Với sự ra đời của Internet, thế giới đã chuyển từ “Sức khỏe là vàng” sang “Dữ liệu là vàng”. Theo dòng thời gian, Internet đã nhanh chóng thay đổi từ nơi mà mọi người có quyền truy cập thông tin thành hố đen thao túng. Liệu vụ bê bối dữ liệu Facebook–Cambridge Analytica có gióng chuông cảnh báo nào không?



Đáng chú ý, năm 2018 không chỉ có vụ bê bối của Facebook. Thực tế, một số scandal tắc trách trong việc quản lý dữ liệu đã bị đưa ra ánh sáng, các tập đoàn hàng đầu bị quy trách nhiệm không thực hiện các biện pháp cần thiết để bảo vệ dữ liệu người dùng. Một số dữ liệu đã bị bán cho các bên thứ ba với ý định kiếm tiền nhanh chóng, trong khi những người khác trở thành nạn nhân của các vectơ tấn công.Xem thêm: tin tức tiền kỹ thuật số

Thậm chí, nghiên cứu của Identity Theft Resources Center (Trung tâm tài nguyên trộm cắp nhận dạng) đã tuyên bố có ít nhất ba vụ vi phạm dữ liệu xảy ra hàng ngày. Ngoài ra, theo nghiên cứu của QuickView Data Breach, 6 tháng đầu năm 2019 đã ghi nhận 3,800 vụ vi phạm được tiết lộ công khai, lên tới 4.1 tỷ hồ sơ bị xâm phạm.

Hầu hết các công ty đều khẳng định họ thu thập dữ liệu chủ yếu để phục vụ việc quảng cáo. Tuy nhiên, động cơ ẩn dấu đằng sau việc thu thập dữ liệu là để quản lý kinh doanh hằng ngày và phân tích quá trình hoạt động. Đây là một trong những lý do tại sao dữ liệu được coi là vua của tất cả.

Các thông tin như tuổi tác, giới tính và địa điểm đóng vai trò quan trọng trong việc xác định nhóm khách hàng mục tiêu để mở rộng doanh nghiệp. Trên thực tế, thông tin tài chính và hoạt động truyền thông xã hội cho phép một công ty hiểu bạn hơn chính bạn.

Trong khi tự nhận là trái ngược hoàn toàn với các thị trường truyền thống, không gian tiền điện tử không phải là trường hợp ngoại lệ khi nói đến vi phạm dữ liệu. Chỉ riêng trong năm nay, ba trong số các sàn giao dịch hàng đầu đã trở thành nạn nhân của các vụ vi phạm dữ liệu. Chắc các bạn cũng biết đối tượng được nhắc đến ở đây không ai khác ngoài Binance, Coinbase và BitMEX.

Thomas Gray: “Điếc không sợ súng”

Mặc dù báo chí liên tục nhắc nhở người dùng phải hết sức cẩn thận vì dữ liệu của họ thường xuyên bị sử dụng sai mục đích nhưng có rất ít người quan tâm đến chính sách của các công ty cung ứng dịch vụ. Có thể là dịch vụ trả phí hoặc dịch vụ miễn phí nhưng hầu hết chúng ta chỉ chọn ô “Tôi đồng ý” mà không cần đọc một câu nào về nội dung đồng ý hoặc suy nghĩ về hậu quả của việc vi phạm dữ liệu có thể xảy ra với cuộc sống của chúng ta.

Tuy nhiên, ngược lại, khi một tổ chức tài chính bị vi phạm dữ liệu thì nó hoàn toàn là một câu chuyện khác tùy thuộc vào thông tin về khách hàng mà công ty đang có.

Trong không gian tiền điện tử, các tổ chức tài chính khác nhau thường yêu cầu thông tin tùy theo dịch vụ được nền tảng cung cấp. Đối với sàn giao dịch, nó phụ thuộc vào việc sàn đó có được quy định hay không và liệu nó có fiat on-ramp hay không?

