Dữ liệu KYC của 70.000 người dùng Mỹ bị rò rỉ
Trong hồ sơ vừa nộp lên cơ quan quản lý, Coinbase thừa nhận thiệt hại từ rò rỉ dữ liệu KYC (xác thực danh tính người dùng) có thể lên đến 400 triệu USD. Trước đó vào ngày 11/5, công ty nhận được email tống tiền, yêu cầu khoản chuộc 20 triệu USD. Lãnh đạo Coinbase từ chối thương lượng, họ cho rằng đây chỉ là một cuộc tấn công mạng “quy mô nhỏ”.
Tuy nhiên, đơn khiếu nại được gửi đến văn phòng của Tổng Chưởng lý bang Maine cho thấy hiện có gần 70.000 người dùng bị lộ thông tin KYC trong vụ bê bối của Coinbase. Đáng chú ý, vụ việc đã diễn ra từ cuối năm 2024 nhưng phải đến gần nửa năm sau Coinbase mới phát hiện. Nhiều thông tin quan trọng của người dùng như ảnh ID do chính phủ cấp, thông tin liên lạc và địa chỉ nhà đã bị tin tặc thu thập. Từ đây chúng bắt đầu các chiến dịch lừa đảo quy mô lớn nhắm vào người dùng.
Nguồn tin của Reuters cho biết sự cố bắt nguồn từ một đối tác gia công phần mềm cho Coinbase tại Ấn Độ. Một nhân viên công ty đã nhận tiền từ tin tặc, lén dùng điện thoại chụp ảnh thông tin khách hàng của Coinbase rồi tuồn ra ngoài. Ngay sau khi sự việc bị phát giác, 200 nhân viên của công ty này đã bị đuổi việc. Coinbase tuyên bố sẽ hoàn tiền cho những khách hàng bị ảnh hưởng. Tuy nhiên tác động của vụ bê bối phức tạp hơn rất nhiều, Coinbase đang phải đối mặt nhiều vụ kiện pháp lý. Những cuộc tranh cãi lớn trong ngành đang nổ ra về cách các công ty thu thập, xử lý và bảo vệ dữ liệu người dùng.
Bài học cho Việt Nam khi thí điểm sàn tài sản mã hóa
Vụ bê bối của Coinbase thu hút sự chú ý lớn của cả ngành tiền số lẫn thị trường tài chính truyền thống toàn cầu. Đây là sàn giao dịch tiền mã hóa top đầu tại Mỹ, được chính phủ cấp phép và đã niêm yết trên Nasdaq. Nhiều quốc gia đang lên kế hoạch cấp phép thí điểm cho sàn giao dịch tài sản số, do đó vụ hack của Coinbase sẽ là bài học quan trọng trong việc xây dựng, vận hành một tài sản số.
Khoa Hồ, đồng sáng lập sàn giao dịch BSX, một trong 30 kỹ sư đời đầu của Coinbase, đánh giá vụ lộ 70.000 dữ liệu KYC này phức tạp hơn nhiều những vụ hack truyền thống. Tin tặc không chiếm quyền vào hệ thống thông qua lỗ hổng kỹ thuật mà mua chuộc thông tin của nhân viên.
Sự việc gây ảnh hưởng nặng vì bản chất phức tạp, khó sử dụng của tiền mã hóa. Hacker đã sử dụng thông tin thu thập được giả mạo Coinbase để lừa người dùng (social engineering), chiếm đoạt hàng trăm triệu USD. Nó cũng thể hiện thiếu sót của Coinbase trong quy trình làm việc và quyền truy cập dữ liệu của khách hàng. Có thể thấy dù có hệ thống kỹ thuật bảo mật hàng đầu, mắt xích con người trong hệ thống vẫn có thể gây thất thoát lớn cho các sàn giao dịch crypto hiện nay.
Điều này cho thấy bảo mật vẫn là thách thức phức tạp nhất mà các sàn giao dịch tiền mã hóa phải đối mặt. Không giống các thị trường truyền thống như chứng khoán, giao dịch tiền mã hóa diễn ra 24/7 và phi biên giới. Do đó để xây dựng và vận hành một sàn tài sản số cần cần đội ngũ chuyên nghiệp, giàu kinh nghiệm thực tế để giảm thiểu tối đa rủi ro.
