Rò rỉ dữ liệu

Rò rỉ dữ liệu hay vi phạm dữ liệu, lộ dữ liệu là "việc tiết lộ, công khai hoặc làm mất thông tin cá nhân một cách trái phép".^[1]

Kẻ tấn công có nhiều động cơ khác nhau, từ trục lợi tài chính đến hoạt động chính trị, đàn áp chính trị và gián điệp. Có nhiều nguyên nhân kỹ thuật dẫn đến một vụ rò rỉ dữ liệu, chẳng hạn như việc tiết lộ thông tin do vô ý hoặc cố ý từ nội bộ, mất hoặc đánh cắp thiết bị chưa được mã hóa, tấn công hệ thống bằng cách khai thác lỗ hổng phần mềm. Ngoài ra, rò rỉ dữ liệu cũng có thể xuất phát từ các cuộc tấn công bằng các phương pháp phi kỹ thuật chẳng hạn như tấn công giả mạo, theo đó nhân viên bị lừa tiết lộ các thông tin bí mất. Mặc dù các biện pháp phòng ngừa của công ty lưu trữ dữ liệu có thể giảm thiểu rủi ro vi phạm dữ liệu, nhưng không thể loại bỏ hoàn toàn nguy cơ này.

Vụ rò rỉ dữ liệu đầu tiên được báo cáo vào năm 2002, và số vụ xảy ra mỗi năm đã tăng lên kể từ đó. Nhiều vụ rò rỉ dữ liệu không bao giờ bị phát hiện. Nếu một vụ rò rỉ dữ liệu được công ty lưu trữ dữ liệu phát hiện, các biện pháp xử lý sau đó thường bao gồm kiểm soát vi phạm, điều tra phạm vi và nguyên nhân, cũng như thông báo cho những người có dữ liệu bị ảnh hưởng, theo quy định của pháp luật tại nhiều khu vực pháp lý. Các cơ quan thực thi pháp luật có thể điều tra các vụ vi phạm dữ liệu, mặc dù hiếm khi bắt được tin tặc chịu trách nhiệm cho vụ rò rỉ đó.

Nhiều tội phạm rao bán dữ liệu bị rò rỉ trên dark web. Vì vậy, những người bị lộ thông tin cá nhân phải đối mặt với nguy cơ bị đánh cắp danh tính trong nhiều năm, và không ít người thực sự trở thành nạn nhân. Luật yêu cầu thông báo rò rỉ dữ liệu được áp dụng ở nhiều nơi, bao gồm tất cả các tiểu bang của Hoa Kỳ và các quốc gia thuộc Liên minh Châu Âu, buộc các công ty phải thông báo cho những người bị ảnh hưởng. Các vụ kiện nhắm vào doanh nghiệp để lộ dữ liệu diễn ra khá phổ biến, nhưng chỉ rất ít nạn nhân nhận được bồi thường. Trên thực tế, ngoài chi phí xử lý trực tiếp, chưa có nhiều bằng chứng cho thấy rò rỉ dữ liệu gây thiệt hại kinh tế đáng kể cho doanh nghiệp, dù một số nghiên cứu chỉ ra rằng giá cổ phiếu có thể giảm tạm thời trong ngắn hạn.

Định nghĩa

Rò rỉ dữ liệu là hành vi vi phạm luật hoặc chính sách "của tổ chức, cơ quan quản lý, pháp luật hoặc hợp đồng",^[2] dẫn tới "việc tiết lộ, công khai hoặc làm mất thông tin cá nhân một cách trái phép".^[1] Định nghĩa về rò rỉ dữ liệu có thể khác nhau tùy theo luật pháp và hợp đồng.^[3]^[2] Một số nhà nghiên cứu còn mở rộng khái niệm này để bao gồm các loại thông tin khác, chẳng hạn như tài sản trí tuệ hoặc thông tin mật.^[4] Tuy nhiên, hầu hết các công ty chỉ công bố rò rỉ dữ liệu khi luật pháp bắt buộc, và các quy định về thông báo rò rỉ dữ liệu thường chỉ áp dụng đối với thông tin cá nhân.^[5]^[6]

Tính phổ biến

Vụ rò rỉ dữ liệu đầu tiên được ghi nhận xảy ra vào ngày 5 tháng 4 năm 2002,^[7] khi 250.000 số an sinh xã hội do bang California thu thập bị đánh cắp từ một trung tâm dữ liệu.^[8] Trước khi các luật yêu cầu thông báo rò rỉ dữ liệu được áp dụng rộng rãi vào khoảng năm 2005, rất khó để xác định mức độ phổ biến của các vụ rò rỉ dữ liệu. Ngay cả sau đó, số liệu thống kê theo năm cũng không hoàn toàn chính xác, vì nhiều vụ có thể được báo cáo sau nhiều năm^[9] hoặc thậm chí không được công bố.^[10] Tuy nhiên, số liệu thống kê cho thấy số lượng và mức độ nghiêm trọng của các vụ rò rỉ dữ liệu không ngừng gia tăng và vẫn tiếp tục tăng tính đến năm 2022^{[cập nhật]}.^[11] Năm 2016, nhà nghiên cứu Sasha Romanosky ước tính rằng số vụ rò rỉ dữ liệu (không bao gồm tấn công giả mạo) nhiều hơn gấp bốn lần so với các loại tấn công mạng khác.^[12]

Thủ phạm

Theo ước tính năm 2020, 55% vụ rò rỉ dữ liệu do tội phạm có tổ chức gây ra, 10% do quản trị viên hệ thống, 10% do người dùng cuối như khách hàng hoặc nhân viên và 10% do các quốc gia hoặc tổ chức có liên kết với chính phủ.^[13] Tội phạm cơ hội có thể gây ra các vụ rò rỉ dữ liệu – thường bằng cách sử dụng phần mềm độc hại hoặc tấn công phi kỹ thuật. Tuy nhiên, nếu hệ thống bảo mật ở mức trên trung bình, chúng thường sẽ từ bỏ và tìm mục tiêu khác. Ngược lại, các nhóm tội phạm có tổ chức có nhiều nguồn lực hơn và nhắm mục tiêu một cách có kế hoạch vào những loại dữ liệu cụ thể.^[14] Cả hai nhóm này đều bán thông tin thu được để trục lợi tài chính.^[15] Một nguồn rò rỉ dữ liệu khác đến từ các tin tặc có động cơ chính trị, chẳng hạn như nhóm Anonymous thường nhắm vào các mục tiêu cụ thể.^[16] Các nhóm tin tặc do nhà nước bảo trợ thường nhắm vào công dân trong nước hoặc các tổ chức nước ngoài với mục đích như đàn áp chính trị hoặc gián điệp. Chúng thường khai thác các lỗ hổng zero-day chưa được công bố, vốn có thể được mua với giá rất cao.^[17] Phần mềm gián điệp Pegasus – một loại mã độc không cần thao tác (no-click) do công ty Israel NSO Group phát triển, có thể cài đặt trên hầu hết các điện thoại di động và theo dõi hoạt động của người dùng – đã thu hút sự chú ý vì vừa được sử dụng cả để chống tội phạm, như trùm ma túy El Chapo, vừa được dùng để nhắm vào các nhà bất đồng chính kiến, góp phần vào vụ sát hại Jamal Khashoggi.^[18]

