Một người Việt bị nghi vấn điều hành tổ chức chuyên đánh cắp ID tại Mỹ
17:00, 25/10/2013
Theo kết quả điều tra trong một thời gian dài của KrebsOnSecurity, một dịch vụ đánh cắp thông tin cá nhân chuyên cung cấp Số bảo hiểm xã hội, số giấy phép lái xe cũng như tài khoản ngân hàng và thông tin thẻ tín dụng của hàng triệu công dân Mỹ đã trực tiếp mua những thông tin ấy từ chính Experian - một trong ba tổ chức tín dụng lớn hiện nay.
Vào tháng 11/ 2011 đã xuất hiện những thông tin về một dịch vụ chui trên trang web Superget.info chào bán khả năng tìm kiếm đầy đủ các thông tin các nhân như: Số bảo hiểm xã hội, ngày tháng năm sinh, giấy phép lái xe và các thông tin tài chính của hàng triệu công dân Hoa Kỳ. Việc đăng ký hoàn toàn miễn phí và thanh toán qua trang thanh toán trực tuyến WebMoney hoặc bằng tiền mặt đã khiến trang web này trở nên cực kỳ thông dụng đối với bọn tội phạm trong thế giới ngầm.
Cứ mỗi lần tìm kiếm Số bảo hiểm xã hội (SSN) trên Superget.info sẽ đưa ra một loạt các thông tin khách hàng được đánh dấu bằng vài ký tự bí ẩn và khác nhau chỉ nguồn cung cấp như “TH”, “MV”, “NCO” hoặc nhiều ký tự khác. Dù đã tham khảo ý kiến một số người về ý nghĩa của những ký tự chỉ nguồn ấy là từ viết tắt của cái gì nhưng sau nhiều tuần nhận các thông tin phản hồi, KrebsOnSecurity vẫn không thể xác định rõ ý nghĩa thật sự của chúng là gì cả.
Cho đến tuần trước, sự thật được hé lộ. Một anh chàng sau khi tìm hiểu về sự trùng hợp giữa dịch vụ đánh cắp thông tin cá nhân từ mạng lưới của LexisNexis với những vụ đánh cắp trước đây của những kẻ môi giới khác đã nói rằng, anh ấy có vẻ đã phát hiện ra ý nghĩa của những ký tự chỉ nguồn của các dữ liệu được Superget.info chào bán. Độc giả ấy xác định rằng những chữ viết tắt ấy được bắt nguồn từ trang USInfoSearch.com đặt tại thành phố Columbus, Ohio (Mỹ).
Khi được hỏi, Giám đốc Điều hành của U.S Info Search Marc Martin cho rằng các thông tin được dịch vụ đánh cắp thông tin đó bán ra không liên quan trực tiếp đến công ty của ông ấy, nhưng có thể liên quan đến Court Ventures, một công ty thứ ba mà US Info Search từng có liên kết trong việc chia sẻ thông tin. Theo Ông Martin, nhiều năm về trước, US Info Search và Court Ventures đã thoả thuận về việc cho phép công ty này có thể tham khảo toàn bộ thông tin của các khách hàng Hoa Kỳ được lưu trữ trong dữ liệu công ty kia và ngược lại.
Được thành lập năm 2001, Court Ventures được mô tả như là nơi chuyên “tập trung, sắp xếp và cung cấp các dữ liệu hồ sơ công cộng từ nguồn của hơn 1.400 bang và hạt trên đất nước Hoa Kỳ. Các thông tin lịch sử dữ liệu ấy của courtventures.com vẫn còn có thể xem được qua trang archive.org.
Vai trò của Experian
Tháng 3/2012, Court Ventures đã được mua lại bởi Experian, một trong ba tổ chức tín dụng chính có trụ sở tại Costa Mesa, California (Mỹ). Theo như đánh giá của Martin, những kẻ điều hành Superget.info đã lấy thông tin từ trung tâm dữ liệu của Experian bằng cách giả danh các nhà điều tra nghiên cứu bí mật của Hoa Kỳ. Martin còn nói thật ra, có nhiều khả năng những kẻ điều hành Superget.info đang sống tại Việt Nam.
Theo Martin, lần đầu tiên ông ấy tìm hiểu về dịch vụ đánh cắp thông tin cá nhân này là khi được một nhân viên Dịch vụ Bí mật Hoa Kỳ (U.S. Secrect Service) thông tin rằng Cục Thực thi Pháp luật đã tiến hành điều tra cũng như thành lập Ban hội thẩm nhằm xem xét công ty này.
