Bạn có bất ngờ khi biết rằng, thông tin cá nhân của bạn, từ số Căn cước công dân, số điện thoại, đến lịch sử tín dụng, có thể đang được rao bán công khai trên mạng với giá hàng trăm nghìn đô la? Sự việc rò rỉ dữ liệu CIC (Trung tâm Thông tin Tín dụng Quốc gia Việt Nam) đang gây chấn động dư luận, đe dọa trực tiếp đến an toàn tài chính và quyền riêng tư của gần 100 triệu người dân Việt Nam.
CIC là gì và vì sao dữ liệu ở đây quan trọng?
CIC (Credit Information Center) là cơ quan thuộc Ngân hàng Nhà nước Việt Nam, có nhiệm vụ thu thập, lưu trữ và phân tích thông tin tín dụng của cá nhân, tổ chức.
Tại đây lưu giữ nhiều dữ liệu nhạy cảm như:
- Họ tên, ngày sinh, số CMND/CCCD, địa chỉ
- Thông tin hợp đồng vay tín dụng
- Lịch sử trả nợ, nợ xấu
- Quan hệ tín dụng giữa cá nhân/doanh nghiệp với ngân hàng
Chính vì vậy, nếu dữ liệu này bị rò rỉ, hậu quả sẽ vô cùng nghiêm trọng.
Diễn biến vụ việc rò rỉ dữ liệu CIC
- Ngày 10/9/2025: Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) phát hiện dấu hiệu tấn công mạng tại CIC.
- Hacker tuyên bố đã lấy cắp 160 triệu bản ghi thông tin cá nhân người Việt.
- Nhóm đứng sau được cho là ShinyHunters, vốn nổi tiếng với nhiều vụ đánh cắp dữ liệu toàn cầu.
- CIC và các cơ quan chức năng hiện đang phối hợp điều tra, huy động nhiều đơn vị an ninh mạng như Viettel, VNPT, NCS… để xác minh và xử lý.

Dữ liệu bị rò rỉ có thể bao gồm những gì?
Hiện chưa có thông báo chính thức, nhưng theo các chuyên gia an ninh mạng, dữ liệu rao bán có thể chứa:
- Thông tin định danh: Họ tên, số CMND/CCCD, ngày sinh, số điện thoại
- Thông tin tài chính: Hợp đồng vay, lịch sử tín dụng, hạn mức vay
- Dữ liệu liên quan đến các khoản nợ, tình trạng trả nợ
Nếu đúng, đây sẽ là một trong những vụ rò rỉ dữ liệu lớn nhất lịch sử Việt Nam.
Nguy cơ và hệ quả nếu dữ liệu bị lộ
- Lừa đảo tài chính: Hacker có thể giả danh ngân hàng, gửi tin nhắn, gọi điện để lừa nạn nhân.
- Giả mạo danh tính: Mở tài khoản, vay tín dụng, thậm chí rửa tiền bằng thông tin bị đánh cắp.
- Ảnh hưởng uy tín & tinh thần: Người dân có thể bị liên đới pháp lý hoặc khủng hoảng tâm lý khi thông tin của mình bị lợi dụng.
- Mất niềm tin vào hệ thống tín dụng: Các tổ chức tài chính phải đối mặt với rủi ro uy tín và pháp lý.

Các bước người dân nên làm ngay
- Không chia sẻ dữ liệu bị rao bán nếu tìm thấy trên mạng.
- Đổi mật khẩu tất cả các tài khoản ngân hàng, ví điện tử, dịch vụ trực tuyến.
- Kích hoạt xác thực đa yếu tố (MFA) để tăng cường bảo mật.
- Theo dõi báo cáo tín dụng thường xuyên để phát hiện khoản vay bất thường.
- Cảnh giác với tin nhắn, cuộc gọi lạ giả danh ngân hàng, CIC hoặc cơ quan nhà nước.
Biện pháp dành cho các tổ chức tài chính
- Rà soát toàn bộ hệ thống bảo mật theo chuẩn an ninh mạng quốc gia (TCVN 14423:2025).
- Có kế hoạch ứng phó sự cố và thông báo minh bạch tới khách hàng nếu bị ảnh hưởng.
- Hợp tác chặt chẽ với cơ quan chức năng để xử lý và ngăn chặn hậu quả lan rộng.
Kết luận
Vụ việc rò rỉ dữ liệu CIC với con số 160 triệu bản ghi vẫn đang trong quá trình xác minh, nhưng đã dấy lên hồi chuông cảnh báo nghiêm trọng về vấn đề bảo mật dữ liệu tại Việt Nam.
Trong bối cảnh thông tin cá nhân ngày càng dễ bị lợi dụng, người dân cần chủ động bảo vệ mình, còn các tổ chức tài chính phải tăng cường hệ thống an toàn thông tin.

