Vào ngày 31 tháng 8, một người dùng tên Bjorka đã đăng một bài viết trên một trang web ít người biết đến có tên gọi Breached Forums với tiêu đề hết sức giản dị: “Đăng ký SIM Card (Số điện thoại) tại Indonesia: 1,3 tỷ.” Chỉ với vài từ đó, nó đã báo hiệu một vụ hack dữ liệu lớn liên quan đến 1,3 tỷ hồ sơ SIM - một vụ việc làm lộ ra số điện thoại, số định danh cá nhân, tên các nhà cung cấp viễn thông và nhiều thông tin khác nữa.
Người dân Indonesia bàng hoàng khi biết thông tin về vụ rò rỉ dữ liệu này, mà sự bối rối đã nhanh chóng chuyển thành sự tức giận. Bộ Thông tin và Truyền thông Indonesia (Kominfo) đã phản ứng bằng cách khuyên công dân họ nên thường xuyên thay đổi mật khẩu; những tài khoản meme phổ biến đã chia sẻ lời khuyên này với những câu đùa đầy châm biếm. Một quan chức đã cầu khẩn Bjorka trong một buổi họp báo: “Nếu có thể, xin đừng tấn công.” Bjorka đã chế giễu lại trên tài khoản của mình: “Ngừng tỏ ra ngu ngốc đi.”
Dữ liệu của người Indonesia bị lộ ra với tốc độ mà công dân ở đây đùa rằng đất nước của họ giống như một “quốc gia mã nguồn mở.” Nhóm quyền kỹ thuật số Safenet đã gọi vụ việc của Bjorka là vụ rò rỉ dữ liệu lớn nhất từ trước tới nay tại châu Á, và có lẽ sự chấn động sẽ lớn hơn nếu nó không phải là chuyện thường xảy ra. Dữ liệu của người dân ở Indonesia bị lộ ra với tỷ lệ nhanh chóng và đều đặn tới mức người dân nơi đây lại coi đó như một điều bình thường.
Vào năm 2020, những vụ rò rỉ từ các công ty, bao gồm cả các ông lớn thương mại điện tử như Tokopedia và Bukalapak, đã lộ ra thông tin cá nhân của hơn 100 triệu người dùng. Năm sau, một hacker đã xâm nhập vào cơ sở dữ liệu của BPJS Kesehatan, cơ quan y tế và an sinh xã hội của đất nước, làm lộ số định danh cá nhân và nhiều thông tin khác của 279 triệu người dân, trong đó có cả những người đã khuất.
Sau nhiều năm liên tiếp xảy ra những vụ rò rỉ táo bạo, sự bức xúc của người dân Indonesia đã đạt đến đỉnh điểm - đủ để thúc đẩy việc thông qua một dự luật bảo vệ dữ liệu cá nhân đã bị trì hoãn từ lâu vào tháng 9, cùng với việc thành lập một nhóm đặc nhiệm để truy tìm hacker Bjorka. Đáng chú ý, nhiều người Indonesia thậm chí còn đứng về phía hacker này, người tuyên bố đã thực hiện vụ rò rỉ để phơi bày sự quản lý dữ liệu kém. Cùng với vụ rò rỉ dữ liệu khổng lồ, Bjorka còn được cho là đã doxx (lộ thông tin cá nhân) Bộ trưởng Kominfo Johnny G. Plate vào đúng ngày sinh nhật của ông. “Chúc mừng sinh nhật,” họ đã đăng trên kênh Telegram của mình, Bjorkanism, kèm theo những chi tiết nhạy cảm như địa chỉ nhà, số điện thoại và ID tiêm chủng của ông.
Một chuyên gia an ninh mạng, Teguh Aprianto, đã chỉ ra trên Twitter rằng: “Năm 2018, [Kominfo] đã buộc chúng tôi phải đăng ký số điện thoại bằng [CMND], hứa hẹn rằng chúng tôi sẽ không còn nhận spam.” Tuy nhiên, không chỉ việc này không giúp tránh được spam, mà dữ liệu đăng ký… lại bị lộ và bán ra. Tweet này nhanh chóng được chia sẻ hơn 17.000 lần và nhận được khoảng 27.000 lượt thích - chỉ là một trong số rất nhiều bài viết và hashtag tức giận hướng về Kominfo đã xuất hiện trên mạng xã hội.
Kominfo và Cơ quan An ninh mạng và Crypto Quốc gia (BSSN) đã không phản hồi yêu cầu bình luận. Maryam Jameelah, một giảng viên tại Malang, Đông Java, đã thừa nhận cảm thấy bị sốc khi đọc về những vụ rò rỉ dữ liệu gần đây trên báo chí. Hai năm trước, Jameelah từng là một trong những nạn nhân của vụ rò rỉ dữ liệu Tokopedia và trong nhiều tháng, cô đã phải nhận hóa đơn từ những giao dịch mà mình không thực hiện.