Nguyên nhân

Nguyên nhân kỹ thuật

Mặc dù các nhà phát triển luôn hướng đến việc tạo ra sản phẩm hoạt động đúng như mong đợi, hầu hết mọi phần mềm và phần cứng đều có lỗi.^[19] Nếu một lỗi tạo ra rủi ro bảo mật, nó được gọi là lỗ hổng bảo mật.^[20]^[21]^[22] Các bản vá thường được phát hành để khắc phục các lỗ hổng đã được phát hiện, nhưng những lỗ hổng chưa được biết đến (zero-day) hoặc chưa được vá vẫn có thể bị khai thác.^[23] Cả phần mềm do chính tổ chức bị tấn công phát triển lẫn phần mềm của bên thứ ba mà họ sử dụng đều có nguy cơ bị tấn công.^[21] Các nhà cung cấp phần mềm hiếm khi phải chịu trách nhiệm pháp lý về chi phí do rò rỉ dữ liệu gây ra, điều này vô tình khuyến khích họ tạo ra phần mềm rẻ hơn nhưng kém an toàn hơn.^[24]

Mức độ khai thác của các lỗ hổng bảo mật có thể khác nhau tùy vào khả năng của kẻ tấn công. Những lỗ hổng giá trị nhất cho phép tin tặc chèn và thực thi mã độc (malware) mà người dùng không hề hay biết.^[20] Một số phần mềm độc hại được tải xuống khi người dùng nhấp vào liên kết nguy hiểm, nhưng cũng có trường hợp ứng dụng web độc hại tự động cài đặt malware khi người dùng chỉ truy cập vào trang web đó (drive-by download). Keylogger, một loại phần mềm độc hại ghi lại thao tác bàn phím của người dùng, thường được sử dụng trong các vụ rò rỉ dữ liệu.^[25] Phần lớn các vụ rò rỉ dữ liệu có thể được ngăn chặn nếu tất cả thông tin nhạy cảm được lưu trữ dưới dạng mã hóa. Bằng cách này, dù kẻ tấn công có chiếm quyền sở hữu thiết bị lưu trữ hoặc truy cập được vào dữ liệu đã mã hóa, chúng vẫn không thể sử dụng thông tin nếu không có khóa giải mã. Băm (hashing) cũng là một giải pháp hiệu quả để bảo vệ mật khẩu khỏi các cuộc tấn công dò mật khẩu, nhưng chỉ khi thuật toán băm đủ mạnh và an toàn.^[26]

Nhiều vụ rò rỉ dữ liệu xảy ra trên hệ thống phần cứng do đối tác của tổ chức bị tấn công vận hành – bao gồm vụ rò rỉ dữ liệu của Target năm 2013 và JPMorgan Chase năm 2014.^[27] Việc thuê các bên thứ ba xử lý công việc có thể làm tăng nguy cơ rò rỉ dữ liệu nếu công ty đó có tiêu chuẩn bảo mật thấp hơn. Đặc biệt, các doanh nghiệp nhỏ thường thiếu nguồn lực để áp dụng các biện pháp bảo mật nghiêm ngặt.^[28]^[27] Do đó, các thỏa thuận thuê ngoài thường bao gồm các điều khoản đảm bảo an ninh và quy định về trách nhiệm trong trường hợp xảy ra rò rỉ dữ liệu.^[28]

Nguyên nhân chủ quan

Nguyên nhân chủ quan dẫn đến rò rỉ dữ liệu thường xuất phát từ sự tin tưởng vào một đối tượng khác, nhưng đối tượng đó lại có ý đồ xấu. Các cuộc tấn công phi kỹ thuật lợi dụng sự cả tin của người trong nội bộ, dụ dỗ họ thực hiện hành động làm suy yếu bảo mật hệ thống, chẳng hạn như tiết lộ mật khẩu hoặc nhấp vào liên kết tải phần mềm độc hại.^[29] Rò rỉ dữ liệu cũng có thể do chính người trong nội bộ cố ý gây ra.^[30] Một dạng tấn công phi kỹ thuật là tấn công giả mạo,^[29] trong đó kẻ tấn công giả mạo một tổ chức hợp pháp, như ngân hàng, để gửi tin nhắn độc hại và dụ người dùng nhập thông tin đăng nhập vào một trang web giả do chúng kiểm soát. Trong tình huống này, xác thực dùng hai yếu tố có thể ngăn chặn kẻ tấn công sử dụng thông tin đăng nhập bị đánh cắp.^[31] Ngoài ra, đào tạo nhân viên để nhận diện các cuộc tấn công phi kỹ thuật cũng là một chiến lược phổ biến.^[32]

Một nguyên nhân khác gây rò rỉ dữ liệu là việc vô tình tiết lộ thông tin, chẳng hạn như công khai những dữ liệu lẽ ra phải được giữ kín.^[33]^[34] Với sự gia tăng của làm việc từ xa và chính sách sử dụng thiết bị cá nhân cho công việc, một lượng lớn dữ liệu doanh nghiệp được lưu trữ trên thiết bị cá nhân của nhân viên. Do bất cẩn hoặc không tuân thủ chính sách bảo mật của công ty, những thiết bị này có thể bị thất lạc hoặc đánh cắp, dẫn đến nguy cơ rò rỉ dữ liệu.^[35] Các giải pháp kỹ thuật có thể ngăn chặn nhiều nguyên nhân gây ra lỗi do con người, chẳng hạn như mã hóa toàn bộ dữ liệu nhạy cảm, ngăn nhân viên sử dụng mật khẩu kém an toàn, cài đặt phần mềm diệt virus để chống phần mềm độc hại và triển khai hệ thống cập nhật bản vá mạnh mẽ để đảm bảo tất cả thiết bị luôn được cập nhật.^[36]

Chu trình

Phòng ngừa

Mặc dù chú trọng đến bảo mật có thể giảm nguy cơ rò rỉ dữ liệu, nhưng không thể loại bỏ hoàn toàn rủi ro. Bảo mật không phải là ưu tiên duy nhất của các tổ chức, và nếu cố gắng đạt mức an toàn tuyệt đối, công nghệ có thể trở nên khó sử dụng.^[37] Nhiều công ty thuê "giám đốc an toàn thông tin" (chief information security officer) để giám sát chiến lược bảo mật thông tin của doanh nghiệp.^[38] Để thu thập thông tin về các mối đe dọa tiềm ẩn, các chuyên gia bảo mật thường thiết lập mạng lưới với nhau và chia sẻ thông tin với các tổ chức khác đang đối mặt với những rủi ro tương tự.^[39] Các biện pháp phòng thủ có thể bao gồm: cập nhật chiến lược phản ứng sự cố, ký hợp đồng với các công ty pháp y kỹ thuật số^[40] để điều tra rò rỉ dữ liệu,^[41] mua bảo hiểm an ninh mạng^[42]^[6] và theo dõi dark web để phát hiện thông tin đăng nhập của nhân viên bị đánh cắp.^[43] Năm 2024, Viện Tiêu chuẩn và Kỹ thuật Quốc gia Hoa Kỳ (NIST) đã ban hành ấn phẩm đặc biệt "Bảo mật dữ liệu: Xác định và bảo vệ tài sản trước rò rỉ dữ liệu".^[44] Ngoài ra, NIST Cybersecurity Framework cũng cung cấp thông tin về bảo vệ dữ liệu.^[45] Bên cạnh đó, nhiều tổ chức khác đã công bố các tiêu chuẩn bảo vệ dữ liệu riêng.^[46]