Trong khi những nhà điều tra đang tìm kiếm những kẻ lừa đảo trà trộn trong các tiến trình hoạt động của Experian và CourtVentures thì theo Martin, có những dấu hiệu cho thấy chính Experian có liên hệ với những kẻ lừa đảo đó. Điển hình, theo thông tin từ Dịch vụ Bí mật, những kẻ được cho là nhà điều hành của Superget.info đã trả phí xâm nhập dữ liệu hàng tháng cho Experian từ một tài khoản ở Singapore.
“Điều này đã được kéo dài gần một năm kể từ sau khi Experian đầu tư mua lại Court Ventures”, Martin nói, “Và chẳng có lý do gì mà Experian không tự hỏi, tại sao cứ hằng tháng tiền lại vào tài khoản mình đều đặn như thế. Experian tự nhận mình như một chuyên gia về bảo mật dữ liệu và cung cấp dịch vụ bảo mật dữ liệu cho khách hàng. Tôi không thể tin được họ không nhận ra điều khác thường nào từ các khoản tiền hàng tháng ấy. Thoả thuận của chúng tôi là các thông tin dữ liệu sẽ được dùng để tránh lừa đảo và xác nhận ID và chỉ được phép cung cấp cho những doanh nghiệp có giấy phép và được chứng nhận rõ ràng ở Hoa Kỳ chứ không phải cho bất cứ đâu ngoài biên giới cả.”
Experian từ chối trả lời tất cả các lời phỏng vấn từ báo chí. Tuy nhiên, trong một báo cáo viết tay được KrebsonSecurity thực hiện, Experian thừa nhận một số điểm chính trong câu chuyện của Martin và thông báo rằng công ty đang làm việc với Dịch vụ Bí mật nhằm đưa một người mang quốc tịch Việt Nam ra toà với tội danh vận hành dịch vụ đánh cắp ID trên mạng. Thông báo có đoạn như sau:
“Experian đã mua lại Court Ventures vào tháng 3/2012 vì muốn sử dụng nền tảng dữ liệu công cộng quốc gia khổng lồ của nó. Sau khi chuyển giao, Dịch vụ Bí mật Hoa Kỳ có cảnh báo về việc Court Ventures đã và đang bán lại những thông tin từ US Info Search cho một bên thứ ba và hành động này được xem là trái pháp luật. Từ đó Experian đã ngưng việc bán lại thông tin của US Info Search đồng thời hợp tác tích cực và toàn diện với các cơ quan thực thi pháp luật nhằm khởi tố ông Hieu Minh Ngo, quốc tịch Việt Nam, người bị tình nghi là thủ phạm ra toà. Các thông tin tín dụng của Experian hoàn toàn không bị xâm hại. Vì Cục điều tra liên bang vẫn còn làm việc nên hiện nay chúng tôi không thể phát biểu gì thêm.”
Hiếu là ai?
Trên một diễn đàn kết bạn là talkgold.com, có một người dùng tên “hieupc” xác nhận superget.info là trang web của anh ta. Khi tìm hiểu kỹ hơn, đây rõ ràng là một hacker người Việt Nam có mật danh “Hieupc” và đã bắt đầu thực hiện việc tấn công các địa chỉ websites, kể cả trang web của trường đại học cũ của anh ta tại New Zealand sau khi bị đuổi học do tình nghi sử dụng thẻ tín dụng giả. Và theo lịch sử địa chỉ các server Web, máy chủ của superget.info được đặt tại Việt Nam từ năm ngoái.
Theo bản cáo trạng được công bố tuần qua của Toà án quận New Hampshire, Hieupc chính là Hieu Minh Ngo, 24 tuổi, mang quốc tịch Việt Nam trong thông báo của Experian. Và cũng theo những tài liệu toà án công bố, Hieu hiện đang cư trú tại New Zealand hoặc Việt Nam, điều hành trang superget.com và một dịch vụ đánh cắp ID khác tên findget.me cùng với một kẻ chủ mưu nặc danh khác được xác định với tên gọi John Doe One.
