Nước Pháp và những “cánh cửa số” quên chưa khóa

Hàng chục triệu dữ liệu gắn với giấy tờ định danh - hộ chiếu, căn cước, thẻ cư trú - được rao bán công khai trên một diễn đàn tội phạm mạng hôm 16/4. Người rao bán ẩn danh sau tài khoản “breach3d” tuyên bố dữ liệu lấy từ ANTS, cơ quan chính phủ phụ trách cấp thẻ căn cước, hộ chiếu, thẻ cư trú, giấy phép lái xe và đăng ký xe tại Pháp. Ít ngày sau, Bộ Nội vụ Pháp xác nhận vụ việc và mở điều tra. Vụ việc không phải là một hiện tượng đơn lẻ, mà nối vào chuỗi sự cố an ninh mạng nhằm vào các cơ sở dữ liệu công của Pháp từ cuối năm 2025.

29/05/2026 11:00

Khi những lỗ hổng cơ bản nối thành khủng hoảng

Chuỗi sự cố thực chất bắt đầu từ 12/2025, khi máy chủ của Bộ Nội vụ Pháp bị tấn công. Nhà chức trách sau đó thừa nhận một số tài liệu nhạy cảm đã bị truy cập trái phép, trong đó có hồ sơ liên quan đến hình sự. Điều đáng nói là vụ việc bắt nguồn từ một lỗi bảo mật rất cơ bản: thông tin đăng nhập đã bị trao đổi qua email nội bộ. Đó là kiểu sơ suất lẽ ra phải được loại trừ ngay từ những lớp kiểm soát bảo mật đầu tiên. Vấn đề không dừng lại ở đó.

Sang tháng 1/2026, Văn phòng Nhập cư và Hội nhập Pháp (OFII) xác nhận dữ liệu của người nước ngoài sinh sống tại Pháp bị rò rỉ qua một nhà thầu phụ có quyền truy cập vào cơ sở dữ liệu, thay vì từ hệ thống lõi của OFII. Đây là điểm yếu quen thuộc trong chuỗi cung ứng số: cơ quan trung tâm có thể đầu tư mạnh vào bảo mật, nhưng một đơn vị bên ngoài được ủy quyền lại trở thành cửa hậu của cả hệ thống.

Trường hợp nghiêm trọng nhất trước vụ ANTS là FICOBA, hệ thống đăng ký tài khoản ngân hàng quốc gia Pháp. Đây là cơ sở dữ liệu do Tổng cục Tài chính công Pháp (DGFiP) thuộc Bộ Kinh tế, Tài chính, Chủ quyền công nghiệp và Số hóa (MEFS) quản lý, ghi nhận thông tin về các tài khoản ngân hàng, tài khoản tiết kiệm và hộp ký gửi an toàn được mở tại các tổ chức tài chính ở Pháp.

Từ cuối tháng 1/2026, một đối tượng đã dùng thông tin đăng nhập bị đánh cắp của một công chức để truy cập trái phép vào một phần FICOBA. Theo MEFS, khoảng 1,2 triệu tài khoản bị ảnh hưởng, với các dữ liệu như thông tin tài khoản ngân hàng, số tài khoản ngân hàng quốc tế (IBAN) - mã số dùng để nhận diện tài khoản trong các giao dịch ngân hàng - cùng danh tính và địa chỉ chủ tài khoản. Cơ quan chức năng sau đó hạn chế quyền truy cập, thông báo tới các cá nhân bị ảnh hưởng, tăng cường bảo mật hệ thống, báo cáo vụ việc với Ủy ban Quốc gia về thông tin và tự do (CNIL) và nộp đơn kiện hình sự.

Trong vụ ANTS, điểm đáng chú ý không chỉ là quy mô dữ liệu bị rao bán, mà còn là kiểu lỗ hổng được cho là đã mở đường cho cuộc xâm nhập. Theo các nguồn an ninh mạng, kẻ tấn công đã lợi dụng lỗi IDOR trong hệ thống - một kiểu lỗi truy cập khiến người dùng có thể xem dữ liệu không thuộc quyền của mình. Với một cổng dịch vụ quản lý giấy tờ định danh của nhà nước, một sai sót như vậy đặc biệt đáng lo. Lớp ngôn ngữ mà “breach3d” sử dụng cũng không kém phần đáng ngại.

