Lỗ hổng dữ liệu sinh trắc học
Thông tin về việc dữ liệu cá nhân bị rò rỉ bắt đầu xuất hiện kể từ ngày 3-1 vừa qua. Theo tờ The Tribune, một phóng viên của tờ này đã phát hiện và liên hệ với một người tên là Anil Kumar qua mạng xã hội WhatsApp. Sau khi phóng viên này đồng ý chi trả 500 rupee (khoảng 8 USD), Anil Kumar chỉ mất 10 phút để tạo một tài khoản và mật khẩu cho phép phóng viên của The Tribune được tiếp cận dữ liệu cá nhân của khoảng 1,3 tỷ người Ấn Độ có thông tin lưu trong hệ thống sinh trắc học Aadhaar của chính phủ nước này. “Thậm chí nếu trả thêm 300 rupee, Anil Kumar có thể giúp bạn in thẻ Aadhaar sau khi nhập số của bất kỳ cá nhân nào”, phóng viên này cho biết.
Theo The Tribune, Aadhaar là hệ thống sinh trắc học do Chính phủ Ấn Độ thực hiện. Kể từ năm 2009, Chính phủ Ấn Độ bắt đầu triển khai thu thập các dữ liệu thông tin cá nhân như tên, địa chỉ, ngày tháng năm sinh, số điện thoại, 10 dấu vân tay,… và quét mống mắt của người dân để xây dựng hệ thống “Thẻ nhận diện cá nhân duy nhất” (UID), gọi tắt là “thẻ Aadhaar”. Người dùng sẽ được cấp một mã số nhận dạng 12 con số để truy cập cơ sở dữ liệu của Aadhaar nhằm tra cứu các khoản tiền an sinh xã hội, hay các dịch vụ công khác của chính phủ…
Trên lý thuyết, việc đăng ký cung cấp dữ liệu cho Aadhaar là hoàn toàn tự nguyện, tuy nhiên đến nay, khoảng 95% số dân Ấn Độ đã tiến hành thủ tục này. Kể từ tháng 5-2014, chính quyền Ấn Độ đã ban hành các quy định để tăng cường phổ biến, ưu tiên số liệu Aadhaar. Theo Business Today, các công ty điện thoại, ngân hàng, bảo hiểm và các tập đoàn đều dần chuyển sang dùng Aadhaar để xác định thông tin cá nhân.
Thời gian gần đây, Aadhaar gần như trở thành một công cụ bắt buộc khi tiến hành các thủ tục tại Ấn Độ. Theo đó, hầu hết các nhà cung cấp dịch vụ đều yêu cầu người dùng phải liên kết thông tin Aadhaar của bản thân mới cho phép sử dụng dịch vụ. Không chỉ vậy, các tài khoản ngân hàng với hơn 50.000 rupee (gần 80 USD) buộc phải liên kết với số Aadhaar, người đóng thuế phải khai số Aadhaar với tài khoản cố định của họ, người dân phải kết nối số Aadhaar với số điện thoại và tài khoản ngân hàng của mình...
Do Aadhaar chứa đựng hầu hết thông tin cá nhân quan trọng của mỗi người dân, bài báo của The Tribune lập tức khiến người dân Ấn Độ hoang mang. Thông tin ngày càng được khẳng định khi tiếp đó ngày 4-1, trên trang tin tức Quint của Ấn Độ đăng tải một bài viết đề cập việc bất cứ ai cũng có thể tạo được tài khoản quản trị, cho phép họ tiếp cận cơ sở dữ liệu Aadhaar trong thời gian tương đương quyền truy cập của một quản trị viên. Các tờ Outlook India hay The Indian Express của Ấn Độ sau đó cũng khẳng định việc rò rỉ thông tin này.