Kiến trúc hệ thống của một công ty đóng vai trò quan trọng trong việc ngăn chặn kẻ tấn công. Daswani và Elbayadi khuyến nghị chỉ sử dụng một phương thức xác thực duy nhất,^[47] tránh các hệ thống dư thừa và thiết lập chế độ bảo mật cao nhất làm mặc định.^[48] Chiến lược phòng thủ nhiều lớp (defense in depth) và phân quyền phân tán (distributed privilege) – yêu cầu xác thực nhiều bước để thực hiện một thao tác – cũng có thể giúp hệ thống trở nên khó bị tấn công hơn.^[49] Ngoài ra, việc giới hạn quyền truy cập của nhân viên và phần mềm ở mức tối thiểu cần thiết – đủ để làm một công việc cụ thể (gọi nguyên tắc đặc quyền tối thiểu]) cũng có thể giảm nguy cơ rò rỉ dữ liệu cũng như hạn chế thiệt hại nếu xảy ra sự cố.^[47]^[50] Nhiều vụ rò rỉ dữ liệu xảy ra do các nạn nhân dựa vào bảo mật thông qua che giấu (security by obscurity), chẳng hạn như lưu trữ thông tin đăng nhập trong các tập tin có thể truy cập công khai.^[51] Tuy nhiên, yếu tố dễ sử dụng cũng rất quan trọng, vì nếu hệ thống bảo mật quá phức tạp, người dùng có thể tìm cách lách luật và vô tình làm suy yếu an ninh.^[52] Việc kiểm thử phần mềm một cách nghiêm ngặt, bao gồm kiểm thử thâm nhập (penetration testing), có thể giúp giảm thiểu lỗ hổng bảo mật. Việc này cần được thực hiện trước mỗi lần phát hành, ngay cả khi công ty áp dụng mô hình tích hợp/liên tục triển khai (continuous integration/continuous deployment – CI/CD), nơi các phiên bản mới liên tục được đưa vào sử dụng.^[53]

Nguyên tắc lưu trữ tối thiểu (principle of least persistence)^[54] – chỉ thu thập dữ liệu thực sự cần thiết và xóa bỏ dữ liệu không còn sử dụng – có thể giúp giảm thiểu hậu quả của các vụ rò rỉ dữ liệu.^[55]^[56]^[57] Tuy nhiên, trong các hệ thống cơ sở dữ liệu hiện đại, việc xóa dữ liệu không phải lúc nào cũng đơn giản.^[58]

Ứng phó

Rất nhiều vụ rò rỉ dữ liệu không bao giờ được phát hiện.^[59] Trong số những vụ bị phát hiện, phần lớn do bên thứ ba phát giác,^[60]^[61] số còn lại do nhân viên hoặc hệ thống tự động phát hiện.^[62] Việc xử lý rò rỉ dữ liệu thường do các đội ứng phó sự cố máy tính (CERT) bao gồm các chuyên gia kỹ thuật, bộ phận quan hệ công chúng và cố vấn pháp lý đảm nhận.^[63]^[64] Nhiều công ty không có đủ chuyên môn nội bộ nên phải thuê ngoài một số vai trò này,^[65] thường thông qua các dịch vụ đi kèm trong hợp đồng bảo hiểm an ninh mạng.^[66] Sau khi phát hiện vụ rò rỉ dữ liệu, các bước tiếp theo thường bao gồm xác nhận sự cố, thông báo cho đội ứng phó và cố gắng kiểm soát thiệt hại.^[67] Để ngăn chặn việc dữ liệu bị đánh cắp, các biện pháp thường được áp dụng bao gồm tắt máy chủ bị ảnh hưởng, đưa chúng về trạng thái ngoại tuyến, vá lỗ hổng bảo mật và dựng lại hệ thống.^[68] Khi đã xác định được nguyên nhân rò rỉ, thường chỉ cần khắc phục một hoặc hai lỗ hổng kỹ thuật để kiểm soát sự cố và ngăn chặn việc tái diễn.^[69] Nếu phần mềm độc hại có liên quan đến vụ rò rỉ, tổ chức cần điều tra và đóng tất cả các điểm xâm nhập và rò rỉ dữ liệu, đồng thời xác định và loại bỏ mọi mã độc trong hệ thống.^[70] Nếu dữ liệu bị rò rỉ trên dark web, công ty có thể cố gắng yêu cầu gỡ bỏ.^[71] Tuy nhiên, việc kiểm soát sự cố có thể ảnh hưởng đến quá trình điều tra, và một số biện pháp (chẳng hạn như tắt máy chủ) có thể vi phạm các cam kết hợp đồng của công ty.^[72]

Việc thu thập dữ liệu về vụ rò rỉ có thể hỗ trợ cho các vụ kiện hoặc truy tố hình sự sau này,^[73] nhưng chỉ khi dữ liệu được thu thập theo đúng tiêu chuẩn pháp lý và đảm bảo chuỗi lưu giữ chứng cứ.^[74] Phân tích pháp y cơ sở dữ liệu (database forensics) có thể giúp xác định phạm vi các bản ghi bị ảnh hưởng, qua đó thu hẹp quy mô sự cố.^[75] Tuy nhiên, một cuộc điều tra chuyên sâu có thể tốn kém hơn cả chi phí kiện tụng.^[61] Tại Hoa Kỳ, các vụ rò rỉ dữ liệu có thể được điều tra bởi các cơ quan chính phủ như Văn phòng Quyền Công dân (Office for Civil Rights), Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ và Ủy ban Thương mại Liên bang (FTC).^[76] Các cơ quan thực thi pháp luật cũng có thể tham gia điều tra, nhưng những kẻ tấn công hiếm khi bị bắt giữ.^[77]

Các công ty thường gửi thông báo về vụ rò rỉ dữ liệu theo quy định của pháp luật.^[78] Nhiều doanh nghiệp cũng cung cấp dịch vụ giám sát tín dụng miễn phí cho những người bị ảnh hưởng, nhưng chỉ khoảng 5% số người đủ điều kiện thực sự sử dụng dịch vụ này.^[79] Việc phát hành thẻ tín dụng mới cho khách hàng – dù tốn kém – lại là một biện pháp hiệu quả để giảm nguy cơ gian lận thẻ tín dụng.^[79] Sau sự cố, các công ty nỗ lực khôi phục niềm tin của khách hàng và thực hiện các biện pháp nhằm ngăn chặn rò rỉ dữ liệu tái diễn.^[80]

Hậu quả

Đối với người dùng

Sau một vụ rò rỉ dữ liệu, tội phạm kiếm tiền bằng cách bán thông tin như tên người dùng, mật khẩu, tài khoản mạng xã hội hoặc tài khoản chương trình khách hàng thân thiết, số thẻ ghi nợ và thẻ tín dụng,^[15] cũng như dữ liệu y tế cá nhân.^[81] Tội phạm thường bán những dữ liệu này trên dark web – khu vực của internet nơi người dùng khó bị truy vết và các hoạt động phi pháp diễn ra phổ biến – thông qua các nền tảng như .onion hoặc I2P.^[82] Xuất hiện từ những năm 2000, cùng với sự ra đời của các loại tiền mã hóa khó truy vết như Bitcoin vào những năm 2010, dark web đã cho phép tội phạm buôn bán dữ liệu thu được từ các vụ rò rỉ với rủi ro bị bắt giữ tối thiểu, góp phần làm gia tăng các vụ tấn công mạng.^[83]^[84] Một chợ đen nổi tiếng trên dark web, Silk Road, đã bị triệt phá vào năm 2013 và các đối tượng điều hành bị bắt, nhưng nhiều nền tảng khác nhanh chóng xuất hiện thay thế.^[85] Ngoài ra, Telegram cũng là một kênh phổ biến để buôn bán dữ liệu bất hợp pháp.^[86]

Thông tin này có thể được sử dụng cho nhiều mục đích khác nhau, chẳng hạn như gửi thư rác, mua hàng bằng thông tin thanh toán hoặc tài khoản khách hàng thân thiết của nạn nhân, đánh cắp danh tính, gian lận đơn thuốc hoặc gian lận bảo hiểm.^[87] Ngoài ra, tin tặc có thể lợi dụng mối đe dọa rò rỉ dữ liệu hoặc công khai thông tin bị đánh cắp để tống tiền.^[15]