“Thực sự rất khó chịu,” Jameelah chia sẻ. “Tôi đã phải thay đổi số điện thoại và tất cả các tài khoản của mình.” Mulyadi, một kiểm toán viên CNTT tại một công ty Big Four, cũng cho biết mình cảm thấy chính phủ phải chịu trách nhiệm và muốn có hành động mạnh mẽ hơn. “Hãy thuê một chuyên gia để điều tra dữ liệu nào đã bị rò rỉ, nguyên nhân gốc rễ là gì và bước tiếp theo là gì,” Mulyadi nói, người cũng bày tỏ sự bức xúc trước lượng spam gửi đến số điện thoại cá nhân của mình. “Điều quan trọng với chúng tôi là biết rằng có một hành động cụ thể.”
Mặc dù dự luật bảo vệ dữ liệu cá nhân đã được thông qua, với các biện pháp hình sự đối với những người xử lý dữ liệu và các tập đoàn khi xảy ra rò rỉ, các chuyên gia cho rằng những biện pháp mới này chỉ mang tính tạm thời, nhằm làm dịu cơn giận của người dân Indonesia. “Điều này phụ thuộc vào ai là thành viên của nhóm [đặc nhiệm]. Họ có đủ năng lực không?” Ismail Fahmi, nhà sáng lập của Drone Emprit, cho biết. “Đây chỉ là một biện pháp ngắn hạn.”
Vấn đề then chốt nằm ở chỗ cách tiếp cận bảo mật dữ liệu ở Indonesia vẫn còn rời rạc. Các công ty phải chia sẻ dữ liệu khách hàng với Bộ Nội vụ để xác minh danh tính, một quan chức chính phủ cho biết trong khi yêu cầu giấu tên vì không được phép phát ngôn với truyền thông. Nhiều cơ quan nhà nước có thẩm quyền bảo vệ những phần dữ liệu cá nhân của công dân, bao gồm Kominfo, BSSN, Bộ Nội vụ và Cảnh sát Quốc gia. Do đó, khi một vụ rò rỉ xảy ra, không phải lúc nào cũng rõ ràng nơi nào đã phát sinh sự cố: từ một trong các cơ quan chính phủ hay từ chính các công ty.
Những cơ quan nhà nước này cũng được yêu cầu phối hợp làm việc với nhau. Tuy nhiên, sự phối hợp gần như không có, trong khi tình trạng rò rỉ dữ liệu thì diễn ra tràn lan. Kominfo, chẳng hạn, chịu trách nhiệm về các quy định liên quan đến truyền thông và internet; BSSN có nhiệm vụ nâng cao hệ thống phòng chống hack; và đơn vị phòng chống tội phạm mạng của cảnh sát có nhiệm vụ thực thi các quy định về tội phạm mạng, bao gồm hack, phá hoại website, phát ngôn thù hận, lừa đảo và đánh cắp dữ liệu. Trong khi đó, Bộ Nội vụ, với tư cách là cơ quan lưu giữ hồ sơ dân sự cho tất cả người dân Indonesia, cũng được kỳ vọng có một hệ thống bảo mật kiên cố.
Quan chức chính phủ đã giải thích với Rest of World rằng khi xảy ra các vụ rò rỉ dữ liệu, Kominfo, BSSN và các nền tảng đều tiến hành điều tra, nhưng không có hệ thống nào để họ có thể phối hợp đầy đủ các kết quả. “Thật không may, [các cơ quan nhà nước] hầu như không bao giờ chia sẻ kết quả điều tra với Kominfo, vì vậy bộ này thường buộc phải đưa ra khuyến nghị chỉ dựa trên thông tin tuân thủ,” mà chỉ chứa các tiêu chuẩn bảo mật cơ bản, vị quan chức cho biết.
Hy vọng của người dân Indonesia giờ đây dường như phụ thuộc nhiều vào dự luật bảo vệ dữ liệu cá nhân và cơ quan mới sẽ được thành lập sau đó. Tổng thống sẽ có quyền quyết định ai sẽ là người thành lập cơ quan mới này. Wahyudi Djafar, giám đốc điều hành của Viện Nghiên cứu và Tư vấn Chính sách (ELSAM), cho rằng ông ủng hộ quy định trong dự luật về việc thành lập một cơ quan bảo vệ dữ liệu. Tuy nhiên, Djafar cảnh báo rằng, “Nếu quyền hạn không được tạo ra như một cơ quan độc lập, sẽ rất khó để đảm bảo hiệu quả của dự luật.” “Thách thức là quyền lực của cơ quan này sẽ mạnh mẽ đến mức nào, mà điều này hoàn toàn phụ thuộc vào thiện chí của tổng thống,” Djafar nói thêm.
