Phản ánh đến Báo Lao động và Xã hội (báo dân sinh), anh Vũ Thế Dương, trú tại phường Kiến Hưng, quận Hà Đông – Hà Nội, cho biết, ngày 13/06/2023, tài khoản chứng khoán của anh đã bị kẻ xấu đánh cấp thông tin và giao dịch mua bán bất thường. Cụ thể, số cổ phiếu mã C47 của anh có giá trị khoảng 300 triệu đồng đã bị kẻ xấu bán gần như toàn bộ. Sau đó mua vào các cổ phiếu rác không có giá trị.
Sau khi bán cổ phiếu mã C47, kẻ xấu đã mua vào các mã SGD giá trị 37,202,000 đồng; PJS giá trị 79,840,000 đồng; SDU giá trị 40,500,000 đồng và SIC giá trị 99,840,000 đồng. Những cổ phiếu bị đặt mua đều là những cổ phiếu không có thanh khoản, giảm sàn liên tiếp nhiều phiên sau đó. Còn cổ phiếu chủ lực ban đầu là C47 đã có những nhịp tăng ngay sau đó, gây thiệt hại không nhỏ về lợi nhuận đầu tư.
Theo anh Dương, ngay thời điểm phát hiện giao dịch bất thường liên quan tới bảo mật của hệ thống, anh đã liên hệ với Công ty Cổ phần Chứng khoán VPS – là đơn vị cung cấp dịch vụ (Công ty VPS), trụ sở 65 Cảm Hội, Phường Đống Mác, Quận Hai Bà Trưng, Hà Nội, qua tổng đài, email và nhân viên quản lý tài khoản để kiểm tra và được hướng dẫn thay đổi mật khẩu.
“Đến ngày 14/06/2023, tôi nhận được thông báo từ VPS về việc không xác định được thông tin giao dịch bất thường và chuyển công an điều tra thêm. Đến nay đã hơn 2 tháng trôi qua, nhưng vẫn chưa nhận được câu trả lời thỏa đáng từ VPS khiến tôi rất thất vọng” – anh D. bức xúc.
Anh Dương hoang mang, trước đó, ngày 09/06/2023, phía VPS đã gửi cảnh báo đổi mật khẩu và tôi cũng đã thực hiện theo hướng dẫn, nhưng vẫn bị lộ và bị bán sạch. Nghiêm trọng hơn, sau khi tìm hiểu qua mạng xã hội, chúng tôi còn phát hiện có đối tượng rao bán dữ liệu cá nhân, trong đó có dữ liệu về thông tin tài khoản chứng khoán của chúng tôi tại VPS.
Không riêng gì anh Dương, chị Nguyễn Thị Diễm Thùy (SN 1983, ngụ TP Hồ Chí Minh), bức xúc: "Tôi có mở hai tài khoản chứng khoán tại Công ty VPS, có chi nhánh tại tầng 3, số 76 Lê Lai, phường Bến Thành, quận 1, TP.HCM cho mình và mẹ ruột là bà Nguyễn Thị Luận. Cả hai tài khoản trên, tôi có mua một số cổ phiếu với tổng giá trị khi bán ra hơn 1,1 tỷ đồng.
Trong đơn phản ánh, chị Thùy cho biết, ngày 1/6/2023,tôi nhận được tin nhắn của Công ty VPS rằng mật khẩu tài khoản bị lộ. Các bạn tư vấn viên đều khuyến nghị khách hàng của mình đổi mật khẩu. Ngay trong ngày, tôi đã tiến hành đổi mật khẩu mới hoàn toàn so với các mật khẩu trước đây theo khuyến cáo của VPS, thế nhưng đến ngày 13/6/2023, bắt đầu vào khoảng 13:14 phút, cả hai tài khoản chứng khoán của tôi bị đăng nhập bất hợp pháp và bán hết toàn bộ các cổ phiếu trong danh mục và cả hai tài khoản đều cùng mua lại đúng duy nhất là một mã chứng khoán mà kẻ xấu đã chuẩn bị trước với giá trên trời và không một ai giao dịch mua bán.
Theo chị Thùy, do đặc thù chứng khoán khi bán ra phải rút tiền về chính chủ tài khoản ngân hàng nên kẻ xấu đã dùng một mã cổ phiếu không người giao dịch để bán giá cao. “Tiền bọn chúng cướp được từ việc mua cổ phiếu từ tài khoản tôi là thật, nhưng tôi thì nhận lại mớ cổ phiếu như tờ giấy lộn, không ai giao dịch mua bán” – Chị Thùy cay đắng.