Trong một email, Phó chủ tịch phụ trách lĩnh vực sản phẩm của Oz Mishli tại Unbound Tech cho biết:

“Xử lý dữ liệu người dùng trong thời đại mà dữ liệu là tài sản và thường bị các bên lừa đảo lợi dụng kiếm tiền là một thách thức rất lớn đối với bất kỳ tổ chức nào, chứ không chỉ riêng tổ chức tài chính, để đảm bảo an toàn và riêng tư cho người dùng. Cuối cùng, các sàn giao dịch và đặc biệt là các sàn giao dịch lớn, chiếm ưu thế đều như vậy”.

Tại đây, thông tin có thể được phân tách dựa trên cơ sở hoạt động giao dịch, địa điểm, thời gian, nhóm tuổi và dữ liệu quan trọng nhất là tình hình tài chính của người dùng. Thông tin này sau đó được sử dụng để quảng bá các dịch vụ hiện có trên nền tảng, đồng thời được sử dụng để xây dựng các dịch vụ mới dựa trên các hoạt động trước đây của khách hàng trên nền tảng.Xem thêm: bitcoin cash là gì tapchibitcoin

Nó cũng được sử dụng để sáp nhập và mua lại. Thật thú vị, trọng tâm chính đằng sau việc thu thập dữ liệu thường được tuyên bố là để cung cấp dịch vụ tốt hơn và tuân thủ các quy tắc do cơ quan quản lý đặt ra.

Ví dụ: chính sách bảo mật của Coinbase được cập nhật lần cuối vào ngày 11/4/2019 ghi nhận dữ liệu của khách hàng sẽ được sử dụng để tạo điều kiện cho việc mua lại, sáp nhập công ty và cách duy nhất để từ chối là từ chối sàn giao dịch.



Nguồn: Coinbase



Nguồn: BitMEX



Nguồn: Binance

Điều thú vị là hầu hết các sàn giao dịch hàng đầu không chỉ tự thu thập dữ liệu từ người dùng mà họ cũng thu thập thông tin về khách hàng của mình từ các nguồn của bên thứ 3 để xác minh danh tính của khách hàng bằng cách so sánh nó với các cơ sở dữ liệu và hồ sơ công khai khác. Tuy nhiên, điều này thường được sử dụng để xác minh danh tính người dùng phục vụ cho việc đáp ứng quy định tuân thủ của các cơ quan quản lý.

Deloitte: “Quyền riêng tư và bảo mật dữ liệu quan trọng hơn so với việc ngăn chặn tin tặc”

Nhưng điều gì xảy ra khi một nền tảng có tất cả thông tin cá nhân và thông tin tài chính của bạn bị vi phạm dữ liệu? Tóm lại, nó không phải là tin tốt cho cả hai bên. Dựa vào cách sàn giao dịch là hệ thống Honeypot cho hacker như thế nào, đánh cắp dữ liệu sẽ dễ dàng hơn nhiều.

Coinbase là một trong những sàn giao dịch lớn nhất ở Hoa Kỳ khi nói về việc quản lý dữ liệu sai mục đích. Trong một cuộc phỏng vấn với Cheddar hồi tháng 3, cựu Giám đốc bán hàng Christine Sandler tiết lộ nhà cung cấp dịch vụ bên thứ ba của nền tảng đã rò rỉ dữ liệu khách hàng cho các doanh nghiệp khác gây ra sự náo động lớn trong thị trường tiền điện tử. Cô khẳng định đó là lý do chính để công ty mua lại Neutrino, một thương vụ bị chỉ trích nhiều trên thị trường.

“Các nhà cung cấp hiện tại của chúng tôi thực sự đã bán dữ liệu khách hàng cho các nguồn bên ngoài và chúng tôi bắt buộc phải kiểm soát điều đó bằng cách sử dụng công nghệ độc quyền để giữ an toàn cho dữ liệu và bảo vệ khách hàng của mình.”

Về vấn đề tương tự, Mishli cho biết:

Các mối nguy hiểm đối với người dùng tiền điện tử sau khi dữ liệu bị vi phạm rất đa dạng. Kẻ xấu có thể dùng chính dữ liệu bị tiết lộ trái phép đó để tấn công trực tiếp vào người dùng sàn giao dịch như chuyển hướng đến một trang web lừa đảo hoặc lây nhiễm phần mềm độc hại là hoàn toàn khả thi.

