223 Triệu Người Brazil Bị Ảnh Hưởng Bởi Vụ Vi Phạm Dữ Liệu Serasa Experian

Vụ Vi Phạm Bị Cáo Buộc Có Thể Ảnh Hưởng Đến Toàn Bộ Người Dân Brazil

Một kẻ đe dọa đã nhận trách nhiệm về việc đánh cắp 1,8 terabyte dữ liệu từ Serasa Experian, công ty con tại Brazil của tập đoàn đánh giá rủi ro tín dụng toàn cầu Experian. Bộ dữ liệu bị cáo buộc bao gồm 223 triệu cá nhân, một con số thực tế đại diện cho toàn bộ dân số Brazil, kể cả những người đã qua đời nhưng hồ sơ của họ vẫn còn được lưu giữ trong các cơ sở dữ liệu tài chính.

Theo cáo buộc, thông tin bị đánh cắp bao gồm họ tên đầy đủ, ngày tháng năm sinh, địa chỉ email và số CPF. CPF, hay Cadastro de Pessoas Físicas, là mã số thuế quốc gia của Brazil và có chức năng tương tự như số An sinh Xã hội ở Hoa Kỳ. Nó được sử dụng để truy cập dịch vụ ngân hàng, khai thuế, xác minh danh tính và thực hiện vô số giao dịch hàng ngày. Nếu vụ vi phạm được xác nhận ở quy mô như đã tuyên bố, đây sẽ là một trong những vụ lộ lọt dữ liệu lớn nhất từ trước đến nay đối với một quốc gia đơn lẻ.

Serasa Experian là một trong những tổ chức tín dụng nổi bật nhất Brazil, nắm giữ hồ sơ tài chính và cá nhân của hầu như mọi người trưởng thành trong cả nước. Công ty chưa công khai xác nhận vụ vi phạm tại thời điểm đưa tin.

Dữ Liệu Nào Bị Cáo Buộc Là Đã Bị Lấy Đi Và Tại Sao Điều Đó Quan Trọng

Sự kết hợp của các loại dữ liệu trong vụ vi phạm bị cáo buộc này đặc biệt đáng lo ngại. Số CPF, không giống như mật khẩu, không thể được đặt lại. Một khi bị lộ, số định danh quốc gia trở thành một rủi ro vĩnh viễn. Kết hợp với họ tên đầy đủ, ngày sinh và địa chỉ email, nó cung cấp cho kẻ xấu một hồ sơ gần như hoàn chỉnh để thực hiện gian lận danh tính, mở tài khoản tín dụng giả mạo, khai thuế sai hoặc vượt qua các hệ thống xác minh danh tính.

Brazil đã từng trải qua các sự cố dữ liệu nghiêm trọng trước đây. Năm 2021, một vụ vi phạm riêng biệt đã làm lộ số CPF và dữ liệu cá nhân của hàng trăm triệu người Brazil, gây ra mối lo ngại rộng rãi về các biện pháp bảo mật của các công ty được giao phó với các hồ sơ quốc gia nhạy cảm. Một vụ lộ lọt quy mô lớn thứ hai đối với cùng loại dữ liệu nhận dạng nền tảng này làm gia tăng đáng kể rủi ro đó. Những người đã thực hiện các biện pháp bảo vệ bản thân sau các sự cố trước đó có thể thấy những nỗ lực đó bị phá vỡ nếu bộ dữ liệu mới này được lưu hành rộng rãi.

Dữ liệu thuộc loại này thường được bán trên các diễn đàn ngầm, được sử dụng trực tiếp để thực hiện gian lận, hoặc kết hợp với các bộ dữ liệu bị rò rỉ khác để xây dựng hồ sơ ngày càng chi tiết về các cá nhân. Khối lượng hồ sơ khổng lồ được tuyên bố ở đây, 1,8 TB, cho thấy đây không phải là một vụ trộm nhỏ lẻ hay có mục tiêu cụ thể.

