Nhiều sinh viên phát hiện bị lộ thông tin cá nhân từ nền tảng chia sẻ tài liệu, chuyên gia an ninh mạng chỉ cách xử lý

Gần đây, trên các mạng xã hội liên tục xuất hiện những bài viết cảnh báo về tình trạng lộ lọt thông tin cá nhân quy mô lớn của sinh viên thông qua các nền tảng chia sẻ tài liệu trực tuyến như Studocu, Scribd. Nguyên nhân chủ yếu xuất phát từ kẽ hở trong chính sách của các nền tảng này, cùng với sự lỏng lẻo trong bảo mật từ trang web của một số trường đại học.

Chính sách 'đổi tài liệu' dẫn đến rủi ro lộ lọt thông tin

Theo tìm hiểu của phóng viên, chính sách của nhiều nền tảng chia sẻ tài liệu hiện nay yêu cầu người dùng phải tải lên các tệp tài liệu bất kỳ để đổi lấy quyền tải tài liệu xuống. Chính quy định này đã khiến một bộ phận sinh viên vô tình hoặc thiếu ý thức khi đăng tải các bài tập nhóm, tiểu luận, hay thậm chí là danh sách lớp học. Hậu quả là hàng loạt dữ liệu cá nhân nhạy cảm của chính người đăng lẫn bạn học, bao gồm họ tên, mã số sinh viên, lớp, email và số điện thoại bị phơi bày công khai trên không gian mạng. Điều này vô hình trung tạo kẽ hở lớn cho các đối tượng xấu thu thập và trục lợi.

V. Linh (sinh năm 2004, Hà Nội) đã vô cùng bất ngờ khi tra cứu mã số sinh viên và phát hiện thông tin cá nhân của mình nằm gọn trong một tệp bài thi cuối kỳ bị phát tán trên nền tảng Studocu. Chia sẻ về sự việc, V. Linh bức xúc: “Mình thực sự lo lắng và phẫn nộ khi dữ liệu cá nhân bị tự ý đăng tải công khai. Không dừng lại ở đó, hàng loạt tiểu luận, khoá luận cũng bị đưa lên mạng tràn lan. Mình không biết ai đã tuỳ tiện chia sẻ thành quả nghiên cứu, chất xám của cả nhóm lên đây để người khác dễ dàng sao chép. Điều này thực sự khiến mình cảm thấy rất bất bình”.

Không chỉ riêng V. Linh, nhiều người dùng mạng cũng tá hoả khi phát hiện hàng loạt tài liệu nội bộ chứa thông tin cá nhân như danh sách lớp, bảng điểm bị tải lên web. Thậm chí, khi tra cứu, nhiều sinh viên còn thấy kết quả trả về hiển thị cả điểm GPA trong suốt bốn năm học, các giải thưởng và điểm số liên quan.

Bên cạnh đó, trang web của một số trường đại học cũng đang hiển thị công khai danh sách sinh viên mà không có biện pháp che chắn dữ liệu. Nhiều người đang tỏ ra đặc biệt lo ngại về việc các nền tảng trao đổi tài liệu hoàn toàn không kiểm duyệt nội dung đầu vào, kết hợp cùng hệ thống bảo mật kém ở một số trường đại học đã trực tiếp làm lộ thông tin cá nhân của người học.

Nhanh chóng hành động để bảo vệ dữ liệu cá nhân

Trao đổi với phóng viên Chuyên trang Sinh Viên Việt Nam, Báo Tiền Phong, chuyên gia an ninh mạng Ngô Minh Hiếu (Giám đốc tổ chức Chống lừa đảo) cảnh báo, khi họ tên, mã số sinh viên, lớp, email và số điện thoại xuất hiện cùng nhau, kẻ xấu có thể dễ dàng dựng thành “hồ sơ định danh” để lừa đảo cá nhân hóa.

