen und Installieren installieren Benutzer versehentlich Schadsoftware auf ihren eigenen Geräten.

„ Und diese Schadcodes sammeln unbemerkt persönliche Daten der Benutzer. Beispiele hierfür sind Crack- und Patch-Programme für Software sowie gefälschte Antivirenprogramme wie AntivirusGold, Antivirus PC 2009, AntiSpyware Shield Pro, DoctorTrojan … “, teilte das Ministerium für öffentliche Sicherheit mit.

Angriffe über Smartgeräte sind ebenfalls eine Methode, mit der Kriminelle illegal persönliche Daten sammeln. Das Ministerium für öffentliche Sicherheit hält dies für eine neue Taktik. Kriminelle zielen häufig auf Smartgeräte mit Internetanschluss ab, wie z. B. WLAN-Router, Überwachungskameras, Smartphones usw.

Durch die Durchführung von Scans zum Erkennen und Ausnutzen gängiger Sicherheitslücken auf diesen Geräten, wie z. B. die Verwendung von Standardkonten und -kennwörtern des Herstellers, das nicht regelmäßige Aktualisieren von Patches usw., installieren die Betroffenen Schadcode, um Benutzer zu überwachen, Daten zu sammeln und sie zu bedrohen oder zu erpressen.