Người tiêu dùng có thể chịu tổn hại hữu hình hoặc vô hình khi dữ liệu cá nhân bị đánh cắp, hoặc thậm chí không nhận ra mình bị ảnh hưởng.^[88] Nhiều người trong số đó trở thành nạn nhân của hành vi đánh cắp danh tính.^[79] Thông tin nhận dạng của một người thường được lưu hành trên dark web trong nhiều năm, làm gia tăng nguy cơ bị đánh cắp danh tính dù các nỗ lực khắc phục có lớn cỡ nào.^[77]^[89] Ngay cả khi không phải gánh chịu tổn thất tài chính do gian lận thẻ tín dụng hoặc đánh cắp danh tính, người dùng vẫn phải tốn thời gian để giải quyết các vấn đề.^[90]^[91] Những tổn hại vô hình có thể bao gồm doxxing (bị công khai thông tin cá nhân), chẳng hạn như bị tiết lộ hồ sơ y tế hoặc ảnh riêng tư.^[92]

Đối với tổ chức

Hầu hết các vụ rò rỉ dữ liệu không gây thiệt hại kinh tế rõ ràng ngoài chi phí trực tiếp, mặc dù một số nghiên cứu cho thấy giá cổ phiếu có thể sụt giảm tạm thời trong ngắn hạn.^[93] Doanh nghiệp cũng có thể chịu ảnh hưởng theo nhiều cách khác, chẳng hạn như mất khách hàng, giảm năng suất do hệ thống ngừng hoạt động hoặc nhân sự phải chuyển sang xử lý sự cố,^[94] lãnh đạo cấp cao từ chức hoặc bị sa thải,^[76] tổn hại danh tiếng,^[76]^[95] và gia tăng chi phí kiểm toán hoặc bảo mật trong tương lai.^[76] Thiệt hại của người tiêu dùng do rò rỉ dữ liệu thường là một ngoại tác tiêu cực đối với doanh nghiệp.^[96] Một số chuyên gia cho rằng bằng chứng hiện có cho thấy chi phí trực tiếp và tổn hại danh tiếng từ các vụ rò rỉ dữ liệu không đủ lớn để tạo động lực mạnh mẽ cho doanh nghiệp ngăn chặn chúng.^[97]^[98]

Ước tính chi phí của các vụ rò rỉ dữ liệu không hề đơn giản, vì không phải tất cả các vụ đều được báo cáo và việc quy đổi tác động của chúng thành con số tài chính cũng không dễ dàng. Có nhiều cách để tính toán thiệt hại cho doanh nghiệp, đặc biệt là khi xét đến thời gian nhân sự phải bỏ ra để xử lý sự cố.^[99] Tác giả Kevvie Fowler ước tính rằng hơn một nửa chi phí trực tiếp mà các công ty phải gánh chịu đến từ các vụ kiện tụng và dịch vụ hỗ trợ cho những người bị ảnh hưởng, trong khi phần còn lại chủ yếu dành cho việc thông báo và phát hiện, bao gồm các cuộc điều tra pháp y. Ông cho rằng các chi phí này sẽ giảm nếu tổ chức đã đầu tư vào bảo mật từ trước hoặc có kinh nghiệm xử lý rò rỉ dữ liệu. Số lượng hồ sơ dữ liệu bị ảnh hưởng càng lớn, chi phí khắc phục sự cố càng cao.^[100] Năm 2016, nhà nghiên cứu Sasha Romanosky ước tính rằng mặc dù chi phí trung bình của một vụ rò rỉ dữ liệu đối với công ty bị ảnh hưởng vào khoảng 5 triệu USD, con số này bị đẩy lên cao bởi một số vụ rò rỉ đặc biệt tốn kém. Trên thực tế, hầu hết các vụ rò rỉ dữ liệu có chi phí thấp hơn nhiều, vào khoảng 200.000 USD. Ông cũng ước tính tổng thiệt hại hằng năm do rò rỉ dữ liệu đối với các doanh nghiệp tại Mỹ lên tới khoảng 10 tỷ USD.^[101]

Luật pháp

Thông báo

Luật về rò rỉ dữ liệu thường được quy định trong các đạo luật bảo vệ quyền riêng tư nói chung, với trọng tâm là yêu cầu thông báo khi vụ việc xảy ra.^[102] Tuy nhiên, các quy định này khác nhau đáng kể giữa các khu vực, từ cách xác định một vụ rò rỉ,^[3] loại thông tin được bảo vệ, thời hạn thông báo,^[5] cho đến việc ai có quyền khởi kiện khi luật bị vi phạm.^[103] Các quy định về thông báo rò rỉ dữ liệu giúp tăng cường tính minh bạch và tạo áp lực để các công ty nâng cao bảo mật.^[104] Việc thông báo vi phạm có thể tốn kém, đặc biệt khi số lượng người bị ảnh hưởng lớn, và chi phí này vẫn phải chịu dù công ty có lỗi trực tiếp hay không. Vì vậy, quy định này có thể xem như một hình thức phạt trách nhiệm nghiêm ngặt.^[105]

Tính đến năm 2024^{[cập nhật]}, Thomas on Data Breach đã liệt kê 62 quốc gia thành viên Liên Hợp Quốc có quy định về thông báo rò rỉ dữ liệu. Một số quốc gia khác cũng yêu cầu thông báo vi phạm trong khuôn khổ các luật bảo vệ dữ liệu chung.^[106] Ngay sau vụ rò rỉ dữ liệu đầu tiên được báo cáo vào tháng 4 năm 2002, bang California đã thông qua luật yêu cầu thông báo khi thông tin cá nhân của một cá nhân bị xâm phạm.^[8] Tại Hoa Kỳ, các luật về thông báo rò rỉ dữ liệu bắt đầu phát triển mạnh sau sự cố rò rỉ dữ liệu của ChoicePoint vào tháng 2 năm 2005. Vụ việc này thu hút sự chú ý rộng rãi không chỉ vì số lượng người bị ảnh hưởng lớn (hơn 140.000 người) mà còn do sự phẫn nộ khi công ty ban đầu chỉ thông báo cho những người bị ảnh hưởng ở California.^[107]^[108] Năm 2018, Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu có hiệu lực. GDPR yêu cầu các công ty thông báo về sự cố rò rỉ dữ liệu trong vòng 72 giờ, nếu không tuân thủ sẽ phải chịu mức phạt cao. Quy định này cũng thúc đẩy việc thắt chặt các luật bảo vệ quyền riêng tư về dữ liệu ở những nơi khác.^[109]^[110] Tính đến năm 2022^{[cập nhật]}, một luật liên bang Hoa Kỳ duy nhất yêu cầu thông báo về rò rỉ dữ liệu chỉ áp dụng cho dữ liệu y tế được quy định theo đạo luật HIPAA. Tuy nhiên, cả 50 bang (kể từ khi Alabama ban hành luật vào năm 2018) đều có luật riêng về thông báo rò rỉ dữ liệu.^[110]

Biện pháp bảo vệ

Các biện pháp bảo vệ dữ liệu khỏi rò rỉ thường không được luật pháp quy định cụ thể hoặc chỉ được đề cập một cách mơ hồ.^[102] Lấp đầy những khoảng trống này là các tiêu chuẩn do bảo hiểm an ninh mạng đặt ra, vốn được hầu hết các công ty lớn áp dụng và đóng vai trò như một quy định thực tế.^[111]^[112] Trong số các luật hiện có, có hai cách tiếp cận chính – một là quy định các tiêu chuẩn cụ thể cần tuân theo, và hai là dựa trên nguyên tắc hợp lý.^[113] Cách thứ nhất ít được sử dụng do thiếu tính linh hoạt và các nhà lập pháp ngại can thiệp vào các vấn đề kỹ thuật. Với cách tiếp cận thứ hai, luật có thể mơ hồ, nhưng các tiêu chuẩn cụ thể sẽ dần được định hình thông qua các phán quyết của tòa án.^[114] Các công ty thường ưu tiên tiếp cận theo tiêu chuẩn để đảm bảo tính chắc chắn về mặt pháp lý, nhưng họ có thể đáp ứng đầy đủ yêu cầu mà vẫn không thể cung cấp được một sản phẩm đủ an toàn.^[115] Một vấn đề khác là luật pháp thường bị thực thi lỏng lẻo, mức phạt lại thấp hơn nhiều so với thiệt hại do rò rỉ dữ liệu gây ra, khiến nhiều công ty không mấy quan tâm đến việc tuân thủ các luật đó.^[116]

