Bỏ qua điều hướng - vào nội dung chính
VietLex

Bản đồ rò rỉ dữ liệu

Trực quan hoá các vụ rò rỉ dữ liệu lớn tại Việt Nam và quốc tế.

Bản đồ rò rỉ thông tin cá nhân — 9 cơ chế thực tế

Thông tin cá nhân bị lộ ra công khai qua nhiều cơ chế rất khác nhau. Biết được con đường nào → biết phải bảo vệ ở đâu, tra cứu ở đâu. Bài viết của VietLex phân tích 9 cơ chế thực tế tại Việt Nam và quốc tế, kèm cách tra cứu và biện pháp tự bảo vệ.

  1. 1

    Người dùng tự đăng công khai

    Tra được

    Ví dụ thực tế

    • Đăng số điện thoại lên Chợ Tốt, Rồng Bay, Mua Bán, Batdongsan
    • Comment Facebook/diễn đàn với email
    • CV trên TopCV, VietnamWorks, ITviec để chế độ public
    • GitHub commit kèm email lập trình viên
    • Bio Instagram, X (Twitter), TikTok có số điện thoại hoặc email

    Cách tra cứu

    Google/DuckDuckGo dork — VietLex có sẵn Hub Google dork tự sinh 25+ câu truy vấn theo từng loại định danh.

    Cách tự bảo vệ

    • Không đăng số điện thoại/email gốc trên rao vặt — dùng số phụ.
    • Cài đặt quyền riêng tư trên Facebook/Instagram (Bio chỉ "Friends").
    • CV trên TopCV để chế độ "Chỉ nhà tuyển dụng đã apply mới xem".
    • Lập trình viên: dùng "no-reply" email khi commit GitHub.
  2. 2

    Doanh nghiệp / dịch vụ bị hack (data breach)

    Tra được phần

    Ví dụ thực tế

    • Quốc tế: Adobe 2013 (153M), LinkedIn 2012 (165M) và 2021 (700M), Yahoo 2013-2014 (3 tỷ), Equifax 2017 (147M), Facebook 2019/2021 (533M phone), Twitter 2022 (200M), Marriott, T-Mobile.
    • Việt Nam: Thế Giới Di Động 2018 (5M), Bkav 2021, Vntrip 2020, Vietnam Airlines 2016 (411K), MoMo 2022 (data nội bộ).

    Cách tra cứu

    HaveIBeenPwned (Troy Hunt) — chuẩn industry, 13 tỷ bản ghi từ 700+ vụ breach. Cần API key $3.95/tháng cho email check. Pwned Passwords k-anonymity FREE cho mật khẩu — VietLex đã tích hợp tại /cong-cu/kiem-tra-mat-khau.

    Cách tự bảo vệ

    • Dùng mật khẩu DUY NHẤT cho mỗi tài khoản (trình quản lý: Bitwarden, 1Password).
    • Bật 2FA bằng ứng dụng (Authy, Google Authenticator) cho mọi tài khoản quan trọng.
    • Khi 1 dịch vụ bị breach: đổi mật khẩu ngay + đổi cả các tài khoản dùng chung pass.
  3. 3

    Chợ đen dump dữ liệu (combo list, leaked DB)

    Tra được phần

    Ví dụ thực tế

    • COMB 2021 (Compilation of Many Breaches) — 3.2 tỷ email + password.
    • RaidForums (đã đóng), Breached.to, Exposed.vc — forum bán dump.
    • Telegram channel: "Database VN", "Data Việt Nam" — bán list KH ngân hàng, BĐS, bệnh viện.

    Cách tra cứu

    Intelligence X (intelx.io) free tier, DeHashed/Snusbase trả phí. Pastebin search free qua Google dork. VietLex không kết nối trực tiếp các nguồn này (rủi ro pháp lý) — chỉ hướng dẫn user qua link.

    Cách tự bảo vệ

    • Khi nhận được spam call/SMS lạ → mặc nhiên là đã lộ. Bỏ qua, không click link.
    • Theo dõi các vụ breach VN qua báo chính thống.
    • Không cài app lậu, không upload Căn cước công dân/Chứng minh nhân dân lên trang lạ.
  4. 4

    Trang chính phủ vô tình công khai

    Tra được

    Ví dụ thực tế

    • Đăng ký kinh doanh (dangkykinhdoanh.gov.vn) công khai Căn cước công dân chủ doanh nghiệp.
    • Cổng công bố bản án (congbobanan.toaan.gov.vn) có tên + Căn cước công dân đương sự (chưa ẩn danh đúng quy định).
    • Danh sách công chứng viên, luật sư, doanh nghiệp được khen thưởng — đăng tên đầy đủ trên cổng.
    • Quyết định bổ nhiệm cán bộ trên các cổng tỉnh.

    Cách tra cứu

    Google dork: `site:*.gov.vn "Họ tên"`, `site:congbobanan.toaan.gov.vn "0123456789"`. VietLex Hub Google dork có preset cho nhóm này.

    Cách tự bảo vệ

    • Cá nhân khó tự bảo vệ — đây là lỗi quy trình của cơ quan nhà nước.
    • Nếu phát hiện thông tin cá nhân bị công khai sai quy định (vd: bản án không ẩn danh theo NQ 03/2017/NQ-HĐTP) → khiếu nại với cơ quan đó để gỡ.
    • Liên hệ Cục An toàn thông tin (Bộ TTTT) nếu cơ quan từ chối gỡ.
  5. 5

    Bên thứ ba chia sẻ / bán dữ liệu

    Không tra được

    Ví dụ thực tế

    • Ngân hàng share danh sách KH cho công ty bảo hiểm liên kết.
    • Bệnh viện share cho hãng dược, công ty bảo hiểm sức khỏe.
    • Trường học share cho NXB sách giáo khoa.
    • Sàn TMĐT share cho seller (data leak qua nhân viên marketing).