Các Vụ Vi Phạm Như Thế Này Tạo Điều Kiện Cho Các Mối Đe Dọa Quyền Riêng Tư Rộng Lớn Hơn Như Thế Nào

Một quan niệm sai lầm phổ biến là vi phạm dữ liệu chỉ gây hại cho những người bị nhắm mục tiêu trực tiếp để gian lận. Trên thực tế, các vụ rò rỉ quy mô lớn như thế này tạo ra những tác động lan rộng vào cuộc sống kỹ thuật số hàng ngày.

Khi các thông tin định danh cá nhân như số CPF và địa chỉ email được công khai, các nhà quảng cáo, nhà môi giới dữ liệu và kẻ xấu có thể liên kết thông tin đó với các hành vi trực tuyến khác. Thói quen duyệt web, cách sử dụng ứng dụng, dữ liệu vị trí và lịch sử mua hàng của bạn có thể được gắn kết với danh tính thực của bạn dễ dàng hơn nhiều khi một thông tin định danh nền tảng đã bị lộ. Điều này đôi khi được gọi là tái nhận dạng, và nó làm xói mòn tính ẩn danh thực tế mà nhiều người cho rằng mình có được khi trực tuyến.

Ngoài gian lận có mục tiêu, dữ liệu bị lộ còn thúc đẩy các chiến dịch lừa đảo qua mạng. Khi có trong tay tên, email và số CPF của nạn nhân, kẻ lừa đảo có thể soạn thảo những tin nhắn thuyết phục có vẻ đến từ ngân hàng, cơ quan chính phủ hoặc nhà cung cấp dịch vụ tiện ích. Những cuộc tấn công này khó phát hiện hơn chính xác vì chúng sử dụng thông tin thực và chính xác.

Điều Này Có Ý Nghĩa Gì Đối Với Bạn

Nếu bạn ở Brazil hoặc có liên quan đến các hệ thống tài chính hay chính phủ Brazil, bạn nên giả định rằng số CPF và dữ liệu cá nhân liên quan của mình có thể đã đang lưu hành, bất kể vụ vi phạm cụ thể này. Đó không phải là lý do để hoảng loạn, nhưng là lý do để xem xét kỹ lưỡng các thói quen kỹ thuật số của bạn.

Dưới đây là các bước cụ thể đáng thực hiện:

• Theo dõi hoạt động CPF của bạn. Receita Federal của Brazil và một số nền tảng tài chính cho phép bạn kiểm tra việc sử dụng trái phép số CPF của mình. Hãy biến điều này thành thói quen thường xuyên.
• Bật cảnh báo trên các tài khoản tài chính. Thiết lập thông báo giao dịch theo thời gian thực trên mọi tài khoản được liên kết với CPF hoặc danh tính ngân hàng của bạn.
• Hãy hoài nghi về các liên lạc đến. Hãy đối xử với bất kỳ email, tin nhắn SMS hoặc cuộc gọi điện thoại nào yêu cầu bạn xác minh thông tin cá nhân với sự nghi ngờ đáng kể, ngay cả khi người gửi có vẻ biết thông tin của bạn.
• Sử dụng mật khẩu mạnh, độc đáo và xác thực hai yếu tố. Các địa chỉ email bị lộ thường xuyên được sử dụng trong các cuộc tấn công nhồi thông tin xác thực nhắm vào các dịch vụ khác.
• Hãy xem xét mức độ hoạt động duyệt web và kỹ thuật số của bạn được gắn kết với danh tính thực của bạn như thế nào. Các công cụ giới hạn theo dõi và giảm lượng dữ liệu có sẵn cho bên thứ ba trở nên có giá trị hơn, không phải ít hơn, khi các thông tin định danh cốt lõi của bạn đã bị lộ.

Cáo buộc vi phạm dữ liệu Serasa Experian là lời nhắc nhở rằng rủi ro từ một vụ lộ lọt dữ liệu đơn lẻ hiếm khi chỉ giới hạn trong một thời điểm hay một loại gian lận. Dữ liệu nhận dạng nền tảng, một khi đã thoát ra, sẽ lưu hành trong nhiều năm. Các thói quen bảo vệ quyền riêng tư nhiều lớp, kết hợp giám sát tài khoản, sự hoài nghi về các liên lạc đến và giảm dấu chân kỹ thuật số của bạn, cung cấp sự phòng thủ thực tế nhất có thể khi bản thân dữ liệu không thể lấy lại được.