Kiện tụng

Sau khi các vụ rò rỉ dữ liệu xảy ra, nhiều vụ kiện tập thể, kiện phái sinh và các tranh tụng khác đã được khởi xướng.^[117] Do chi phí kiện tụng quá cao, hầu hết các vụ này thường được dàn xếp ngoài tòa, bất kể tính hợp lý của đơn kiện.^[118]^[119] Ngay cả khi đạt được thỏa thuận bồi thường, hầu hết nạn nhân chỉ nhận được một khoản rất nhỏ, thường chỉ vài xu đến vài đô la.^[76]^[119] Hai nhà học giả pháp lý Daniel J. Solove và Woodrow Hartzog nhận định: "Kiện tụng khiến các vụ rò rỉ dữ liệu tốn kém hơn nhưng không đem lại nhiều kết quả thực chất."^[120] Nguyên đơn thường gặp khó khăn trong việc chứng minh rằng họ đã chịu thiệt hại từ một vụ rò rỉ dữ liệu.^[120] Mức độ ảnh hưởng của hành động từ phía công ty đối với vụ rò rỉ cũng khác nhau,^[116]^[121] và trách nhiệm pháp lý đối với thiệt hại gây ra vẫn là một vấn đề tranh cãi. Hiện vẫn chưa có sự đồng thuận về tiêu chuẩn cần áp dụng – liệu đó nên là trách nhiệm tuyệt đối, sơ suất hay một hình thức khác.^[121]

Xem thêm

Tham khảo

Chú thích

^ ^a ^b Solove & Hartzog 2022, tr. 5.
^ ^a ^b Fowler 2016, tr. 2.
^ ^a ^b Solove & Hartzog 2022, tr. 41.
^ Shukla et al. 2022, tr. 47–48.
^ ^a ^b Solove & Hartzog 2022, tr. 42.
^ ^a ^b Fowler 2016, tr. 45.
^ Joerling 2010, tr. 468 fn 7.
^ ^a ^b Lesemann 2010, tr. 206.
^ Solove & Hartzog 2022, tr. 18.
^ Solove & Hartzog 2022, tr. 29.
^ Solove & Hartzog 2022, tr. 17–18.
^ Johnson & I. Millett 2016, tr. 9.
^ Crawley 2021, tr. 46.
^ Fowler 2016, tr. 7–8.
^ ^a ^b ^c Fowler 2016, tr. 13.
^ Fowler 2016, tr. 9–10.
^ Fowler 2016, tr. 10–11.
^ Kaster & Ensign 2023, tr. 355.
^ Ablon & Bogart 2017, tr. 1.
^ ^a ^b Ablon & Bogart 2017, tr. 2.
^ ^a ^b Daswani & Elbayadi 2021, tr. 25.
^ Seaman 2020, tr. 47–48.
^ Daswani & Elbayadi 2021, tr. 26–27.
^ Sloan & Warner 2019, tr. 104–105.
^ Daswani & Elbayadi 2021, tr. 19–22.
^ Ntantogian, Malliaros & Xenakis 2019.
^ ^a ^b Daswani & Elbayadi 2021, tr. 22–23.
^ ^a ^b Fowler 2016, tr. 19–20.
^ ^a ^b Sloan & Warner 2019, tr. 94.
^ Makridis 2021, tr. 3.
^ Daswani & Elbayadi 2021, tr. 16–19.
^ Sloan & Warner 2019, tr. 106–107.
^ Daswani & Elbayadi 2021, tr. 28.
^ Fowler 2016, tr. 19.
^ Fowler 2016, tr. 18–19.
^ Daswani & Elbayadi 2021, tr. 31–32.
^ Solove & Hartzog 2022, tr. 69–70.
^ Daswani & Elbayadi 2021, tr. 7, 9–10.
^ Daswani & Elbayadi 2021, tr. 200–201.
^ Trần Ngọc Tuấn (ngày 28 tháng 11 năm 2022). "Quyền riêng tư trong pháp y kỹ thuật số". Tạp chí Điện tử Kiểm sát. ISSN 3030-4202. Truy cập ngày 30 tháng 3 năm 2025.
^ Daswani & Elbayadi 2021, tr. 203–204.
^ Daswani & Elbayadi 2021, tr. 205.
^ Daswani & Elbayadi 2021, tr. 206–207.
^ Fisher et al. 2024, Title page.
^ Fisher et al. 2024, tr. 2.
^ Fowler 2016, tr. 210.
^ ^a ^b Daswani & Elbayadi 2021, tr. 217.
^ Daswani & Elbayadi 2021, tr. 215–216.
^ Tjoa et al. 2024, tr. 14.
^ Lenhard 2022, tr. 53.
^ Daswani & Elbayadi 2021, tr. 218.
^ Daswani & Elbayadi 2021, tr. 218–219.
^ Daswani & Elbayadi 2021, tr. 314–315.
^ Tjoa et al. 2024, tr. 68.
^ Lenhard 2022, tr. 60.
^ Fowler 2016, tr. 184.
^ Solove & Hartzog 2022, tr. 146.
^ Tjoa et al. 2024, tr. 69.
^ Crawley 2021, tr. 39.
^ Fowler 2016, tr. 64.
^ ^a ^b Johnson & I. Millett 2016, tr. 25.
^ Fowler 2016, tr. 4.
^ Crawley 2021, tr. 97.
^ Fowler 2016, tr. 5, 32.
^ Fowler 2016, tr. 86.
^ Fowler 2016, tr. 94.
^ Fowler 2016, tr. 4–5.
^ Fowler 2016, tr. 120–122.
^ Fowler 2016, tr. 116.
^ Fowler 2016, tr. 117–118.
^ Fowler 2016, tr. 119.
^ Fowler 2016, tr. 124.
^ Fowler 2016, tr. 81–82.
^ Fowler 2016, tr. 83.
^ Fowler 2016, tr. 128.
^ ^a ^b ^c ^d ^e Johnson & I. Millett 2016, tr. 22.
^ ^a ^b Solove & Hartzog 2022, tr. 58.
^ Fowler 2016, tr. 5, 44.
^ ^a ^b ^c Johnson & I. Millett 2016, tr. 13.
^ Fowler 2016, tr. 5–6.
^ Fowler 2016, tr. 14.
^ Fowler 2016, tr. 12–13.
^ Davidoff 2019, "Modern dark data brokers".
^ Solove & Hartzog 2022, tr. 21.
^ Howell, Christian Jordan; Maimon, David (ngày 2 tháng 12 năm 2022). "Darknet markets generate millions in revenue selling stolen personal data, supply chain study finds" [Các chợ đen trên darknet thu về hàng triệu USD từ việc buôn bán dữ liệu cá nhân bị đánh cắp, theo một nghiên cứu về chuỗi cung ứng]. The Conversation. Truy cập ngày 22 tháng 4 năm 2024.
^ Garkava, Taisiia; Moneva, Asier; Leukfeldt, E. Rutger (2024). "Stolen data markets on Telegram: A crime script analysis and situational crime prevention measures" [Các chợ buôn bán dữ liệu bị đánh cắp trên Telegram: Phân tích kịch bản tội phạm và các biện pháp phòng chống tội phạm theo tình huống]. Trends in Organized Crime. doi:10.1007/s12117-024-09532-6.
^ Fowler 2016, tr. 13–14.
^ Johnson & I. Millett 2016, tr. 27.
^ Johnson & I. Millett 2016, tr. 30–31.
^ Johnson & I. Millett 2016, tr. 29.
^ Solove & Hartzog 2022, tr. 56.
^ Johnson & I. Millett 2016, tr. 27–29.
^ Makridis 2021, tr. 1.
^ Fowler 2016, tr. 22.
^ Fowler 2016, tr. 41.
^ Sloan & Warner 2019, tr. 104.
^ Makridis 2021, tr. 1, 7.
^ Sloan & Warner 2019, tr. 64.
^ Johnson & I. Millett 2016, tr. 8–10.
^ Fowler 2016, tr. 21.
^ Johnson & I. Millett 2016, tr. 10.
^ ^a ^b Solove & Hartzog 2022, tr. 10.
^ Solove & Hartzog 2022, tr. 43.
^ Solove & Hartzog 2022, tr. 44.
^ Solove & Hartzog 2022, tr. 45.
^ Thomas 2023, tr. xxvii, xxix, xxxii-xxxiii, xxxiv.
^ Lesemann 2010, tr. 206–207.
^ Joerling 2010, tr. 468–469.
^ Seaman 2020, tr. 6–7.
^ ^a ^b Solove & Hartzog 2022, tr. 40.
^ Johnson & I. Millett 2016, tr. 24.
^ Talesh 2018, tr. 237.
^ Solove & Hartzog 2022, tr. 48.
^ Solove & Hartzog 2022, tr. 48–49.
^ Solove & Hartzog 2022, tr. 52.
^ ^a ^b Solove & Hartzog 2022, tr. 53.
^ Fowler 2016, tr. 5.
^ Fowler 2016, tr. 222.
^ ^a ^b Solove & Hartzog 2022, tr. 55, 59.
^ ^a ^b Solove & Hartzog 2022, tr. 55.
^ ^a ^b Johnson & I. Millett 2016, tr. 23.

