Thế giới đã chứng kiến sự gia tăng đáng kể các vụ vi phạm dữ liệu trong nửa đầu năm 2025, với số lượng vụ việc tăng vọt lên 235% so với cùng kỳ năm trước. Điều này đã dẫn đến việc lộ hơn 9,45 tỷ dữ liệu cá nhân. Theo báo cáo của nhóm tình báo an ninh mạng Flashpoint, chỉ trong 6 tháng đầu năm, đã có một làn sóng tấn công mạng diễn ra với quy mô và mức độ nghiêm trọng chưa từng có.

Đặc biệt, 2/3 số vụ việc này đã xảy ra tại Hoa Kỳ, cho thấy thị trường Mỹ vẫn là mục tiêu hàng đầu của các nhóm tội phạm mạng. Tuy nhiên, con số này vẫn chưa thể sánh được với mức tăng 800% về số lượng thông tin đăng nhập bị đánh cắp. Chỉ trong 6 tháng đầu năm, đã có tới 1,8 tỷ thông tin đăng nhập bị xâm phạm bởi các công cụ đánh cắp thông tin, một loại phần mềm độc hại đang trở thành “vũ khí” ưa thích của tội phạm mạng.

Theo Flashpoint, truy cập trái phép chiếm gần 78% tổng số sự cố vi phạm dữ liệu được báo cáo. Những thông tin đăng nhập bị đánh cắp này thường là cửa ngõ để hacker thực hiện các đợt tấn công quy mô lớn hơn, đặc biệt là ransomware (mã độc tống tiền).

Sự phát triển của AI và các dịch vụ cho thuê phần mềm độc hại đã tạo điều kiện cho tội phạm mạng dễ dàng đánh cắp thông tin, xâm nhập vào các hệ thống doanh nghiệp, tổ chức, từ đó lan rộng thành các vụ vi phạm dữ liệu nghiêm trọng trên toàn bộ chuỗi cung ứng.

Ông Ian Gray, Phó Chủ tịch phụ trách hoạt động tình báo mối đe dọa mạng của Flashpoint, nhận định: “Số vụ tấn công ransomware tăng 179% và vi phạm dữ liệu tăng vọt 235%, quy mô của các hoạt động độc hại là không thể phủ nhận”.

Một nguyên nhân lớn khiến tình trạng này trở nên nghiêm trọng là do thói quen sử dụng mật khẩu yếu của người dùng. Theo nghiên cứu của Specops, chỉ 1,5% trong số 10 triệu mật khẩu được phân tích là đủ mạnh để vượt qua bài kiểm tra “hacking test”. Phần còn lại (chiếm tới 98,5%) đều có thể bị hack dễ dàng bằng các công cụ tự động bẻ khóa mật khẩu.

Các chuyên gia khuyến nghị cá nhân và doanh nghiệp cần nâng cao cảnh giác và chủ động phòng ngừa. Đối với người dùng, việc xây dựng mật khẩu mạnh và duy nhất cho từng tài khoản là cách đối phó đơn giản nhất. Mật khẩu nên dài ít nhất 15 ký tự, kết hợp nhiều loại ký tự và không nên sử dụng lại ở nhiều nơi. Ngoài ra, việc chuyển sang các phương thức xác thực mạnh hơn như passkeys cũng được các “ông lớn” công nghệ như Google và Microsoft khuyến cáo.

Phần mềm gián điệp SparkKitty đang đe dọa người dùng iPhone và Android. Mới đây, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (PA05) của Công an TP.HCM đã phát đi cảnh báo về sự xuất hiện của phần mềm gián điệp SparkKitty. Phần mềm này có khả năng đánh cắp dữ liệu cá nhân và chiếm đoạt tài sản của người dùng, gây ra mối lo ngại lớn về an toàn thông tin.

SparkKitty được các chuyên gia bảo mật của Kaspersky phát hiện và có thể tấn công trên cả hệ điều hành iOS và Android. Phần mềm này sử dụng công nghệ nhận diện ký tự quang học (OCR) để quét toàn bộ ảnh chụp màn hình trong thư viện ảnh của người dùng. Mục đích là tìm kiếm các dữ liệu nhạy cảm như mật khẩu, mã khôi phục ví tiền điện tử, và các thông tin quan trọng khác.

Sau khi thu thập thông tin, SparkKitty sẽ gửi dữ liệu bị đánh cắp về máy chủ do tin tặc điều khiển. Điều này có thể dẫn đến việc lộ thông tin cá nhân và tài khoản của người dùng, gây ra những hậu quả nghiêm trọng. Nếu người dùng đã cài đặt ứng dụng này, họ cần gỡ ngay khỏi thiết bị để bảo vệ an toàn thông tin cá nhân.