FAQ – Giải đáp thắc mắc
1. 160 triệu bản ghi có chính xác không?
→ Đây là con số hacker công bố, CIC chưa xác nhận.
2. Dữ liệu nào có thể bị lộ?
→ Có thể là thông tin cá nhân, tín dụng, lịch sử vay nợ.
3. Ai đứng sau vụ việc?
→ Nhóm ShinyHunters tuyên bố, nhưng chưa được xác minh chính thức.
4. Người dân có bị ảnh hưởng trực tiếp không?
→ Có thể, nếu dữ liệu bị khai thác để lừa đảo hoặc giả mạo tín dụng.
5. Tôi cần làm gì để tự bảo vệ?
→ Đổi mật khẩu, bật xác thực 2 lớp, cảnh giác với tin nhắn lừa đảo, theo dõi tín dụng thường xuyên.
6. Dữ liệu CIC có bao gồm mật khẩu tài khoản ngân hàng, hay thông tin thẻ tín dụng (số thẻ, CVV…) không?
-> Dữ liệu CIC sẽ không bao gồm những thông tin này. Nếu có thông tin tài khoản ngân hàng, thì cũng đã được mã hóa chứ ko phải dữ liệu thô mà ai cũng có thể đọc được.
oOo
Chia sẻ của Thái Hacker, chuyên viên bảo mật từng làm việc cho Google
Cách đây vài hôm, nhóm hacker ShinyHunters rao bán dữ liệu được cho là đánh cắp từ Trung tâm Thông tin Tín dụng Quốc gia Việt Nam (CIC).
Theo DataBreach, ShinyHunters lợi dụng một lỗ hổng cũ (N-day vulnerability) trong một phần mềm đã hết hạn, xâm nhập vào CIC và lấy đi khoảng 3 tỉ bản ghi, trong đó có 160 triệu bản ghi chứa thông tin cá nhân người Việt.
ShinyHunters công bố dữ liệu mẫu gồm 46 file, phần lớn mỗi file 10.000 bản ghi, tổng cộng hơn 448 nghìn bản ghi, dung lượng 144MB. Một số file có tên DWH, dường như trích xuất từ hệ thống Data Warehouse. Dữ liệu mẫu chứa thông tin cá nhân như họ tên, địa chỉ, số điện thoại, ngày sinh, số căn cước, mã số thuế, cùng thông tin doanh nghiệp.
Hiện chưa có thông báo chính thức từ CIC hay cơ quan quản lý, nên chưa rõ mức độ ảnh hưởng. Những tuyên bố của ShinyHunters cũng chưa được xác minh.
Theo luật Việt Nam, CIC thu thập thông tin các khoản vay của cá nhân và doanh nghiệp tại ngân hàng. Do đó, ai từng vay ngân hàng cần cảnh giác, bởi dữ liệu lộ lọt có thể bị lợi dụng để lừa đảo. Nếu có ai gọi điện nói về điểm tín dụng thì nên từ chối cuộc gọi.
Các hệ thống dữ liệu tập trung như CIC, bảo hiểm xã hội, bảo hiểm y tế luôn là mục tiêu hấp dẫn với hacker. Các đơn vị hành chính sự nghiệp như CIC khó có khả năng tự vệ trước những nhóm hacker như ShinyHunters. Ngay cả các ngân hàng, vốn đầu tư mạnh cho an ninh mạng, cũng phải chật vật chống đỡ do thiếu nguồn lực chất lượng và kinh nghiệm quốc tế.
Tôi đã nhiều lần cảnh báo điểm yếu này, phân tích nguyên nhân và các giải pháp với lãnh đạo các cấp trong hệ thống chính trị Việt Nam. Tôi cũng trực tiếp hỗ trợ một số đơn vị trong nước. Tôi đã đến Nhà Trắng để vận động chính phủ Mỹ tài trợ các hoạt động cải thiện an ninh mạng Việt Nam.
Nếu sự cố này là có thật, tôi hy vọng đây sẽ là hồi chuông cảnh tỉnh để Việt Nam cân nhắc thận trọng trước khi tập trung hóa dữ liệu quốc gia.
Dữ liệu là tài sản, nhưng đồng thời cũng là trách nhiệm. Nhiều tập đoàn công nghệ lớn trên thế giới đã bắt đầu hạn chế thu thập dữ liệu. Tôi chưa thấy công ty nào dồn toàn bộ dữ liệu về một nơi, một phần vì khối lượng quá lớn, một phần vì rủi ro quá cao.
Dữ liệu không phải là vàng, mà là chất phóng xạ: quý giá khi được quản lý và khai thác đúng cách, nhưng đòi hỏi công nghệ cùng kỹ thuật chính xác, chuyên sâu; nếu không, thảm họa có thể xảy ra bất cứ lúc nào.
— nguồn: Thái Hacker —