Nguồn

Tài liệu

Ablon, Lillian; Bogart, Andy (2017). Zero Days, Thousands of Nights: The Life and Times of Zero-Day Vulnerabilities and Their Exploits [Không ngày, ngàn đêm: Cuộc đời và thời đại của các lỗ hổng zero-day và cách chúng bị khai thác] (PDF) (bằng tiếng Anh). Rand Corporation. ISBN 978-0-8330-9761-3.
Crawley, Kim (2021). 8 Steps to Better Security: A Simple Cyber Resilience Guide for Business [8 bước nâng cao an ninh: Cẩm nang đơn giản về khả năng phục hồi mạng dành cho doanh nghiệp] (bằng tiếng Anh). John Wiley & Sons. ISBN 978-1-119-81124-4.
Daswani, Neil; Elbayadi, Moudy (2021). Big Breaches: Cybersecurity Lessons for Everyone [Những vụ rò rỉ dữ liệu lớn: Bài học về an ninh mạng dành cho tất cả mọi người] (bằng tiếng Anh). Apress. ISBN 978-1-4842-6654-0.
Davidoff, Sherri (2019). Data Breaches: Crisis and Opportunity [Rò rỉ dữ liệu: Khủng hoảng và cơ hội] (bằng tiếng Anh). Addison-Wesley Professional. ISBN 978-0-13-450772-9.
Fisher, William; Craft, R. Eugene; Ekstrom, Michael; Sexton, Julian; Sweetnam, John (2024). Data Confidentiality: Identifying and Protecting Assets Against Data Breaches [Bảo mật dữ liệu: Nhận diện và bảo vệ tài sản trước các vụ rò rỉ dữ liệu] (PDF) (Báo cáo). NIST Special Publications (bằng tiếng Anh). Viện Tiêu chuẩn và Kỹ thuật Quốc gia Hoa Kỳ.
Fowler, Kevvie (2016). Data Breach Preparation and Response: Breaches are Certain, Impact is Not [Chuẩn bị và ứng phó với rò rỉ dữ liệu: Sự cố là điều chắc chắn, nhưng có thể giảm thiểu thiệt hại] (bằng tiếng Anh). Elsevier Science. ISBN 978-0-12-803451-4.
Joerling, Jill (2010). "Data Breach Notification Laws: An Argument for a Comprehensive Federal Law to Protect Consumer Data" [Luật thông báo rò rỉ dữ liệu: Lập luận cho một đạo luật liên bang toàn diện nhằm bảo vệ dữ liệu người tiêu dùng]. Washington University Journal of Law and Policy (bằng tiếng Anh). 32: 467.
Kaster, Sean D.; Ensign, Prescott C. (2023). "Privatized espionage: NSO Group Technologies and its Pegasus spyware" [Gián điệp tư nhân hóa: Công nghệ NSO Group và phần mềm gián điệp Pegasus]. Thunderbird International Business Review (bằng tiếng Anh). 65 (3): 355–364. doi:10.1002/tie.22321.
Lenhard, Thomas H. (2022). Data Security: Technical and Organizational Protection Measures against Data Loss and Computer Crime [An ninh dữ liệu: Các biện pháp kỹ thuật và tổ chức nhằm phòng ngừa trước mất dữ liệu và tội phạm công nghệ cao] (bằng tiếng Anh). Springer Nature. ISBN 978-3-658-35494-7.
Lesemann, Dana J. (2010). "One More unto the Breach: An Analysis of Legal, Technological, and Policy Issues Involving Data Breach Notification Statutes" [Thêm một lần đối mặt rò rỉ: Phân tích các vấn đề pháp lý, công nghệ và chính sách liên quan đến luật thông báo rò rỉ dữ liệu]. Akron Intellectual Property Journal (bằng tiếng Anh). 4: 203.
Makridis, Christos A (2021). "Do data breaches damage reputation? Evidence from 45 companies between 2002 and 2018" [Tác động của rò rỉ dữ liệu đến danh tiếng doanh nghiệp: Bằng chứng thực nghiệm từ 45 công ty giai đoạn 2002–2018]. Journal of Cybersecurity (bằng tiếng Anh). 7 (1). doi:10.1093/cybsec/tyab021.
Johnson, Anne; I. Millett, Lynette (2016). "Forum on Cyber Resilience Workshop Series". Data Breach Aftermath and Recovery for Individuals and Institutions: Proceedings of a Workshop [Hậu quả và phục hồi sau rò rỉ dữ liệu: Kỷ yếu hội thảo dành cho cá nhân và tổ chức] (bằng tiếng Anh). National Academies Press. ISBN 978-0-309-44505-4.
Ntantogian, Christoforos; Malliaros, Stefanos; Xenakis, Christos (2019). "Evaluation of password hashing schemes in open source web platforms" [Đánh giá các phương pháp băm mật khẩu trong các nền tảng web mã nguồn mở]. Computers & Security (bằng tiếng Anh). 84: 206–224. doi:10.1016/j.cose.2019.03.011.
Seaman, Jim (2020). PCI DSS: An Integrated Data Security Standard Guide [PCI DSS: Hướng dẫn tích hợp về tiêu chuẩn an ninh dữ liệu] (bằng tiếng Anh). Apress. ISBN 978-1-4842-5808-8.
Shukla, Samiksha; George, Jossy P.; Tiwari, Kapil; Kureethara, Joseph Varghese (2022). Data Ethics and Challenges [Đạo đức trong quản lý dữ liệu và các thách thức đặt ra] (bằng tiếng Anh). Springer Nature. ISBN 978-981-19-0752-4.
Sloan, Robert H.; Warner, Richard (2019). Why Don't We Defend Better?: Data Breaches, Risk Management, and Public Policy [Rò rỉ dữ liệu, quản lý rủi ro và chính sách công: Vì sao năng lực phòng vệ còn hạn chế?] (bằng tiếng Anh). CRC Press. ISBN 978-1-351-12729-5.
Solove, Daniel J.; Hartzog, Woodrow (2022). Breached!: Why Data Security Law Fails and How to Improve it [Rò rỉ!: Vì sao luật an ninh dữ liệu thất bại và làm sao để cải thiện] (bằng tiếng Anh). Oxford University Press. ISBN 978-0-19-094057-7.
Talesh, Shauhin A. (2018). "Data Breach, Privacy, and Cyber Insurance: How Insurance Companies Act as "Compliance Managers" for Businesses" [Rò rỉ dữ liệu, quyền riêng tư và bảo hiểm mạng: Cách các công ty bảo hiểm đóng vai trò 'quản lý tuân thủ' cho doanh nghiệp]. Law & Social Inquiry (bằng tiếng Anh). 43 (2): 417–440. doi:10.1111/lsi.12303.
Thomas, Liisa M. (2023). Thomas on Data Breach: A Practical Guide to Handling Data Breach Notifications Worldwide [Thomas bàn về rò rỉ dữ liệu: Hướng dẫn thực tiễn về xử lý thông báo rò rỉ dữ liệu trên toàn thế giới] (PDF) (bằng tiếng Anh). Thomson Reuters. ISBN 978-1-7319-5405-3.
Tjoa, Simon; Gafić, Melisa; Kieseberg, Peter (2024). Cyber Resilience Fundamentals [Kiến thức nền tảng về khả năng chống chịu mạng] (bằng tiếng Anh). Springer Nature. ISBN 978-3-031-52064-8.