Những dịch vụ này chuyên bán các “fullz” hoặc “fulls”, một thuật ngữ được cộng đồng hacker sử dụng để diễn tả một gói thông tin cá nhân gồm: tên, địa chỉ, số Bảo hiểm xã hội, ngày sinh, nơi làm việc, tiểu sử làm việc, giấy phép lái xe, tên riêng, số tài khoản ngân hàng, số lần giao dịch, địa chỉ email và các mật khẩu khác. Chính những thông tin này sẽ được sử dụng để qua mặt hệ thống xác định danh tính cá nhân nhằm tiến hành các vụ lừa đảo khác, như vay tiền từ thông tin cá nhân bị đánh cắp hoặc điền vào các mẫu đơn đề nghị hoàn trả thuế của IRS.
Như đã được đề cập, chính phủ Hoa kỳ tình nghi findget.me và superget.info đã cung cấp hoặc bán các gói thông tin của hơn nửa triệu người.
Dịch vụ Bí mật Hoa Kỳ từ chối bình luận thêm về vấn đề này nhưng một nguồn tin cho biết các mật vụ liên bang đang tiến hành một giao dịch giả nhằm dụ Ngo đến đảo Guam, một phần lãnh thổ theo nghĩa ngầm của Hoa Kỳ ở phía tây Thái Bình Dương. Nguồn tin còn cho biết Ngo sẽ bị bắt ngay khi đến Guam và dẫn độ về New Hampshire. Tại đây, Hieu sẽ đối mặt với 15 tội danh khác nhau, gồm có âm mưu tổ chức lừa đảo các quy định về xác nhận, đánh cắp thông tin cá nhân, lừa đảo qua mạng và một số tội danh khác.
Nếu bị buộc tội, Hieu sẽ đối mặt với một án tù rất dài. Theo bản cáo trạng về trường hợp Hieu của Toà án và chưởng lý John P. Kacavas ở New Hampshire Hoa Kỳ, hình phạt nặng nhất theo quy định là 5 năm cho tội lừa đảo xác nhận thông tin và âm mưu lừa đảo; 2 năm cho mỗi một tài khoản bị đánh cắp và sử dụng vì mục đích xấu; 20 năm cho tội danh lừa đảo qua mạng và âm mưu lừa đảo qua mạng; 10 năm cho tội thiết lập hệ thống thiết bị lừa đảo và 5 năm cho âm mưu sử dụng các thiết bị nhằm thực hiện hành vi lừa đảo.
Sự sụp đổ của các nhà môi giới thông tin
Trong khi đó, vẫn chưa rõ Experian có phải đối mặt với các hậu quả do dính dáng tới hệ thống đánh cắp thông tin này không. Sự việc này khá giống với một loạt các sai phạm tại ChoicePoint, một tổ chức chuyên tập hợp thông tin nhằm cung cấp dịch vụ bí mật cho chính phủ và nền công nghiệp. Bắt đầu từ năm 2004, ChoicePoint đã bị phát hiện có nhiều sai phạm do các thông tin cá nhân của cư dân Hoa Kỳ bị các hacker chuyên đánh cắp thông tin để tạo ra các giao dịch gần như hợp pháp bằn việc sử dụng dữ liệu của ChoicePoint. ChoicePoint sau đó đã bị Hội đồng Thương mại Liên Bang Hoa Kỳ (FTC) khởi kiện và phải đền bù 10 triệu USD – khoản đền bù lớn nhất trong lịch sử của cơ quan đại diện do vi phạm luật pháp liên bang.
Vào năm 2008, ChoicePoint được mua lại bởi Reed Elsevier, công ty mẹ của tổ chức tập hợp thông tin dữ liệu LexisNexis. Tháng trước, KrebsOnSecurity đã phát hành một bản báo cáo đặc biệt về việc làm thế nào mà bọn điều hành của các dịch vụ đánh cắp thông tin có thể cạnh tranh với superget.info trong việc xâm nhập hệ thống LexisNexis cũng như các công ty môi giới thông tin khác như Kroll hoặc Dun&Bradstreet.
Avivah Litan, chuyên gia về lừa đảo tài chính của Gartner INC cho biết sự việc này làm dấy lên lo ngại về khả năng điều hành của những người có thẩm quyền trong việc bảo vệ một lượng khổng lồ các thông tin cá nhân nhạy cảm của khách hàng, đã được đề cập trong Báo cáo các giải pháp tín dụng công bằng (Fair Credit Reporting Act). Litan nói rằng tại điều 15 U.S.C 1681b, các đại lý báo cáo tín dụng phải có chính sách tìm hiểu kỹ càng những đối tượng mà họ cung cấp dữ liệu khách hàng.