PA05 đưa ra khuyến cáo cụ thể cho người dùng nhằm phòng tránh sự xâm nhập của phần mềm gián điệp SparkKitty. Trước hết, người dùng không nên lưu trữ hình ảnh chứa thông tin nhạy cảm trên điện thoại. Thứ hai, họ tuyệt đối không cài đặt các ứng dụng không rõ nguồn gốc, vì những ứng dụng này có thể chứa mã độc hoặc phần mềm gián điệp.

Người dân cũng nên hạn chế cấp quyền truy cập thư viện ảnh cho các ứng dụng lạ. Điều này có thể ngăn chặn việc phần mềm gián điệp tiếp cận và đánh cắp thông tin cá nhân. Thường xuyên kiểm tra lại danh sách quyền truy cập của các ứng dụng đã cài đặt trên điện thoại là một biện pháp khác mà người dùng có thể thực hiện để bảo vệ mình.

Nếu phát hiện các ứng dụng đáng ngờ hoặc nghi ngờ bị xâm phạm dữ liệu cá nhân, người dân cần liên hệ ngay với cơ quan công an để được hỗ trợ và hướng dẫn cách xử lý. Cảnh giác và có kiến thức về an toàn thông tin là chìa khóa giúp người dùng bảo vệ mình trước những mối đe dọa từ phần mềm gián điệp và các loại mã độc khác.

Để cập nhật thông tin mới nhất về các mối đe dọa an ninh mạng và cách phòng tránh, người dùng có thể theo dõi các thông báo từ các cơ quan chức năng và chuyên gia bảo mật. Thông tin từ Kaspersky và các nguồn tin cậy khác có thể cung cấp những kiến thức hữu ích giúp người dùng nâng cao nhận thức về an toàn thông tin.

Là một phần quan trọng trong khuôn khổ pháp lý về bảo vệ dữ liệu cá nhân, Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 đã thiết lập các quy định chi tiết nhằm đảm bảo việc thu thập và xử lý dữ liệu cá nhân liên quan đến sức khỏe và hoạt động kinh doanh bảo hiểm được thực hiện một cách minh bạch và bảo vệ quyền lợi của cá nhân. Theo đó, mọi hoạt động thu thập và xử lý dữ liệu cá nhân trong lĩnh vực sức khỏe và bảo hiểm đều yêu cầu sự đồng ý của chủ thể dữ liệu cá nhân, trừ khi có các trường hợp được quy định cụ thể tại khoản 1 Điều 19 của Luật này.

Đối với các cơ quan, tổ chức và cá nhân hoạt động trong lĩnh vực sức khỏe và bảo hiểm, việc tuân thủ đầy đủ các quy định về bảo vệ dữ liệu cá nhân và các quy định liên quan khác là bắt buộc. Đặc biệt, họ không được phép cung cấp dữ liệu cá nhân cho bên thứ ba mà không có yêu cầu bằng văn bản từ chủ thể dữ liệu cá nhân hoặc không thuộc các trường hợp được phép theo quy định của pháp luật. Điều này nhằm đảm bảo quyền kiểm soát và bảo mật thông tin của cá nhân, ngăn chặn việc lạm dụng hoặc tiết lộ dữ liệu trái phép.

Các tổ chức và cá nhân phát triển ứng dụng về y tế và kinh doanh bảo hiểm cũng phải tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân. Trong trường hợp của doanh nghiệp kinh doanh tái bảo hiểm và nhượng tái bảo hiểm, việc chuyển dữ liệu cá nhân cho đối tác cần được nêu rõ trong hợp đồng với khách hàng. Đây là một biện pháp quan trọng để tăng cường tính minh bạch và trách nhiệm trong việc xử lý dữ liệu cá nhân.

Law also stipulates the cases where processing personal data does not require the consent of the data subject, bao gồm các tình huống cấp bách liên quan đến bảo vệ tính mạng, sức khỏe, danh dự, nhân phẩm, quyền và lợi ích hợp pháp của chủ thể dữ liệu cá nhân hoặc người khác; các trường hợp khẩn cấp cần bảo vệ lợi ích của Nhà nước, cơ quan tổ chức; phục vụ hoạt động của cơ quan nhà nước; thực hiện thỏa thuận của chủ thể dữ liệu cá nhân với cơ quan, tổ chức có liên quan; và các trường hợp khác theo quy định của pháp luật. Những quy định này cho phép xử lý dữ liệu cá nhân trong những tình huống cần thiết mà không cần sự đồng ý của cá nhân, nhưng vẫn đảm bảo nguyên tắc bảo vệ quyền và lợi ích hợp pháp của họ.