Theo Khoa Hồ, sự cố của Coinbase là bài học lớn trong bối cảnh Việt Nam sắp thí điểm sàn giao dịch tài sản mã hóa. Việc KYC là cần thiết để đảm bảo sự minh bạch và quản lý chặt chẽ khi vận hành sàn giao dịch, tuy nhiên trước khi thu thập dữ liệu người dùng, các nền tảng cần xây dựng quy trình đảm bảo an toàn cho người dùng. Ngoài ra cũng cần có hệ thống giám sát và phát hiện các truy cập trái phép một cách nhanh chóng và tự động. Với việc Việt Nam, chúng ta có thể xây dựng những quy chuẩn từ ban đầu, như cách đã làm với thanh toán (chuẩn NAPAS được các ngân hàng tuân theo).
“Một điểm cộng lớn của Việt Nam là chúng ta đã tích hợp chip NFC vào Căn cước công dân (CCCD). Trong tương lai, các sàn giao dịch tài sản số có thể không cần lưu trữ quá nhiều thông tin KYC, chỉ cần người dùng quét NFC trên CCCD để thực hiện đối chiếu thông tin khi cần thiết. Lưu trữ càng ít dữ liệu khách hàng, rủi ro càng thấp”, Khoa Hồ chia sẻ.
Theo Khoa Hồ, sau sự cố của Coinbase, nhiều ý kiến cho rằng việc KYC trên sàn giao dịch tiền mã hóa không cần thiết. Tuy nhiên từ kinh nghiệm vận hành thực tế, nhà sáng lập BSX cho rằng KYC là “người gác cửa” quan trọng để đảm bảo việc giao dịch tài sản số an toàn, không được sử dụng cho việc rửa tiền hoặc các giao dịch trái phép.
Blockchain đang giúp quy trình KYC trở nên an toàn hơn, như công nghệ ZKP (zero knowledge proof), cho phép người dùng chứng minh danh tính mà không cần chia sẻ trực tiếp thông tin cá nhân. ZKP cho phép sàn giao dịch biết đây là người dùng hợp lệ và không phải lưu trữ thông tin khách hàng. Cơ quan chức năng cũng thể dựa vào đoạn mã nhỏ đã được mã hóa trên blockchain để truy ngược lại thông tin của người dùng khi cần thiết.
Tuy nhiên, ZKP vẫn chưa được ứng dụng rộng rãi vì chi phí vận hành cao, chậm và tính chất “công khai” và “vĩnh viễn” của các blockchain hiện hành. “Blockchain vẫn còn quá mới, nếu xảy ra lỗi, thông tin khách hàng sẽ bị phơi bày vĩnh viễn trên chuỗi khối. Vì vậy việc lưu trữ KYC truyền thống vẫn là giải pháp tốt ở thời điểm hiện tại. Việc chúng ta cần là một giải pháp lưu trữ và truy cập an toàn hơn cho người dùng”, Khoa Hồ nhận định.
Khoa Hồ, sinh năm 1995, là cựu sinh viên trường Phổ thông Năng khiếu (Đại học Quốc gia TP.HCM), sau đó du học ngành Khoa học Máy tính tại Học viện Công nghệ Georgia (top 5 trường kỹ sư tại Mỹ). Sau khi tốt nghiệp, 9x từ chối lời mời làm việc tại các công ty công nghệ lớn như Google, Meta, Amazon để gia nhập Coinbase vào năm 2017. Khoa Hồ là kỹ sư đời đầu của startup, trải qua nhiều vị trí từ kỹ sư đến trưởng nhóm kỹ thuật (Technical Lead). Ở Coinbase, Khoa đã xây dựng và phát triển nhiều hệ thống và dự án nền tảng như bảo mật, thanh toán và quản lý rủi ro tài chính, hạ tầng dữ liệu và nền tảng NFT.
Tháng 7/2023, Khoa Hồ rời Coinbase để xây dựng startup BSX với 100% nhân sự là người Việt Nam. Sau hai năm, BSX huy động được hơn 6 triệu USD từ các quỹ đầu tư lớn như Coinbase, Blockchain Capital. Ngoài ra Khoa Hồ cũng là gương mặt quen thuộc trong cộng đồng blockchain Việt Nam với vai trò cố vấn của Antler, một trong những quỹ đầu tư khởi nghiệp hoạt động mạnh mẽ nhất tại Việt Nam.