Chúng có thể giả danh nhà trường, phòng đào tạo, cố vấn học tập, nhóm lớp hoặc đơn vị tuyển dụng nhằm gửi đường dẫn chứa mã độc, yêu cầu đóng học phí. Tinh vi hơn, những thông tin này còn được dùng để tạo niềm tin trong các kịch bản lừa đảo bạn bè và phụ huynh. Đáng chú ý, việc Google AI trả lời tự động chỉ là phần khuếch đại khả năng tìm kiếm; gốc rễ của rủi ro vẫn nằm ở việc tài liệu đã bị công khai và được máy tìm kiếm lập chỉ mục.

Nói về trách nhiệm khi xảy ra sự cố lộ lọt, anh Ngô Minh Hiếu cho rằng, không nên quy trách nhiệm cho một bên duy nhất. Theo đó, người tải lên phải chịu trách nhiệm nếu tự ý đưa dữ liệu của bạn học lên mạng khi chưa có sự đồng ý. Đồng thời, các nền tảng như Studocu hay Scribd cũng có thể bị xem xét trách nhiệm nếu tham gia lưu trữ, công khai hoặc xử lý dữ liệu cá nhân của người Việt Nam mà không có cơ chế bảo vệ, gỡ bỏ phù hợp.

Dẫn chiếu quy định pháp luật, Giám đốc tổ chức Chống lừa đảo cho biết, Luật Bảo vệ dữ liệu cá nhân năm 2025 đã quy định rõ các chế tài. Tổ chức, cá nhân vi phạm có thể bị xử phạt hành chính, truy cứu trách nhiệm hình sự và bồi thường thiệt hại. Cụ thể, hành vi mua bán dữ liệu cá nhân có thể bị phạt tới mười lần khoản thu từ vi phạm; vi phạm chuyển dữ liệu xuyên biên giới của tổ chức có thể bị phạt đến 5% doanh thu năm trước đó. Với các vi phạm khác, mức phạt tối đa là ba tỷ đồng đối với tổ chức, và cá nhân chịu mức phạt tối đa bằng một nửa.

Để giảm thiểu rủi ro khi phát hiện thông tin bị trôi nổi, anh Hiếu hướng dẫn sinh viên cần nhanh chóng chụp lại bằng chứng, lưu URL và thời gian bị lộ. Ngay sau đó, người bị hại cần yêu cầu người đăng gỡ tài liệu, đồng thời gửi yêu cầu gỡ bỏ trực tiếp đến trang hỗ trợ của Studocu hoặc Scribd, nêu rõ đường dẫn và các trường dữ liệu cá nhân bị xâm phạm.

Sau khi nguồn đã được gỡ hoặc chỉnh sửa, người dùng cần gửi yêu cầu Google (thông qua link https://support.google.com/websearch/answer/12719076?hl=vn) để xóa thông tin cá nhân khỏi kết quả tìm kiếm bởi công cụ này chỉ xử lý kết quả hiển thị chứ không xóa trang gốc.

Việc đổi mật khẩu, bật xác thực hai lớp và nâng cao cảnh giác với các cuộc gọi mạo danh cũng là biện pháp bắt buộc phải thực hiện. Đồng thời, đổi mật khẩu các tài khoản quan trọng, bật xác thực hai lớp, cảnh giác cuộc gọi/email giả danh nhà trường và thông báo cho nhà trường hoặc cơ quan chuyên trách nếu có dấu hiệu dữ liệu bị khai thác trái phép; Luật mới cũng đặt cơ chế thông báo, xử lý vi phạm dữ liệu cá nhân.

Gửi lời khuyên đến các bạn trẻ, chuyên gia Ngô Minh Hiếu nhấn mạnh nguyên tắc cốt lõi: “Đừng coi mã số sinh viên, danh sách lớp, email trường hay số điện thoại là thông tin vô hại. Trước khi tải bất kỳ tài liệu nào lên không gian công cộng, hãy xóa hoặc che toàn bộ dữ liệu định danh. Nguyên tắc ngắn gọn là: Không có quyền thì không đăng; không cần thiết thì không thu thập; và đã chia sẻ công khai thì phải xem như dữ liệu đó có thể bị sao chép vĩnh viễn”.

​

​