Trong thông báo đăng trên diễn đàn tội phạm mạng, tài khoản này nói việc rao bán dữ liệu là nhằm “trừng phạt Chính phủ Pháp vì những thất bại trong bảo mật”. Đó không còn là ngôn ngữ thuần túy của tội phạm kinh tế. Ít nhất qua cách tự trình bày, nó được khoác lên dáng vẻ của một thông điệp chính trị. Và không giống nhiều vụ tống tiền dữ liệu thường công khai mẫu dữ liệu để gây sức ép, “breach3d” chọn cách rao bán trong các khu vực hạn chế truy cập của diễn đàn. Điều đó khiến cơ quan điều tra khó xác định dữ liệu đã lan đến đâu, còn người dân thì khó biết liệu mình có nằm trong số nạn nhân hay không.

Ứng dụng France Identité gắn thẻ căn cước quốc gia với điện thoại thông minh.

Nhìn lại toàn bộ chuỗi sự kiện từ cuối năm 2025 đến tháng 4/2026, có thể thấy một điểm chung rõ ràng: nhiều vụ việc không cho thấy dấu hiệu cần tới năng lực tấn công đặc biệt cao. Không cần một zero-day trị giá hàng triệu USD, tức lỗ hổng chưa được phát hiện hoặc chưa có bản vá; không cần rootkit, loại công cụ giúp tin tặc ẩn sâu trong hệ thống; cũng không cần một chiến dịch APT phức tạp, thường được hiểu là kiểu tấn công có tổ chức, kiên trì và kéo dài. Trong nhiều trường hợp, những gì kẻ tấn công cần chỉ là thông tin đăng nhập bị lộ, một nhà thầu phụ thiếu kiểm soát, hoặc một lỗ hổng chưa được vá trong hệ thống. Điều đáng ngại vì thế không chỉ nằm ở áp lực tấn công từ bên ngoài. Nó còn nằm ở những lỗ hổng âm thầm tích tụ bên trong hệ thống phòng thủ, vốn phải được kiểm tra thường xuyên hơn.

Nghịch lý “không mất gì” trong những vụ mất quá nhiều

Phản ứng chính thức của các cơ quan chức năng Pháp sau mỗi vụ việc thường có cùng một trình tự: xác nhận sự cố, nhấn mạnh những gì kẻ tấn công không làm được, thông báo điều tra và kêu gọi người dân cảnh giác. Với FICOBA, thông điệp được đưa ra là kẻ tấn công không thể xem số dư tài khoản hay thực hiện giao dịch. Với ANTS, cơ quan chức năng nhấn mạnh tài liệu được tải lên và mật khẩu tài khoản không bị ảnh hưởng. Những tuyên bố đó có thể chính xác về mặt kỹ thuật.

Nhưng những lời trấn an ấy không làm thay đổi một thực tế quan trọng hơn: trong thế giới số, dữ liệu định danh đôi khi còn nguy hiểm hơn tiền nằm trong tài khoản. Vấn đề nằm ở chỗ cảm giác “an toàn” ấy có thể khiến rủi ro thật sự bị xem nhẹ. Dữ liệu bị lộ có thể được dùng để tạo ra các chiêu lừa đảo khó nhận biết hơn, từ lừa đảo mạo danh ngân hàng, mạo danh cơ quan thuế đến các yêu cầu thanh toán hoặc xác nhận giao dịch giả mạo.

Về nguyên tắc, nạn nhân có quyền khiếu nại nếu bị thiệt hại. Nhưng trong thực tế, quá trình xử lý luôn đòi hỏi thời gian, giấy tờ và sự hiểu biết mà không phải ai cũng có. Sau vụ FICOBA, cơ quan chức năng Pháp cũng cảnh báo người dân đặc biệt cảnh giác với những hình thức liên lạc giả mạo nhằm khai thác dữ liệu đã bị lộ, từ cuộc gọi, email, tin nhắn cho đến tài khoản mạng xã hội. Đây là điểm thường bị đánh giá thấp trong các vụ rò rỉ dữ liệu. Một cơ sở dữ liệu bị đánh cắp không nhất thiết gây thiệt hại ngay lập tức. Nó có thể được tái sử dụng trong hàng nghìn cuộc lừa đảo nhỏ, rải rác, dai dẳng và khó truy vết trong nhiều tháng, thậm chí nhiều năm sau đó.