Nguồn tham khảo: https://restofworld.org/2022/indonesia-hacked-sim-bjorka/
Người dân Indonesia bàng hoàng khi biết thông tin về vụ rò rỉ dữ liệu này, mà sự bối rối đã nhanh chóng chuyển thành sự tức giận. Bộ Thông tin và Truyền thông Indonesia (Kominfo) đã phản ứng bằng cách khuyên công dân họ nên thường xuyên thay đổi mật khẩu; những tài khoản meme phổ biến đã chia sẻ lời khuyên này với những câu đùa đầy châm biếm. Một quan chức đã cầu khẩn Bjorka trong một buổi họp báo: “Nếu có thể, xin đừng tấn công.” Bjorka đã chế giễu lại trên tài khoản của mình: “Ngừng tỏ ra ngu ngốc đi.”
Dữ liệu của người Indonesia bị lộ ra với tốc độ mà công dân ở đây đùa rằng đất nước của họ giống như một “quốc gia mã nguồn mở.” Nhóm quyền kỹ thuật số Safenet đã gọi vụ việc của Bjorka là vụ rò rỉ dữ liệu lớn nhất từ trước tới nay tại châu Á, và có lẽ sự chấn động sẽ lớn hơn nếu nó không phải là chuyện thường xảy ra. Dữ liệu của người dân ở Indonesia bị lộ ra với tỷ lệ nhanh chóng và đều đặn tới mức người dân nơi đây lại coi đó như một điều bình thường.
Vào năm 2020, những vụ rò rỉ từ các công ty, bao gồm cả các ông lớn thương mại điện tử như Tokopedia và Bukalapak, đã lộ ra thông tin cá nhân của hơn 100 triệu người dùng. Năm sau, một hacker đã xâm nhập vào cơ sở dữ liệu của BPJS Kesehatan, cơ quan y tế và an sinh xã hội của đất nước, làm lộ số định danh cá nhân và nhiều thông tin khác của 279 triệu người dân, trong đó có cả những người đã khuất.
Sau nhiều năm liên tiếp xảy ra những vụ rò rỉ táo bạo, sự bức xúc của người dân Indonesia đã đạt đến đỉnh điểm - đủ để thúc đẩy việc thông qua một dự luật bảo vệ dữ liệu cá nhân đã bị trì hoãn từ lâu vào tháng 9, cùng với việc thành lập một nhóm đặc nhiệm để truy tìm hacker Bjorka. Đáng chú ý, nhiều người Indonesia thậm chí còn đứng về phía hacker này, người tuyên bố đã thực hiện vụ rò rỉ để phơi bày sự quản lý dữ liệu kém. Cùng với vụ rò rỉ dữ liệu khổng lồ, Bjorka còn được cho là đã doxx (lộ thông tin cá nhân) Bộ trưởng Kominfo Johnny G. Plate vào đúng ngày sinh nhật của ông. “Chúc mừng sinh nhật,” họ đã đăng trên kênh Telegram của mình, Bjorkanism, kèm theo những chi tiết nhạy cảm như địa chỉ nhà, số điện thoại và ID tiêm chủng của ông.
Một chuyên gia an ninh mạng, Teguh Aprianto, đã chỉ ra trên Twitter rằng: “Năm 2018, [Kominfo] đã buộc chúng tôi phải đăng ký số điện thoại bằng [CMND], hứa hẹn rằng chúng tôi sẽ không còn nhận spam.” Tuy nhiên, không chỉ việc này không giúp tránh được spam, mà dữ liệu đăng ký… lại bị lộ và bán ra. Tweet này nhanh chóng được chia sẻ hơn 17.000 lần và nhận được khoảng 27.000 lượt thích - chỉ là một trong số rất nhiều bài viết và hashtag tức giận hướng về Kominfo đã xuất hiện trên mạng xã hội.
Kominfo và Cơ quan An ninh mạng và Crypto Quốc gia (BSSN) đã không phản hồi yêu cầu bình luận. Maryam Jameelah, một giảng viên tại Malang, Đông Java, đã thừa nhận cảm thấy bị sốc khi đọc về những vụ rò rỉ dữ liệu gần đây trên báo chí. Hai năm trước, Jameelah từng là một trong những nạn nhân của vụ rò rỉ dữ liệu Tokopedia và trong nhiều tháng, cô đã phải nhận hóa đơn từ những giao dịch mà mình không thực hiện.