Binance là sàn giao dịch lớn nhất thế giới cũng không xa lạ gì với vấn đề này. Cùng với việc mất 7000 Bitcoin vì một vụ hack, sàn giao dịch cũng bị cuốn vào guồng điên cuồng của truyền thông về vụ rò rỉ dữ liệu KYC. Binance cho biết vụ việc có khả năng ảnh hưởng đến hàng ngàn cá nhân đã gửi thông tin KYC trong năm 2018 và 2019.

Tuy nhiên, sàn giao dịch đã làm rõ bằng cách tuyên bố vụ rò rỉ không xảy ra từ phía sàn giao dịch, nhấn mạnh đó có thể là từ một nhà cung cấp dịch vụ bên thứ 3 mà Binance đã sử dụng dịch vụ trong mùa cao điểm. Theo một bài đăng trên blog,

“Trước tiên, có sự không nhất quán khi so sánh dữ liệu này với dữ liệu trong hệ thống của chúng tôi. Vào thời điểm hiện tại, không có bằng chứng nào được cung cấp cho thấy bất kỳ hình ảnh KYC nào được lấy từ Binance, vì những hình ảnh này không chứa hình mờ kỹ thuật số của hệ thống chúng tôi.”



Nguồn: Binance

“Qua xem xét hình ảnh ban đầu được công khai, tất cả dường như được xác định là từ tháng 2/2018. Tại thời điểm đó Binance đã ký hợp đồng với một nhà cung cấp bên thứ ba để xác minh KYC nhằm xử lý khối lượng yêu cầu cao. Hiện tại, chúng tôi đang điều tra với nhà cung cấp bên thứ ba để biết thêm thông tin. Chúng tôi sẽ tiếp tục làm rõ và thông báo cho quý vị”.

BitMEX là nền tảng phái sinh Bitcoin lớn nhất nhưng đã đào mộ cho chính mình sau khi ID email của người dùng bị rò rỉ trong quá trình sàn giao dịch gửi thông báo. Đối với trường hợp BitMEX, Mishli nói rằng các vectơ tấn công có thể được chia thành hai:
  • Kẻ lừa đảo cố truy cập vào tài khoản của nạn nhân, chủ yếu bằng cách sử dụng DB mật khẩu bị xâm phạm từ các vi phạm trong quá khứ và dựa vào việc nạn nhân sử dụng lại mật khẩu trên các dịch vụ khác nhau
  • Kẻ lừa đảo bắt đầu cuộc tấn công với mục tiêu thực hiện chiến dịch lừa đảo hoặc chiến dịch phần mềm độc hại ngắm vào BitMEX
    • Có khả năng là giả thiết thứ nhất vì đây là một cuộc tấn công cấp thấp, dễ bị những kẻ tấn công kém tinh vi hơn đạt được mục đích. Theo BitMEX, những nỗ lực gian lận như vậy thực sự đã diễn ra và dường như họ đã bị BitMEX kiểm soát và ngăn chặn.
    • Có khả năng là giả thiết thứ hai vì nó đòi hỏi sự chuẩn bị kỹ lưỡng hơn và các kỹ năng mạnh hơn, tuy nhiên, cho phép thu được nhiều lợi ích hơn vì có thể triển khai các cuộc tấn công tinh vi ở quy mô lớn với nhiều người dùng bị rò rỉ thông tin hơn [ví dụ: có khả năng bỏ qua 2FA].

Aneel Bhusri: “Nhìn chung, tôi nghĩ việc bảo vệ dữ liệu thực sự có vấn đề



Aneel Bhusri

Mặc dù các sàn giao dịch lớn đã thực hiện các bước cần thiết để bảo vệ thông tin người dùng như duy trì biện pháp bảo vệ vật lý, điện tử, quy trình và quét PCI nhưng những gì xảy ra trong năm nay đã chứng minh rằng các biện pháp này không đủ. Mishli đề xuất:

Lý tưởng nhất, sàn giao dịch nên áp dụng các biện pháp quản lý dữ liệu và bảo mật thông tin nghiêm ngặt nhất, tương tự như các tổ chức Fortune 500 được quy định hàng đầu.