Nếu FICOBA đặt ra những rủi ro tài chính còn có thể hình dung được, thì ANTS đưa ra một câu hỏi khó hơn nhiều: làm thế nào để bồi thường cho một người khi thứ bị đánh cắp là danh tính của họ? Mật khẩu bị lộ có thể đổi. Số thẻ tín dụng bị lộ có thể hủy và cấp lại. Nhưng ngày sinh, nơi sinh, địa chỉ cư trú, số điện thoại và các thông tin định danh khác là những dữ liệu gắn với một con người trong thời gian rất dài. Một khi đã lọt khỏi vòng kiểm soát, chúng không “hết hạn” theo nghĩa thông thường.

Đây chính là bộ dữ liệu mà tội phạm cần để tạo ra cái mà giới an ninh gọi là “danh tính tổng hợp”, tức một danh tính giả được ghép từ nhiều mảnh thông tin thật: ngày sinh của người này, địa chỉ của người khác, số điện thoại hoặc giấy tờ của một người thứ ba. Khi được ghép đủ khéo, hồ sơ đó có thể vượt qua các bước xác minh của ngân hàng, công ty bảo hiểm, nền tảng dịch vụ số, thậm chí cả cơ quan nhà nước.

Đặt trong bối cảnh rộng hơn, các vụ tấn công năm 2026 không phải những dấu hiệu đơn lẻ. Năm 2025, Cegedim Santé, đơn vị cung cấp phần mềm y tế, phát hiện hoạt động truy cập bất thường vào tài khoản của một số bác sĩ sử dụng phần mềm của hãng. Cegedim cho biết dữ liệu bị truy cập chủ yếu là thông tin hành chính. Tuy nhiên, trong một số trường hợp, phần ghi chú tự do của các bác sĩ có thể chứa thông tin nhạy cảm hơn.

Trước đó, năm 2024, Viamedis và Almerys, hai đơn vị xử lý thanh toán bảo hiểm y tế, bị tấn công, làm lộ dữ liệu của hơn 33 triệu người. Theo CNIL, dữ liệu y tế chi tiết, thông tin ngân hàng, địa chỉ bưu điện, số điện thoại và email không nằm trong phạm vi vụ rò rỉ này, nhưng các thông tin bị lộ vẫn đủ để làm tăng nguy cơ lừa đảo và mạo danh. Vấn đề sâu hơn không nằm ở bản thân các cuộc tấn công, mà ở sự chênh lệch giữa quy mô dữ liệu được tích lũy và năng lực bảo vệ thực tế.

FICOBA lưu giữ thông tin của hàng trăm triệu tài khoản, nhưng một đối tượng có thể truy cập trái phép bằng thông tin đăng nhập của một công chức. ANTS quản lý hồ sơ giấy tờ định danh của hàng chục triệu người, nhưng lại bị đe dọa bởi một lỗ hổng ứng dụng. Khi các cơ sở dữ liệu ngày càng tập trung, mỗi lỗ hổng không còn là lỗi kỹ thuật cục bộ. Nó có thể làm lung lay niềm tin công cộng vào khả năng bảo vệ dữ liệu của nhà nước.

Trong báo cáo thường niên về tình hình an ninh mạng năm 2025 (Threat Landscape 2025), Cơ quan An ninh mạng châu Âu (ENISA) cho biết khu vực hành chính công tiếp tục là một trong những mục tiêu nổi bật trong Liên minh châu Âu. Pháp không phải ngoại lệ. Nhưng chuỗi sự kiện từ cuối năm 2025 đến tháng 4/2026 cho thấy nước này đang phải trả giá cho một thực tế mà nhiều quốc gia số hóa nhanh đều phải đối mặt: khi nhà nước đưa ngày càng nhiều phần đời sống công dân vào các cơ sở dữ liệu tập trung, một lần bảo mật thất bại không còn là sự cố kỹ thuật. Nó có thể trở thành một vết rò kéo dài trong đời sống của hàng triệu người, lâu hơn rất nhiều so với vòng đời của bất kỳ thông cáo báo chí hay lời trấn an nào.

Minh Hải