Cựu kỹ sư Coinbase cảnh báo "bom nổ chậm" có thể thổi bay hàng tỷ USD của ngành fintech - Đâu là giải pháp phòng ngừa?

Năm 2022, cộng đồng tiền số Việt Nam rung động khi gần 2 triệu dữ liệu eKYC của dự án Onus bị rao bán trên một diễn đàn công nghệ. Điều này có nghĩa là các thông tin định danh thực như bản scan giấy tờ cá nhân, số điện thoại xác thực cũng như hình ảnh gương mặt người dùng của gần 2 triệu người bị lộ.

Mới đây nhất là 70.000 khách hàng của Coinbase có nguy cơ trở thành mục tiêu của kẻ lừa đảo khi dữ liệu eKYC bị rò rỉ, với thiệt hịa có thể lên đến hàng trăm triệu USD. Giờ đây, câu hỏi được đặt ra không còn là "liệu dữ liệu eKYC có an toàn không?" mà là "khi nào thì vụ rò rỉ tiếp theo sẽ xảy ra?"

Theo Khoa Hồ, cựu kỹ sư trong số 30 người đầu tiên của Coinbase và hiện là founder của sàn giao dịch BSX, ngành fintech đang ngồi trên một "quả bom nổ chậm" mà ít ai thực sự nhận ra mức độ nguy hiểm.

"Điều nguy hiểm của eKYC là một khi thông tin đã bị lộ, người dùng gần như không có cách nào để thu hồi lại thông tin đã cung cấp", anh Khoa chia sẻ trong cuộc phỏng vấn gần đây. Với kinh nghiệm 6 năm tại Coinbase - từ thời startup non trẻ đến khi trở thành sàn giao dịch tiền mã hóa lớn nhất thế giới, anh hiểu rõ những rủi ro tiềm ẩn mà hầu hết người dùng không hề hay biết.

Con dao hai lưỡi của công nghệ eKYC

eKYC (electronic Know Your Customer) vốn được ra đời để giải quyết bài toán xác minh danh tính trong thời đại số, cho phép các tổ chức tài chính kiểm tra thông tin khách hàng mà không cần gặp mặt trực tiếp. Tuy nhiên, chính sự tiện lợi này lại trở thành con dao hai lưỡi khi dữ liệu nhạy cảm được tập trung lưu trữ tại hàng trăm, hàng nghìn tổ chức khác nhau.

Lịch sử đã chứng minh cho cảnh báo này. Năm 2017, Equifax - công ty đánh giá tín dụng hàng đầu của Mỹ - đã phải chi gần 1,4 tỷ USD để khắc phục hậu quả từ việc rò rỉ dữ liệu cá nhân của khách hàng. Ủy ban Thương mại Liên bang Mỹ (FTC) thậm chí phải phát hành cảnh báo vì số lượng các cuộc tấn công lừa đảo tăng đột biến sau sự việc này.

Trường hợp của Coinbase gần đây cho thấy ngay cả những "pháo đài" công nghệ cũng không thể tránh khỏi rủi ro. "Coinbase đã đầu tư rất nhiều tiền và con người để bảo vệ hệ thống kỹ thuật. Tuy nhiên, trong vụ hack vừa rồi, chúng tôi đã để sót lỗ hổng trong khâu quản lý con người", anh Khoa thừa nhận một cách thẳng thắn.

Điều đáng chú ý là hacker không chiếm quyền vào hệ thống thông qua lỗi kỹ thuật mà mua chuộc nhân viên chăm sóc khách hàng để lấy dữ liệu. "So với các cuộc tấn công kỹ thuật, lỗ hổng liên quan tới yếu tố con người khó xử lý hơn và tốn nhiều thời gian hơn để khắc phục", anh chia sẻ kinh nghiệm thực tế. "Để khắc phục lỗ hổng này, chúng ta cần rà soát và thay đổi cả một quy trình cũng như nhân sự, thay vì chỉ vá lỗi hệ thống."

Vậy ai phải chịu trách nhiệm khi dữ liệu eKYC bị rò rỉ? Theo anh Khoa, trách nhiệm đầu tiên thuộc về nền tảng đã thu thập và làm lộ dữ liệu người dùng. Tuy nhiên, ranh giới giữa "trách nhiệm bảo vệ dữ liệu người dùng" và "nghĩa vụ chia sẻ với cơ quan chức năng" cần được thiết lập rõ ràng để không tạo ra lỗ hổng.