[FOOTNOTESoloveHartzog20225-1] Solove & Hartzog 2022, tr. 5.

[FOOTNOTEFowler20162-2] Fowler 2016, tr. 2.

[FOOTNOTESoloveHartzog202241-3] Solove & Hartzog 2022, tr. 41.

[FOOTNOTEShukla_et_al.202247–48-4] Shukla et al. 2022, tr. 47–48.

[FOOTNOTESoloveHartzog202242-5] Solove & Hartzog 2022, tr. 42.

[FOOTNOTEFowler201645-6] Fowler 2016, tr. 45.

[FOOTNOTEJoerling2010468_fn_7-7] Joerling 2010, tr. 468 fn 7.

[FOOTNOTELesemann2010206-8] Lesemann 2010, tr. 206.

[FOOTNOTESoloveHartzog202218-9] Solove & Hartzog 2022, tr. 18.

[FOOTNOTESoloveHartzog202229-10] Solove & Hartzog 2022, tr. 29.

[FOOTNOTESoloveHartzog202217–18-11] Solove & Hartzog 2022, tr. 17–18.

[FOOTNOTEJohnsonI._Millett20169-12] Johnson & I. Millett 2016, tr. 9.

[FOOTNOTECrawley202146-13] Crawley 2021, tr. 46.

[FOOTNOTEFowler20167–8-14] Fowler 2016, tr. 7–8.

[FOOTNOTEFowler201613-15] Fowler 2016, tr. 13.

[FOOTNOTEFowler20169–10-16] Fowler 2016, tr. 9–10.

[FOOTNOTEFowler201610–11-17] Fowler 2016, tr. 10–11.

[FOOTNOTEKasterEnsign2023355-18] Kaster & Ensign 2023, tr. 355.

[FOOTNOTEAblonBogart20171-19] Ablon & Bogart 2017, tr. 1.

[FOOTNOTEAblonBogart20172-20] Ablon & Bogart 2017, tr. 2.

[FOOTNOTEDaswaniElbayadi202125-21] Daswani & Elbayadi 2021, tr. 25.

[FOOTNOTESeaman202047–48-22] Seaman 2020, tr. 47–48.

[FOOTNOTEDaswaniElbayadi202126–27-23] Daswani & Elbayadi 2021, tr. 26–27.

[FOOTNOTESloanWarner2019104–105-24] Sloan & Warner 2019, tr. 104–105.

[FOOTNOTEDaswaniElbayadi202119–22-25] Daswani & Elbayadi 2021, tr. 19–22.

[FOOTNOTENtantogianMalliarosXenakis2019-26] Ntantogian, Malliaros & Xenakis 2019.

[FOOTNOTEDaswaniElbayadi202122–23-27] Daswani & Elbayadi 2021, tr. 22–23.

[FOOTNOTEFowler201619–20-28] Fowler 2016, tr. 19–20.

[FOOTNOTESloanWarner201994-29] Sloan & Warner 2019, tr. 94.

[FOOTNOTEMakridis20213-30] Makridis 2021, tr. 3.

[FOOTNOTEDaswaniElbayadi202116–19-31] Daswani & Elbayadi 2021, tr. 16–19.

[FOOTNOTESloanWarner2019106–107-32] Sloan & Warner 2019, tr. 106–107.

[FOOTNOTEDaswaniElbayadi202128-33] Daswani & Elbayadi 2021, tr. 28.

[FOOTNOTEFowler201619-34] Fowler 2016, tr. 19.

[FOOTNOTEFowler201618–19-35] Fowler 2016, tr. 18–19.

[FOOTNOTEDaswaniElbayadi202131–32-36] Daswani & Elbayadi 2021, tr. 31–32.

[FOOTNOTESoloveHartzog202269–70-37] Solove & Hartzog 2022, tr. 69–70.

[FOOTNOTEDaswaniElbayadi20217,_9–10-38] Daswani & Elbayadi 2021, tr. 7, 9–10.

[FOOTNOTEDaswaniElbayadi2021200–201-39] Daswani & Elbayadi 2021, tr. 200–201.

[40] Trần Ngọc Tuấn (ngày 28 tháng 11 năm 2022). "Quyền riêng tư trong pháp y kỹ thuật số". Tạp chí Điện tử Kiểm sát. ISSN 3030-4202. Truy cập ngày 30 tháng 3 năm 2025.

[FOOTNOTEDaswaniElbayadi2021203–204-41] Daswani & Elbayadi 2021, tr. 203–204.

[FOOTNOTEDaswaniElbayadi2021205-42] Daswani & Elbayadi 2021, tr. 205.

[FOOTNOTEDaswaniElbayadi2021206–207-43] Daswani & Elbayadi 2021, tr. 206–207.

[FOOTNOTEFisher_''et_al.''2024Title_page-44] Fisher et al. 2024, Title page.

[FOOTNOTEFisher_''et_al.''20242-45] Fisher et al. 2024, tr. 2.

[FOOTNOTEFowler2016210-46] Fowler 2016, tr. 210.

[FOOTNOTEDaswaniElbayadi2021217-47] Daswani & Elbayadi 2021, tr. 217.

[FOOTNOTEDaswaniElbayadi2021215–216-48] Daswani & Elbayadi 2021, tr. 215–216.

[FOOTNOTETjoa_''et_al.''202414-49] Tjoa et al. 2024, tr. 14.

[FOOTNOTELenhard202253-50] Lenhard 2022, tr. 53.

[FOOTNOTEDaswaniElbayadi2021218-51] Daswani & Elbayadi 2021, tr. 218.

[FOOTNOTEDaswaniElbayadi2021218–219-52] Daswani & Elbayadi 2021, tr. 218–219.

[FOOTNOTEDaswaniElbayadi2021314–315-53] Daswani & Elbayadi 2021, tr. 314–315.

[FOOTNOTETjoa_''et_al.''202468-54] Tjoa et al. 2024, tr. 68.

