Ministerio de Seguridad Pública: Compañía VNG expuso más de 163 millones de cuentas de clientes

La información de que la compañía VNG reveló más de 163 millones de cuentas de clientes fue claramente señalada por el Ministerio de Seguridad Pública en un informe que evalúa el estado actual de las relaciones sociales relacionadas con la protección de datos personales, parte del proyecto de propuesta para construir la Ley de Protección de Datos Personales.

El Ministerio de Seguridad Pública ha determinado que la divulgación de datos personales es frecuente en el ciberespacio. Los usuarios desconocen la importancia de proteger sus datos personales, ya sea publicándolos o exponiéndolos durante su transferencia, almacenamiento o intercambio con fines comerciales, o debido a medidas de protección inadecuadas que conducen a su apropiación y publicación.

El Ministerio de Seguridad Pública enumeró algunos casos típicos en el informe de evaluación: " La compañía VNG expuso más de 163 millones de cuentas de clientes; Mobile World y Dien May Xanh Company expusieron más de 5 millones de correos electrónicos y decenas de miles de información de tarjetas de pago como Visa y tarjetas de crédito de clientes; los piratas informáticos atacaron el sistema de servidores de Vietnam Airlines, publicando en Internet 411.000 cuentas de clientes de los miembros del programa Golden Lotus ".

El Ministerio de Seguridad Pública también mencionó la situación de la filtración de información de clientes a empresas de corretaje de servicios de taxi vietnamitas para solicitar clientes a través de mensajes SMS y la publicación de datos de clientes de la compañía FPT en línea.

Según el Ministerio de Seguridad Pública, la compraventa de datos personales es actualmente generalizada y pública, con datos personales sin procesar y procesados. Muchos actos no han sido controlados por falta de regulación legal.

Los datos brutos incluyen listas de funcionarios y contactos internos de ministerios y grupos económicos (Industria y Comercio, Finanzas, Transporte, Ciencia y Tecnología, Agricultura y Desarrollo Rural, Comercio, Departamento General de Impuestos, Grupo del Carbón, etc.); clientes de electricidad en todo el país; información sobre suscriptores de teléfono e Internet de operadores de red; información sobre clientes que piden préstamos y ahorran en bancos; valores; seguros, etc.

Los datos personales tratados son identificados por el Ministerio de Seguridad Pública como información detallada sobre personas físicas, organizaciones y empresas, tales como: nombre completo, fecha de nacimiento, número de identificación, dirección, número de teléfono, número de cuenta bancaria (incluyendo saldo), familiares, cargo, puesto de trabajo, etc.

Analizando más a fondo esta situación, el Ministerio de Seguridad Pública dijo que las empresas y compañías de servicios recopilan datos personales de los clientes, permitiendo que terceros accedan a la información de datos personales pero sin requisitos ni regulaciones estrictas, permitiendo que terceros transfieran y comercien con otros socios.

Las empresas recopilan de forma proactiva información personal de los clientes, forman almacenes de datos personales, analizan y procesan dichos datos para realizar negocios y comercio.

El comercio de datos personales se realiza de forma sistemática y organizada, con un compromiso de garantía y la posibilidad de actualizar y extraer datos según la solicitud del comprador. Muchos datos se venden públicamente, durante un período prolongado, en grandes cantidades en el ciberespacio. La compraventa se realiza a través de sitios web, cuentas, páginas, grupos en redes sociales, foros de hackers... , afirma claramente el informe del Ministerio de Seguridad Pública.

En el informe de evaluación, el Ministerio de Seguridad Pública también mencionó métodos y artimañas para la recolección ilegal de datos personales.

En concreto, el Ministerio de Seguridad Pública afirmó que los sujetos crearán o aprovecharán sitios web con contenido atractivo para atraer a los usuarios. Al acceder a ellos, instalarán silenciosamente código malicioso en computadoras y dispositivos inteligentes sin su conocimiento para recopilar información.

Por ejemplo, los sujetos adjuntan códigos maliciosos a páginas de juegos en línea, sitios web con contenido obsceno, o crean páginas de inicio de sesión falsas (de Facebook, correo electrónico, banco). Estas páginas se envían por correo electrónico a la víctima y tienen la misma interfaz que las páginas de inicio de sesión de los proveedores de servicios. Si la víctima no está atenta e inicia sesión en ese sitio web, la información se envía al hacker en lugar de a los proveedores de servicios, como cree.

Otro método mencionado por el Ministerio de Seguridad Pública es la recopilación ilegal de datos personales mediante software gratuito. En consecuencia, con ciertos programas gratuitos disponibles en internet, especialmente programas de origen desconocido o pirateados, los usuarios los aprovechan para instalar malware adjunto. Al descargarlo e instalarlo, los usuarios instalan malware accidentalmente en sus dispositivos.

Estos códigos maliciosos recopilan silenciosamente los datos personales de los usuarios. Por ejemplo, programas para hackear y parchear software; algunos antivirus falsos como AntivirusGold, Antivirus PC 2009, AntiSpyware Shield Pro, DoctorTrojan... , informó el Ministerio de Seguridad Pública.

Los ataques mediante dispositivos inteligentes también son un método utilizado por delincuentes para recopilar ilegalmente datos personales. El Ministerio de Seguridad Pública considera esta táctica nueva. Los delincuentes suelen atacar dispositivos inteligentes con conexión a internet, como routers wifi, cámaras de seguridad, teléfonos inteligentes, etc.

Al realizar escaneos para detectar y explotar vulnerabilidades de seguridad comunes en estos dispositivos como usar cuentas y contraseñas predeterminadas del fabricante, no actualizar parches regularmente, etc., los sujetos instalarán código malicioso para monitorear, recolectar datos, amenazar o chantajear a los usuarios.