Het dichten van het datalek bij kredietverstrekking

Verslaggever: Wat is het grootste risico dat mensen lopen met betrekking tot het datalek bij CIC, meneer?

* Dhr. NGO MINH HIEU : Hoewel het incident bij CIC ernstig is en er tekenen zijn van een datalek, zijn gegevens zoals wachtwoorden, CPC, CPV, creditcardnummers en banktransactiegeschiedenis niet opgenomen in de gegevens die CIC momenteel verzamelt of weergeeft. Transacties en creditcardgegevens van mensen worden daarom niet beïnvloed door dit incident.

Geen enkele bank heeft klanten officieel gevraagd hun rekeningen te blokkeren of hun wachtwoorden of beveiligingscodes te wijzigen, puur uit bezorgdheid over datalekken. Dergelijke verzoeken zijn slechts geruchten van kwaadwillenden die zich voordoen als dergelijke verzoeken. De specifieke oplichtingspraktijken waarvoor de politie van Ho Chi Minhstad na dit incident waarschuwde, doen zich voor als banken, CIC's en overheidsinstanties om te bellen, sms'en en e-mails te versturen met verzoeken om persoonlijke informatie, meldingen van "oninbare schulden", "accountvergrendeling" of om gebruikers te verleiden wachtwoorden, eenmalige wachtwoorden of codes te verstrekken of op kwaadaardige links te klikken.

Daarnaast zijn er trucs zoals "CIC-schuldkwijtschelding", "verhoging van de kaartlimiet", reclame voor snelle leningen, kredietschuldvermindering... vaak gericht op studenten en werknemers. Of zich voordoen als familieleden, leidinggevenden of collega's om vertrouwen te winnen en om dringende geldtransfers te vragen. Er zijn zelfs gevallen bekend van imitaties van de politie, het Openbaar Ministerie en de rechtbank, waarbij het slachtoffer wordt beschuldigd van betrokkenheid bij "witwassen" en vervolgens wordt gevraagd om geld over te maken naar een "veilige rekening".

Hoe beoordeelt u de hackersgroep na dit incident? Gaat het om individuen of professionele organisaties?

* Op 8 september 2025 ontdekten cyberfraude-experts dat de ShinyHunters-groep beweerde CIC te hebben gehackt en meer dan 160 miljoen datarecords te hebben gestolen. Deze gegevens zijn nog niet volledig geverifieerd als afkomstig van CIC, dus hebben we besloten deze niet te publiceren of te delen. De gegevens werden kort daarna te koop aangeboden op hackersforums.

Dit is een van de grootste datalekken ooit geregistreerd in Vietnam en treft een groot deel van de bevolking. ShinyHunters is een beruchte black hat-hackersgroep die in 2020 opkwam met een reeks grootschalige datalekken. Deze groep opereert door middel van afpersing na het stelen van gegevens. Ze eisen losgeld en als het slachtoffer niet betaalt, verkopen ze het of plaatsen ze het op het dark web.

In korte tijd is ShinyHunters uitgegroeid tot een van de meest besproken groepen in de cybersecuritygemeenschap dankzij een reeks grootschalige, aanhoudende aanvallen. Ze runden zelfs hun eigen datahandelsforums (zoals BreachForums) om persoonlijke informatie te verkopen.

ShinyHunters claimde publiekelijk de verantwoordelijkheid en verkocht de data onder de bekende naam van de groep, waarbij ze samples van de data aan kopers verstrekten. De groep koos voor CIC vanwege de "enorme dataopslag" en de potentiële winst die de verkoop van de data zou opleveren.

Welke urgente maatregelen moeten er naar aanleiding van dit datalek worden genomen en welke lessen kunnen hiervan worden geleerd voor Vietnam, meneer?

* Mensen moeten absoluut waakzaam zijn voor telefoontjes en berichten die zich voordoen als banken, CIC's of autoriteiten. Geef nooit kaartgegevens, vervaldatums, wachtwoorden of eenmalig wachtwoord aan iemand; klik niet op links in berichten, e-mails, Zalo..., vooral niet met vreemde bijlagen. Geloof geen advertenties voor "CIC-schuldkwijtschelding" of "snelle en veilige leningen" en controleer regelmatig uw transactiegeschiedenis (neem bij onregelmatigheden onmiddellijk contact op met de centrale van de bank of ga naar het dichtstbijzijnde filiaal).

De dringende maatregelen die de relevante eenheden moeten nemen, zijn het prioriteren van isolatie, het verhelpen van kwetsbaarheden, het vervangen van verouderde componenten, het beoordelen van logs, het monitoren van ongebruikelijke transacties, het overwegen om kredietbewakingsdiensten aan personen aan te bieden en het coördineren met kredietinstellingen om de verificatie te versterken.

De les is dat elk datalek gevolgen op de lange termijn heeft. Het is belangrijk om het publiek bewust te maken; tegelijkertijd moeten organisaties de beveiliging aanscherpen, multifactorauthenticatie toepassen, toegangsrechten strikt beheren en veilige cloudsystemen beheren.

Bron: https://www.sggp.org.vn/lap-lo-hong-ro-ri-du-lieu-tin-dung-post813020.html