[FOOTNOTELenhard202260-55] Lenhard 2022, tr. 60.

[FOOTNOTEFowler2016184-56] Fowler 2016, tr. 184.

[FOOTNOTESoloveHartzog2022146-57] Solove & Hartzog 2022, tr. 146.

[FOOTNOTETjoa_''et_al.''202469-58] Tjoa et al. 2024, tr. 69.

[FOOTNOTECrawley202139-59] Crawley 2021, tr. 39.

[FOOTNOTEFowler201664-60] Fowler 2016, tr. 64.

[FOOTNOTEJohnsonI._Millett201625-61] Johnson & I. Millett 2016, tr. 25.

[FOOTNOTEFowler20164-62] Fowler 2016, tr. 4.

[FOOTNOTECrawley202197-63] Crawley 2021, tr. 97.

[FOOTNOTEFowler20165,_32-64] Fowler 2016, tr. 5, 32.

[FOOTNOTEFowler201686-65] Fowler 2016, tr. 86.

[FOOTNOTEFowler201694-66] Fowler 2016, tr. 94.

[FOOTNOTEFowler20164–5-67] Fowler 2016, tr. 4–5.

[FOOTNOTEFowler2016120–122-68] Fowler 2016, tr. 120–122.

[FOOTNOTEFowler2016116-69] Fowler 2016, tr. 116.

[FOOTNOTEFowler2016117–118-70] Fowler 2016, tr. 117–118.

[FOOTNOTEFowler2016119-71] Fowler 2016, tr. 119.

[FOOTNOTEFowler2016124-72] Fowler 2016, tr. 124.

[FOOTNOTEFowler201681–82-73] Fowler 2016, tr. 81–82.

[FOOTNOTEFowler201683-74] Fowler 2016, tr. 83.

[FOOTNOTEFowler2016128-75] Fowler 2016, tr. 128.

[FOOTNOTEJohnsonI._Millett201622-76] Johnson & I. Millett 2016, tr. 22.

[FOOTNOTESoloveHartzog202258-77] Solove & Hartzog 2022, tr. 58.

[FOOTNOTEFowler20165,_44-78] Fowler 2016, tr. 5, 44.

[FOOTNOTEJohnsonI._Millett201613-79] Johnson & I. Millett 2016, tr. 13.

[FOOTNOTEFowler20165–6-80] Fowler 2016, tr. 5–6.

[FOOTNOTEFowler201614-81] Fowler 2016, tr. 14.

[FOOTNOTEFowler201612–13-82] Fowler 2016, tr. 12–13.

[FOOTNOTEDavidoff2019"Modern_dark_data_brokers"-83] Davidoff 2019, "Modern dark data brokers".

[FOOTNOTESoloveHartzog202221-84] Solove & Hartzog 2022, tr. 21.

[85] Howell, Christian Jordan; Maimon, David (ngày 2 tháng 12 năm 2022). "Darknet markets generate millions in revenue selling stolen personal data, supply chain study finds" [Các chợ đen trên darknet thu về hàng triệu USD từ việc buôn bán dữ liệu cá nhân bị đánh cắp, theo một nghiên cứu về chuỗi cung ứng]. The Conversation. Truy cập ngày 22 tháng 4 năm 2024.

[86] Garkava, Taisiia; Moneva, Asier; Leukfeldt, E. Rutger (2024). "Stolen data markets on Telegram: A crime script analysis and situational crime prevention measures" [Các chợ buôn bán dữ liệu bị đánh cắp trên Telegram: Phân tích kịch bản tội phạm và các biện pháp phòng chống tội phạm theo tình huống]. Trends in Organized Crime. doi:10.1007/s12117-024-09532-6.

[FOOTNOTEFowler201613–14-87] Fowler 2016, tr. 13–14.

[FOOTNOTEJohnsonI._Millett201627-88] Johnson & I. Millett 2016, tr. 27.

[FOOTNOTEJohnsonI._Millett201630–31-89] Johnson & I. Millett 2016, tr. 30–31.

[FOOTNOTEJohnsonI._Millett201629-90] Johnson & I. Millett 2016, tr. 29.

[FOOTNOTESoloveHartzog202256-91] Solove & Hartzog 2022, tr. 56.

[FOOTNOTEJohnsonI._Millett201627–29-92] Johnson & I. Millett 2016, tr. 27–29.

[FOOTNOTEMakridis20211-93] Makridis 2021, tr. 1.

[FOOTNOTEFowler201622-94] Fowler 2016, tr. 22.

[FOOTNOTEFowler201641-95] Fowler 2016, tr. 41.

[FOOTNOTESloanWarner2019104-96] Sloan & Warner 2019, tr. 104.

[FOOTNOTEMakridis20211,_7-97] Makridis 2021, tr. 1, 7.

[FOOTNOTESloanWarner201964-98] Sloan & Warner 2019, tr. 64.

[FOOTNOTEJohnsonI._Millett20168–10-99] Johnson & I. Millett 2016, tr. 8–10.

[FOOTNOTEFowler201621-100] Fowler 2016, tr. 21.

[FOOTNOTEJohnsonI._Millett201610-101] Johnson & I. Millett 2016, tr. 10.

[FOOTNOTESoloveHartzog202210-102] Solove & Hartzog 2022, tr. 10.

[FOOTNOTESoloveHartzog202243-103] Solove & Hartzog 2022, tr. 43.

[FOOTNOTESoloveHartzog202244-104] Solove & Hartzog 2022, tr. 44.

[FOOTNOTESoloveHartzog202245-105] Solove & Hartzog 2022, tr. 45.

[FOOTNOTEThomas2023xxvii,_xxix,_xxxii-xxxiii,_xxxiv-106] Thomas 2023, tr. xxvii, xxix, xxxii-xxxiii, xxxiv.

[FOOTNOTELesemann2010206–207-107] Lesemann 2010, tr. 206–207.

[FOOTNOTEJoerling2010468–469-108] Joerling 2010, tr. 468–469.

[FOOTNOTESeaman20206–7-109] Seaman 2020, tr. 6–7.

[FOOTNOTESoloveHartzog202240-110] Solove & Hartzog 2022, tr. 40.

[FOOTNOTEJohnsonI._Millett201624-111] Johnson & I. Millett 2016, tr. 24.

[FOOTNOTETalesh2018237-112] Talesh 2018, tr. 237.

[FOOTNOTESoloveHartzog202248-113] Solove & Hartzog 2022, tr. 48.

[FOOTNOTESoloveHartzog202248–49-114] Solove & Hartzog 2022, tr. 48–49.

[FOOTNOTESoloveHartzog202252-115] Solove & Hartzog 2022, tr. 52.

[FOOTNOTESoloveHartzog202253-116] Solove & Hartzog 2022, tr. 53.

[FOOTNOTEFowler20165-117] Fowler 2016, tr. 5.

[FOOTNOTEFowler2016222-118] Fowler 2016, tr. 222.

[FOOTNOTESoloveHartzog202255,_59-119] Solove & Hartzog 2022, tr. 55, 59.

[FOOTNOTESoloveHartzog202255-120] Solove & Hartzog 2022, tr. 55.

[FOOTNOTEJohnsonI._Millett201623-121] Johnson & I. Millett 2016, tr. 23.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

[47]

[48]

[49]

[50]

[51]

[52]

[53]

[54]

[55]

[56]

[57]

[58]

[59]

[60]

[61]

[62]

[63]

[64]

[65]

[66]

[67]

[68]

[69]

[70]

[71]

[72]

[73]

[74]

[75]

[76]

[77]

[78]

[79]

[80]

[81]

[82]

[83]

[84]

[85]

[86]

[87]

[88]

[89]

[90]

[91]

[92]

[93]

[94]

[95]

[96]

[97]

[98]

[99]

[100]