    Cách tra cứu

    Không có cách nào tự dò — chỉ phát hiện khi nhận spam liên quan tới dịch vụ đã dùng.

    Cách tự bảo vệ

    • Đọc kỹ điều khoản trước khi đồng ý dùng dịch vụ — đặc biệt mục "chia sẻ dữ liệu cho bên thứ ba".
    • Theo Nghị định 13/2023/NĐ-CP, bên xử lý dữ liệu phải có đồng ý cụ thể của chủ thể.
    • Khi bị spam: ghi rõ tên dịch vụ đã dùng → khiếu nại lên Cục An toàn thông tin.
  6. 6

    Nhân viên nội bộ bán dữ liệu (insider threat)

    Không tra được

    Ví dụ thực tế

    • Cán bộ viễn thông copy danh sách thuê bao bán cho công ty marketing/lừa đảo.
    • Nhân viên ngân hàng bán list khách hàng VIP cho môi giới BĐS.
    • Vụ Bkav 2021: nhân viên cũ lộ source code + dữ liệu nội bộ.

    Cách tra cứu

    Chỉ phát hiện qua điều tra hình sự khi đã có hậu quả lớn.

    Cách tự bảo vệ

    • Tối thiểu hóa thông tin cung cấp cho dịch vụ — chỉ cho khi bắt buộc.
    • Dùng email/số điện thoại phụ cho các đăng ký không thiết yếu.
    • Theo dõi sao kê tài khoản — phát hiện giao dịch bất thường ngay.
  7. 7

    App điện thoại tracker ngầm

    Tra được phần

    Ví dụ thực tế

    • App đọc toàn bộ danh bạ → upload server riêng (đa số app TQ).
    • Truecaller crowdsource danh bạ — user A cài Truecaller → số điện thoại của user B trong danh bạ A được upload.
    • Zalo OA gửi tracker khi user click link Zalo Mini App.
    • IoT (camera giá rẻ, smart watch) gửi data về server nước ngoài.

    Cách tra cứu

    Phân tích quyền app trong Settings điện thoại + phân tích traffic mạng (Wireshark, mitmproxy) — kỹ thuật, không dành cho người phổ thông.

    Cách tự bảo vệ

    • Cài app từ store chính thức (Play Store, App Store) — không cài APK ngoài.
    • Xem kỹ quyền app yêu cầu — app đèn pin không cần đọc danh bạ.
    • Tắt quyền đọc danh bạ cho các app không thực sự cần (chỉ giữ cho Zalo/Messenger).
    • Reset quyền định kỳ — Android 14 trở lên tự revoke quyền các app không dùng 3 tháng.
  8. 8

    Phishing / lừa đảo trực tiếp

    Tra được

    Ví dụ thực tế

    • Email giả mạo ngân hàng / Bộ Công an / Cục Thuế yêu cầu nhập mật khẩu.
    • Tin nhắn brandname giả (vd "VietinBank") dẫn link giả vietinbank-online.com.
    • App giả mạo "VNeID", "Bộ Y tế" yêu cầu chụp Căn cước công dân + ảnh chân dung.
    • Cuộc gọi giả công an / viện kiểm sát ép chuyển tiền giải quyết "vụ án".

    Cách tra cứu

    PhishTank, OpenPhish, Google Safe Browsing — 3 cơ sở dữ liệu phishing URL FREE. VietLex có công cụ tra phishing domain (đang phát triển).

    Cách tự bảo vệ

    • KHÔNG bao giờ click link trong email/SMS lạ — vào website ngân hàng/cơ quan nhà nước bằng tay (gõ địa chỉ).
    • Số điện thoại công an khẩn cấp toàn quốc CHỈ CÓ 113 (an ninh), 114 (cứu hỏa), 115 (cấp cứu). Không có số 069.xxx, 091.xxx, 1900.xxx, 1800.xxx nào là "đường dây nóng công an" như tin lừa đảo.
    • Cơ quan nhà nước KHÔNG bao giờ yêu cầu chuyển tiền qua điện thoại.
    • Nghi ngờ → cúp máy, gọi lại số tổng đài chính thức của ngân hàng/cơ quan.
  9. 9

    Tấn công có nhà nước hậu thuẫn (state-sponsored, APT)

    Không tra được

    Ví dụ thực tế

    • Pegasus (NSO Group) — phần mềm gián điệp cài qua tin nhắn 0-click trên iPhone.
    • APT41 (TQ) — tấn công có chủ đích vào quan chức cấp cao và doanh nghiệp.
    • Gián điệp công nghiệp — đánh cắp công thức, source code chiến lược.

    Cách tra cứu

    Không có cách tự phát hiện — chỉ cơ quan an ninh chuyên trách kiểm tra forensics.

    Cách tự bảo vệ

    • Người dân bình thường KHÔNG phải mục tiêu — không cần lo APT.
    • Quan chức, doanh nhân lớn, nhà báo điều tra: nên đổi điện thoại định kỳ, cài MVT (Mobile Verification Toolkit) để check Pegasus.
    • Dùng thiết bị riêng cho công việc nhạy cảm — không cài app không liên quan.

Tự kiểm tra ngay với VietLex (miễn phí)