“Chi tiết mua bán cổ phiếu bắt đầu từ 13h ngày 13/06/2023 đều là của bọn hacker và lịch sử giao dịch khớp lệnh được đính kèm theo đơn. Sau khi đăng tải sự việc lên mạng xã hội, có một đối tượng đã liên hệ với tôi và cho biết có bằng chứng VPS lộ thông tin và mật khẩu 1.200 khách hàng. Sau khi tôi cho đối tượng vào group cộng đồng chứng khoán để kiểm tra thì mọi người đều vỡ lẽ, bởi khi các thành viên cung cấp số điện thoại, tài khoản, thì đối tượng kia đã đọc đúng tài khoản và mật khẩu, địa chỉ, số điện thoại, đồng thời đòi bán dữ liệu cho nhóm là 100 triệu để làm bằng chứng kiện VPS, nhưng chúng tôi sợ vi phạm pháp luật khi mua bán dữ liệu cá nhân nên không mua. Giờ hacker trước mặt mà mọi người trong nhóm không biết làm sao để bắt chúng được” – chị Thùy bất lực.
Tương tự như chị Thùy, anh Nguyễn Hữu Điền, tạm trú phường 6, quận Bình Thạnh, TP Hồ Chí Minh, bức xúc: “Ngày 12/6, tôi bị kẻ gian đánh cắp thông tin và giao dịch mua bán bất thường trên tài khoản, tổng giá trị thiệt hại gần 200 triệu đồng. Cụ thể, đối tượng đã bán các mã cổ phiếu BOT, CTC, NBB, PTL, PVP, TNT, và mua vào các cổ phiếu SGD trên tài khoản chứng khoán của tôi tại VPS tổng giá trị gần 200 triệu đồng". Mã chứng khoán SGD bị mua vào nêu trên không có giá trị thanh khoản trên thị trường.
Anh Điền cho hay, khi phát hiện giao dịch bất thường trên tài khoản của mình, tôi đã liên hệ với Công ty VPS – là đơn vị cung cấp dịch vụ để thông báo nhằm ngăn chặn. Tuy nhiên, đến ngày 13/6, tôi nhận được thông báo từ Công ty VPS về việc không xác định được thông tin giao dịch bất thường và yêu cầu tôi phản ánh đến cơ quan chức năng khác điều tra, xử lý.
Điểm chung trong sự việc trên là trước khi bị kẻ xấu xâm nhập tài khoản, chiếm đoạt tài sản thì những nạn nhân trên đều nhận được cảnh báo của phía VPS về việc lộ mật khẩu và khuyến cáo đổi mật khẩu, nhưng sau đó vẫn xảy ra sự việc đáng tiếc trên. Điều này chứng tỏ có khả năng phía VPS đã nắm bắt được lỗ hổng bảo mật, nhưng vẫn không ngăn chặn được triệt để.
Để làm sáng tỏ vụ việc, chúng tôi đã gửi nội dung làm việc với phía VPS, tuy nhiên đến nay đã nửa tháng trôi qua, nhưng phía VPS vẫn chưa có phản hồi chính thức.
Trao đổi với chúng tôi về sự việc trên, bà Phạm Thị Hương – Phó Chánh thanh tra Ủy ban Chứng khoán Nhà nước (UBCKNN) cho biết, vừa qua có rất nhiều khách hàng của VPS đã gửi đơn kiến nghị đến UBCKNN về việc bị kẻ xấu xâm nhập vào tài khoản chứng khoán để chiếm đoạt. Hiện nay sự việc đã được cơ quan công an đã vào cuộc điều tra”.
Giám đốc tư vấn đầu tư nhận ủy quyền để thực hiện toàn bộ giao dịch của khách hàng
Liên quan đến việc Giám đốc tư vấn đầu tư Công ty VPS nhận ủy quyền để thực hiện toàn bộ giao dịch của khách hàng mà trước đó báo Dân Sinh đã phản ánh, Phó Chánh thanh tra Ủy ban Chứng khoán Nhà nước cho biết, “sự việc có dấu hiệu vi phạm rõ ràng, để xử lý hành vi, trách nhiệm của cá nhân thì không khó, nhưng UBCKNN còn phải chờ giải trình từ phía VPS để xác định trách nhiệm của các bên. Nếu phát hiện vi phạm thì chúng tôi sẽ xử lý nghiêm theo quy định.”
Được biết sự việc trên đã kéo dài hơn 7 tháng, thế nhưng UBCKNN vẫn chưa giải quyết dứt điểm.