“Rõ ràng là các tổ chức tội phạm chuyên đánh cắp thông tin nằm ngoài nhóm đối tượng có quyền đề nghị các nhà môi giới cung cấp thông tin” Litan phát biểu “Trong khi việc chính phủ (Mỹ) đóng cửa chắc chắn gây ra những tác động đến những nhà điều hành kinh doanh trong tháng 10/2013, trong suốt bảy năm qua những nhà điều hành ấy đã làm được những gì trong việc bảo vệ các thông tin nhạy cảm của khách hàng? Chẳng lẽ những nỗ lực ấy đều hoàn toàn vô dụng?”
Có những dấu hiệu cho thấy ít ra các nhà điều hành liên bang (Mỹ) đã có những hành động cứng rắn hơn đối với thực trạng của nền công nghiệp môi giới thông tin hiện nay. Vào tháng 8/2013, một bản báo cáo do nữ chủ tịch FTC Edith Ramirez phát biểu tại Diễn đàn Aspern của Viện Chính sách Công nghệ đã đề cập “Đây là lúc các nhà kinh doanh xử lý các nguồn tổng hợp dữ liệu của họ và phơi bày sự thật ra ánh sáng. Nói một cách khác là trách nhiệm của họ ngày càng lớn hơn trong việc bảo mật các dữ liệu ngày càng đồ sộ của mình. Những tập đoàn đang duy trì hệ thống thông tin khách hàng khổng lồ cần phải có trách nhiệm quản lý những thông tin đó.”
Ramirez nhấn mạnh rằng FTC có thể hành động dựa trên Phần 5 được quy định trong văn bản Vai trò của FTC và họ có quyền áp dụng hình phạt đối với các công ty môi giới thông tin không hoàn thành nghĩa vụ bảo mật thông tin mà họ tổng hợp. Tuy nhiên, bà cũng nói rằng động lực chính cho các tập đoàn nâng cao bảo mật thông tin phải từ chính suy nghĩ của họ, và FTC đang hối thúc Hội nghị đưa ra các chính sách xử lý nội bộ đối với các công ty bỏ qua nhiệm vụ duy trì các bảo mật hợp lý.
“Tất cả các tập đoàn sử dụng thông tin khách hàng dù bằng cách nào cũng không những không được đi ngược lại nguyện vọng của khách hàng mà còn không được gây tổn thất cho họ.” Ramirez phát biểu “Đây là vấn đề hết sức quan trọng đối với các nhà môi giới dữ liệu – khi đã thu thập và kết hợp các thông tin của khách hàng từ vô số người để tạo ra bảng thông tin chi tiết của từng cá nhân. Sự thành công được quyết định dựa trên việc có nhiều thông tin chính xác hơn đối thủ cạnh tranh của họ. Điều lo ngại ở đây chính là trong khối dữ liệu khổng lồ ấy có chứa vô số các thông tin nhạy cảm khác. Sự nguy hiểm của việc cung cấp sai các thông tin nhạy cảm ấy còn tăng cao vì khách hàng hoàn toàn không biết những công ty kia là ai và chúng thực sự đang làm những gì.”
Năm ngoái, FTC đã kêu gọi các nhà môi giới thông tin cho phép khách hàng dễ dàng kiểm tra các thông tin của họ. Tổ chức này còn hỗ trợ các pháp chế giúp cho khách hàng có thể kiểm tra, tranh luận cũng như ngăn chặn các thông tin đã được các nhà môi giới tổng hợp. Với vai trò của mình, Hội nghị không thể tự mình thông qua một đạo luật về việc tiết lộ thông tin cấp quốc gia, nhưng những nỗ lực pháp lý này ngày càng nhận được sự hỗ trợ chính trị từ các vị đứng đầu nền công nghiệp gần một thập kỷ nay.
Nữ Chủ tịch FTC Ramirez còn cho biết, tổ chức này đã gửi trát hầu toà cho 9 công ty môi giới thông tin, kiểm tra các nguồn thông tin về dữ liệu khách hàng mà các nhà môi giới thông tin sử dụng; giám sát việc sử dụng, duy trì và phổ biến các thông tin ấy; đồng thời đánh giá khả năng mà họ dành cho khách hàng trong việc tự động truy cập, sửa đổi thông tin của mình cũng như việc chọn lựa những thông tin được phép bán ra cho bên thứ ba. FTC cũng hi vọng sẽ hoàn thành một báo cáo vào cuối năm nay dựa trên những kết quả đạt được ấy.
Quang Trung
(theo KrebsonSecurity)