A hiteladat-szivárgások terén tátongó hiány pótlása.

Riporter: A CIC-nél történt adatszivárgással kapcsolatban mi a legnagyobb kockázat, amivel az emberek szembesülhetnek, uram?

* MINH HIEU NGO úr : Bár a CIC incidens súlyos és személyesadat-szivárgás jeleit mutatja, a jelszavak, CPC-kódok, CPV-kódok, hitelkártyaszámok és banki tranzakciók előzményei nem szerepelnek a CIC által a jelenlegi körülmények között gyűjtött vagy megjelenített adatok között. Ezért az emberek tranzakcióit és hitelkártya-adatait ez az incidens nem érinti.

Egyetlen bank sem írja elő hivatalosan az ügyfelek számára, hogy zárolják számláikat, vagy megváltoztassák jelszavaikat vagy biztonsági kódjaikat az adatvédelmi incidensek miatti aggodalmak miatt. Az ilyen kérések csupán pletykák, amelyeket rosszindulatú szereplők terjesztenek, bankoknak adva ki magukat. A Ho Si Minh-városi rendőrség szerint az incidens után figyelmeztetett konkrét csalások során bankok, CIC (Hitelinformációs Központ) vagy kormányzati szervek adataival élnek ki, telefonhívásokat kezdeményeznek, szöveges üzeneteket vagy e-maileket küldenek személyes adatokat kérve, értesítik a felhasználókat a „rossz adósságról”, a „számlazárolásról”, vagy becsapják őket jelszavak, OTP kódok megadására, illetve rosszindulatú linkekre kattintásra.

Ezenkívül vannak olyan csalások is, mint a „CIC-adósság elszámolása”, a „hitelkártya-limitek emelése”, a gyorskölcsönök reklámozása és a hitelkártya-tartozás csökkentése... gyakran diákokat és munkavállalókat célozva meg. A csalók rokonoknak, feletteseknek vagy kollégáknak is kiadhatják magukat, hogy bizalmat nyerjenek, és sürgős pénzátutalásokat kérjenek. Vannak olyan esetek is, amikor rendőröknek, ügyészeknek vagy bíráknak adják ki magukat, „pénzmosással” vádolva az áldozatokat, majd követelve, hogy a pénzt egy „biztonságos számlára” utalják át.

Az incidens után hogyan értékeli a hackercsoportot? Szakemberek vagy szervezetek voltak?

* 2025. szeptember 8-án csalásellenes szakértők felfedezték, hogy a ShinyHunters csoport azt állította, hogy feltörte a CIC-t (Hitelinformációs Központ), és több mint 160 millió adatot lopott el. A CIC-ből származó adatok hitelességét nem ellenőrizték teljes mértékben, ezért úgy döntöttünk, hogy nem tesszük közzé és nem osztjuk meg azokat. Az adatokat ezt követően hackerfórumokon kínáltuk eladásra.

Ez az egyik legnagyobb adatlopás, amit valaha feljegyeztek Vietnámban, és a lakosság jelentős részét érinti. A ShinyHunters egy hírhedt fekete kalapos hackercsoport, amely 2020-ban jelent meg egy sor nagyszabású adatlopással. A csoport úgy működik, hogy pénzt zsarol ki az adatok ellopása után. Váltságdíjat követelnek, és ha az áldozatok nem fizetnek, eladják az ellopott adatokat, vagy közzéteszik azokat a dark weben.

Rövid idő alatt a ShinyHunters a kiberbiztonsági közösség egyik legtöbbet emlegetett csoportjává vált a könyörtelen, nagyszabású támadásainak köszönhetően. Még saját adatkereskedelmi fórumot is működtettek (mint a BreachForums) személyes adatok értékesítésére.

A ShinyHunters nyilvánosan vállalta a felelősséget, és az ismert csoportnevük alatt eladásra kínált adatokat, adatmintákat biztosítva a vásárlóknak. A csoport a CIC-t a „hatalmas adattár” és az adatok értékesítéséből származó profit lehetősége miatt választotta.

Ezt az adatszivárgást követően milyen sürgős intézkedéseket kell tenni, és milyen tanulságokat lehet levonni Vietnamra, uram?

* Az embereknek rendkívül ébernek kell lenniük a bankok, a CIC (Hitelinformációs Központ) vagy a hatóságok adataival visszaélő álhívásokkal és üzenetekkel szemben. Ne adjon meg senkinek kártyaadatokat, lejárati dátumokat, jelszavakat vagy OTP kódokat; ne kattintson az üzenetekben, e-mailekben, Zalo-ban stb. található linkekre, különösen azokra, amelyek gyanús mellékleteket tartalmaznak. Ne bízzon a "CIC adósságtörlesztést" vagy a "gyors és biztonságos kölcsönöket" ígérő hirdetésekben, és rendszeresen ellenőrizze tranzakciós előzményeit (ha bármilyen szabálytalanságot észlel, azonnal hívja a bank forródrótját vagy a legközelebbi fiókot).

Az illetékes egységeknek sürgős intézkedéseket kell tenniük, többek között az elkülönítés prioritásként való kezelését, a sebezhetőségek javítását és az elavult komponensek cseréjét; a naplók áttekintését és a szokatlan tranzakciók monitorozását; a hitelfigyelési szolgáltatások nyújtásának mérlegelését a nyilvánosság számára; valamint a hitelintézetekkel való együttműködést az ellenőrzés megerősítése érdekében.

A tanulság az, hogy minden adatvédelmi incidens hosszú távú következményekkel jár. Kulcsfontosságú a közvélemény tudatosságának növelése; ugyanakkor a szervezeteknek fokozniuk kell a biztonságot, bevezetniük kell a többtényezős hitelesítést, szigorúan kezelniük kell a hozzáférési jogokat, és biztonságos felhőrendszereket kell működtetniük.

Forrás: https://www.sggp.org.vn/lap-lo-hong-ro-ri-du-lieu-tin-dung-post813020.html