“Thực sự rất khó chịu,” Jameelah chia sẻ. “Tôi đã phải thay đổi số điện thoại và tất cả các tài khoản của mình.” Mulyadi, một kiểm toán viên CNTT tại một công ty Big Four, cũng cho biết mình cảm thấy chính phủ phải chịu trách nhiệm và muốn có hành động mạnh mẽ hơn. “Hãy thuê một chuyên gia để điều tra dữ liệu nào đã bị rò rỉ, nguyên nhân gốc rễ là gì và bước tiếp theo là gì,” Mulyadi nói, người cũng bày tỏ sự bức xúc trước lượng spam gửi đến số điện thoại cá nhân của mình. “Điều quan trọng với chúng tôi là biết rằng có một hành động cụ thể.”
Mặc dù dự luật bảo vệ dữ liệu cá nhân đã được thông qua, với các biện pháp hình sự đối với những người xử lý dữ liệu và các tập đoàn khi xảy ra rò rỉ, các chuyên gia cho rằng những biện pháp mới này chỉ mang tính tạm thời, nhằm làm dịu cơn giận của người dân Indonesia. “Điều này phụ thuộc vào ai là thành viên của nhóm [đặc nhiệm]. Họ có đủ năng lực không?” Ismail Fahmi, nhà sáng lập của Drone Emprit, cho biết. “Đây chỉ là một biện pháp ngắn hạn.”
Vấn đề then chốt nằm ở chỗ cách tiếp cận bảo mật dữ liệu ở Indonesia vẫn còn rời rạc. Các công ty phải chia sẻ dữ liệu khách hàng với Bộ Nội vụ để xác minh danh tính, một quan chức chính phủ cho biết trong khi yêu cầu giấu tên vì không được phép phát ngôn với truyền thông. Nhiều cơ quan nhà nước có thẩm quyền bảo vệ những phần dữ liệu cá nhân của công dân, bao gồm Kominfo, BSSN, Bộ Nội vụ và Cảnh sát Quốc gia. Do đó, khi một vụ rò rỉ xảy ra, không phải lúc nào cũng rõ ràng nơi nào đã phát sinh sự cố: từ một trong các cơ quan chính phủ hay từ chính các công ty.
Những cơ quan nhà nước này cũng được yêu cầu phối hợp làm việc với nhau. Tuy nhiên, sự phối hợp gần như không có, trong khi tình trạng rò rỉ dữ liệu thì diễn ra tràn lan. Kominfo, chẳng hạn, chịu trách nhiệm về các quy định liên quan đến truyền thông và internet; BSSN có nhiệm vụ nâng cao hệ thống phòng chống hack; và đơn vị phòng chống tội phạm mạng của cảnh sát có nhiệm vụ thực thi các quy định về tội phạm mạng, bao gồm hack, phá hoại website, phát ngôn thù hận, lừa đảo và đánh cắp dữ liệu. Trong khi đó, Bộ Nội vụ, với tư cách là cơ quan lưu giữ hồ sơ dân sự cho tất cả người dân Indonesia, cũng được kỳ vọng có một hệ thống bảo mật kiên cố.
Quan chức chính phủ đã giải thích với Rest of World rằng khi xảy ra các vụ rò rỉ dữ liệu, Kominfo, BSSN và các nền tảng đều tiến hành điều tra, nhưng không có hệ thống nào để họ có thể phối hợp đầy đủ các kết quả. “Thật không may, [các cơ quan nhà nước] hầu như không bao giờ chia sẻ kết quả điều tra với Kominfo, vì vậy bộ này thường buộc phải đưa ra khuyến nghị chỉ dựa trên thông tin tuân thủ,” mà chỉ chứa các tiêu chuẩn bảo mật cơ bản, vị quan chức cho biết.
Hy vọng của người dân Indonesia giờ đây dường như phụ thuộc nhiều vào dự luật bảo vệ dữ liệu cá nhân và cơ quan mới sẽ được thành lập sau đó. Tổng thống sẽ có quyền quyết định ai sẽ là người thành lập cơ quan mới này. Wahyudi Djafar, giám đốc điều hành của Viện Nghiên cứu và Tư vấn Chính sách (ELSAM), cho rằng ông ủng hộ quy định trong dự luật về việc thành lập một cơ quan bảo vệ dữ liệu. Tuy nhiên, Djafar cảnh báo rằng, “Nếu quyền hạn không được tạo ra như một cơ quan độc lập, sẽ rất khó để đảm bảo hiệu quả của dự luật.” “Thách thức là quyền lực của cơ quan này sẽ mạnh mẽ đến mức nào, mà điều này hoàn toàn phụ thuộc vào thiện chí của tổng thống,” Djafar nói thêm.
Nguồn tham khảo: https://restofworld.org/2022/indonesia-hacked-sim-bjorka/