Dù vậy, đảng Bharatiya Janata Party (BJP) cầm quyền của Thủ tướng Ấn Độ Narendra Modi lập tức lên tiếng bác bỏ, cho rằng đây là tin giả. Văn phòng quản lý Aadhaar cũng tuyên bố thông tin từ truyền thông là “sai sự thật”, đồng thời khẳng định “dữ liệu tại Aadhaar, bao gồm cả thông tin sinh trắc học vẫn hoàn toàn được bảo mật”. Văn phòng này cũng cáo buộc tờ The Tribune đã sử dụng sai cơ chế tìm kiếm cơ sở dữ liệu vốn chỉ dành cho các quan chức chính phủ, đồng thời đe dọa sẽ khởi kiện với những người truy cập trái phép cơ sở dữ liệu Aadhaar.
Thắt chặt an ninh mạng
Sau khi tin tức về bê bối rò rỉ dữ liệu cá nhân của số lượng lớn người dân Ấn Độ xuất hiện, dư luận thế giới đã lên tiếng chỉ trích Cơ quan Nhận dạng Ấn Độ (UIDAI), yêu cầu cơ quan này phải chịu trách nhiệm cho sự cố. Vụ bê bối này thậm chí còn khiến cho “người thổi còi” Edward Snowden, cựu nhân viên của Cơ quan An ninh Quốc gia Mỹ (NSA) lên tiếng. Trên tài khoản mạng xã hội Twitter, Snowden cho biết: “Các nhà báo phơi bày vụ rò rỉ Aadhaar xứng đáng nhận một giải thưởng, chứ không phải chịu một cuộc điều tra. Muốn bắt giữ những người chịu trách nhiệm cho vụ việc này, thì nên truy cứu UIDAI”.
Trước sức ép dư luận cả trong và ngoài nước, UIDAI đã bắt đầu tỏ ý nhượng bộ. Ngày 11-1 vừa qua, đại diện của cơ quan này đã đăng tải trên Twitter thông điệp ủng hộ tự do báo chí, đồng thời tuyên bố sẵn sàng phối hợp với The Tribune để điều tra về vụ rò rỉ thông tin chấn động này. Thậm chí, Tòa án Tối cao Ấn Độ cũng yêu cầu tiến hành phiên điều trần vào ngày 17-1 vừa qua về các kiến nghị thách thức tính hợp pháp của chương trình Aadhaar dựa trên mối quan ngại về quyền riêng tư, một quyền cơ bản được Hiến pháp nước này công nhận.
Những ngày sau đó, Chính phủ Ấn Độ cũng thông báo sẽ đưa ra hàng loạt các biện pháp an ninh mới nhằm ngăn chặn việc xâm nhập cơ sở dữ liệu Aadhaar. Đầu tiên, chính phủ nước này cho biết sẽ lập tức cung cấp cho người dân một mã tài khoản ảo để tiến hành xác thực hai bước khi truy cập vào hồ sơ dữ liệu cá nhân của Aadhaar. Tiếp đó, chính phủ cũng tăng cường các phương án bảo mật nhằm ngăn chặn các bên thứ ba xâm nhập và truy cập tài khoản cá nhân của Aadhaar.
Trước các biện pháp an ninh mới của Chính phủ Ấn Độ, giới chuyên gia công nghệ nhận định, các biện pháp này sẽ phần nào giải quyết được lỗ hổng về bảo mật và an ninh mạng. Amber Sinha, nhà quản lý lập trình kỳ cựu làm việc tại Trung tâm Internet và Xã hội, một viện nghiên cứu có trụ sở tại Thủ đô New Delhi, nhận định rằng biện pháp mà Chính phủ Ấn Độ đưa ra là rất kịp thời.
Cho đến nay, sau khi vụ rò rỉ thông tin được công bố, Ấn Độ chưa phát hiện hậu quả nghiêm trọng về an ninh hay tài chính của người sử dụng số liệu sinh trắc học Aadhaar. Dù vậy, giới chuyên gia nhận định, những nguy cơ khó lường sẽ xảy ra khi tin tặc (hacker) có được thông tin của công dân. Do đó, trong thời gian tới, Chính phủ Ấn Độ sẽ chú trọng vào công tác quản lý hồ sơ người dân, đặc biệt trong việc tăng cường các biện pháp an ninh mạng.
Biếm họa của ADHWARYU