"Dữ liệu bảo vệ người dùng cần được bảo vệ nghiêm ngặt ở hệ thống lưu trữ và cách phân quyền truy cập phù hợp để đảm bảo kẻ xấu không thể truy cập trái phép", anh nhấn mạnh. "Các công ty cần coi dữ liệu eKYC của khách hàng là dữ liệu có mức độ nhạy cảm cao và chỉ những nhân sự được ủy quyền, đã trải qua kiểm tra lý lịch kỹ lưỡng mới được phép truy cập."

Đâu là lối thoát cho việc lưu trữ eKYC người dùng

Nhận thức được vấn đề này, anh Khoa đề xuất một giải pháp táo bạo: thay vì mỗi công ty tự xây dựng hệ thống eKYC riêng, ngành fintech nên chuyển sang sử dụng những sản phẩm KYC chuyên biệt. "Việc các công ty thực hiện xử lý và lưu trữ eKYC riêng biệt là không cần thiết. Thực tế việc này đang khiến người dùng bị phiền hà do phải thực hiện quá trình xác minh KYC nhiều lần."

Theo anh Khoa, việc có một sản phẩm eKYC chuyên biệt không chỉ giúp giảm phiền hà cho người dùng, mà còn giúp các công ty giảm tải trách nhiệm cũng như hệ thống lưu trữ loại dữ liệu nhạy cảm này.

Không chỉ dừng lại ở giải pháp truyền thống, với nền tảng kỹ thuật vững chắc từ Georgia Tech và kinh nghiệm thực tiễn tại Coinbase, anh Khoa cũng hướng tới một giải pháp lưu trữ dữ liệu độc đáo và an toàn – đó là lưu trữ eKYC trên blockchain, thông qua các công nghệ tiên tiến như Zero Knowledge Proofs (ZKP) và eKYC on-chain.

Tuy nhiên, anh cũng thực tế khi thừa nhận những rào cản hiện tại. " Trong quá trình vận hành sàn giao dịch, chúng tôi cũng nghiên cứu về công nghệ ZKP vào lưu trữ eKYC trong nhiều năm qua. ZKP rất tiềm năng về mặt lý thuyết, nhưng thực tế chưa được ứng dụng rộng rãi vì độ phức tạp về kỹ thuật cũng như chi phí triển khai cao."

Việc xây dựng mạch cho ZKP đòi hỏi kiến thức chuyên sâu khác với lập trình truyền thống, trong khi số lượng kỹ sư có đủ năng lực là rất hạn chế. Ngoài ra, anh Khoa cũng thừa nhận, dù an toàn hơn việc xác minh eKYC bằng công nghệ này sẽ chậm hơn và tốn kém hơn so với công nghệ truyền thống.

Về tương lai, anh Khoa dự đoán eKYC on-chain sẽ phù hợp với các sản phẩm phi tập trung như DeFi, nơi giao dịch được thực hiện hoàn toàn qua smart contract. Trong khi đó, các công ty truyền thống và tập trung hơn như Coinbase có lẽ vẫn sẽ ưu tiên sử dụng eKYC truyền thống vì chi phí thấp hơn và khả năng hỗ trợ khách hàng nhanh chóng hơn.

"Nếu eKYC on-chain hoạt động hiệu quả, sẽ trở thành một lựa chọn song song với eKYC truyền thống và mỗi sản phẩm tùy vào cơ chế cần sử dụng phương thức KYC phù hợp", anh nhận định về viễn cảnh tương lai.

Từ kinh nghiệm xây dựng BSX - sàn giao dịch được các quỹ đầu tư toàn cầu tin tưởng với hơn 9 tỷ USD khối lượng giao dịch chỉ sau 7 tháng ra mắt,anh Khoa khuyến nghị các doanh nghiệp fintech cần có cái nhìn dài hạn về bảo mật dữ liệu. Thay vì coi eKYC như một bước thủ tục cần thiết, họ nên đầu tư nghiêm túc vào việc bảo vệ thông tin khách hàng như một tài sản quý giá nhất.

Quả bom eKYC vẫn đang tick-tock đếm ngược. Câu hỏi không phải là liệu nó có nổ hay không, mà là ngành fintech có đủ thời gian để gỡ ngòi nổ trước khi quá muộn.