Combler le manque de données de crédit divulguées.

Journaliste : Monsieur, avec la fuite de données chez CIC, quel est le plus grand risque auquel les gens pourraient être confrontés ?

M. NGO MINH HIEU : Bien que l’incident chez CIC soit grave et présente des signes de fuite de données personnelles, les informations telles que les mots de passe, les codes CPC et CPV, les numéros de carte de crédit et l’historique des transactions bancaires ne font pas partie des données que CIC collecte ou affiche actuellement. Par conséquent, les transactions et les informations de carte de crédit des utilisateurs ne seront pas affectées par cet incident.

Aucune banque n'exige officiellement de ses clients qu'ils bloquent leurs comptes ou modifient leurs mots de passe ou codes de sécurité par crainte de fuites de données. De telles demandes ne sont que des rumeurs propagées par des individus malveillants se faisant passer pour des banques. Les escroqueries spécifiques signalées après cet incident, selon la police de Hô Chi Minh-Ville, consistent à usurper l'identité de banques, du CIC (Centre d'information sur le crédit) ou d'organismes gouvernementaux pour effectuer des appels téléphoniques, envoyer des SMS ou des courriels demandant des informations personnelles, informant les utilisateurs de « dettes impayées », de « blocage de compte » ou les incitant à fournir leurs mots de passe, leurs codes OTP ou à cliquer sur des liens malveillants.

De plus, il existe des arnaques telles que « l'effacement de la dette CIC », « l'augmentation des limites de carte de crédit », la publicité pour des prêts rapides et la réduction de la dette de carte de crédit… ciblant souvent les étudiants et les travailleurs. Les escrocs peuvent également se faire passer pour des proches, des supérieurs ou des collègues afin de gagner la confiance des victimes et de leur demander des transferts d'argent urgents. Il arrive même qu'ils se fassent passer pour des policiers, des procureurs ou des juges, accusant leurs victimes de « blanchiment d'argent » et exigeant ensuite le transfert de fonds vers un « compte sécurisé ».

Suite à cet incident, quelle est votre évaluation du groupe de pirates informatiques ? S’agissait-il d’individus professionnels ou d’organisations ?

Le 8 septembre 2025, des experts en lutte contre la fraude ont découvert que le groupe ShinyHunters prétendait avoir piraté le CIC (Centre d'information sur le crédit) et dérobé plus de 160 millions d'enregistrements de données. L'authenticité de ces données du CIC n'ayant pas été entièrement vérifiée, nous avons décidé de ne pas les publier ni les diffuser. Ces données ont ensuite été mises en vente sur des forums de hackers.

Il s'agit de l'une des plus importantes violations de données jamais enregistrées au Vietnam, touchant une part significative de la population. ShinyHunters est un groupe de pirates informatiques notoire, apparu en 2020 et responsable d'une série de violations de données à grande échelle. Le groupe opère en extorquant de l'argent après avoir volé des données. Ils exigent une rançon et, si les victimes ne paient pas, ils vendent les données volées ou les diffusent sur le dark web.

En peu de temps, ShinyHunters est devenu l'un des groupes les plus médiatisés de la communauté de la cybersécurité en raison de ses attaques incessantes et de grande envergure. Ils géraient même leur propre forum d'échange de données (semblable à BreachForums) pour vendre des informations personnelles.

ShinyHunters a publiquement revendiqué l'attaque et a mis des données en vente sous son nom habituel, fournissant des échantillons aux acheteurs. Le groupe a choisi CIC en raison de son « immense base de données » et du potentiel de profit lié à la vente de ces données.

Suite à cette fuite de données, quelles mesures urgentes doivent être prises et quelles leçons peuvent être appliquées au Vietnam, Monsieur ?

Il est essentiel de faire preuve d'une extrême vigilance face aux appels et messages frauduleux usurpant l'identité de banques, du CIC (Centre d'information sur le crédit) ou des autorités. Ne communiquez jamais vos informations de carte bancaire, leurs dates d'expiration, vos mots de passe ou vos codes OTP. Ne cliquez sur aucun lien dans les messages, courriels, applications Zalo, etc., en particulier ceux contenant des pièces jointes suspectes. Méfiez-vous des publicités promettant un « effacement de dettes CIC » ou des « prêts rapides et sûrs », et consultez régulièrement votre historique de transactions (en cas d'anomalie, contactez immédiatement le service d'assistance téléphonique de votre banque ou l'agence la plus proche).

Les mesures urgentes que les unités concernées doivent prendre comprennent la priorisation de l'isolation, la correction des vulnérabilités et le remplacement des composants obsolètes ; l'examen des journaux et la surveillance des transactions inhabituelles ; l'examen de la possibilité de fournir des services de surveillance du crédit au public ; et la coordination avec les établissements de crédit pour renforcer la vérification.

La leçon à retenir est que chaque fuite de données a des conséquences durables. Il est crucial de sensibiliser le public ; parallèlement, les organisations doivent renforcer leur sécurité, mettre en œuvre l’authentification multifacteurs, gérer rigoureusement les droits d’accès et exploiter des systèmes cloud sécurisés.

Source : https://www.sggp.org.vn/lap-lo-hong-ro-ri-du-lieu-tin-dung-post813020.html