Hiếu sinh ra trong một gia đình trung lưu ở Gia Lai. Bố mẹ anh sở hữu một cửa hàng game online. Nhờ vậy, anh được làm quen với chiếc máy tính đầu tiên từ rất sớm, năm 12 tuổi. Ở tuổi 19, tên tuổi của Ngô Minh Hiếu đã bắt đầu xuất hiện trên các diễn đàn hacker tại Việt Nam.
Lớn hơn một chút, Hiếu sang New Zealand để theo học tiếng Anh tại một trường đại học. Ở thời điểm này, anh đã là quản trị viên của một số diễn đàn hacker trên các web đen. Cũng vì thế, trong quá trình học tập, Hiếu dễ dàng nhận ra một lỗ hổng làm lộ dữ liệu thẻ thanh toán trên website của trường.
“Tôi liên hệ với bộ phận CNTT của trường nhưng không ai quan tâm, vì thế tôi đã hack toàn bộ hệ thống. Sau đó, tôi sử dụng chính lỗ hổng này để hack các trang web khác và ăn cắp nhiều thông tin thẻ tín dụng.”, Hiếu nhớ lại.
Trường đại học sau đó biết được vụ đột nhập, cảnh sát đã vào cuộc và lần ra vai trò của Hiếu. Thị thực của anh vì thế đã không được gia hạn sau khi học kỳ đầu tiên kết thúc. Hiếu đã phản ứng lại quyết định đó bằng cách tấn công website của trường và đóng cửa nó trong 2 ngày.
Sau vụ việc, Hiếu đã quay trở lại và theo học tại Việt Nam. Tuy nhiên anh thừa nhận rằng ở thời điểm đó, phần lớn thời gian của anh được dành cho các diễn đàn tội phạm mạng.
“Mục tiêu của tôi đã chuyển từ hack để giải trí sang kiếm tiền khi thấy việc đánh cắp dữ liệu quá dễ dàng. Tôi bắt đầu đi chơi với một vài người bạn trên diễn đàn hacker và lên kế hoạch cho các hoạt động phạm pháp”.
“Họ nói rằng việc động vào thẻ tín dụng và dữ liệu ngân hàng rất nguy hiểm, vì vậy tôi bắt đầu nghĩ đến việc bán dữ liệu danh tính. Lúc đầu tôi nghĩ các dữ liệu này chỉ là thông tin thôi, không liên quan trực tiếp đến tài khoản của người khác, thế nhưng tôi đã sai. Số tiền kiếm được một cách nhanh chóng đã làm tôi bị mờ mắt bởi mọi thứ.”
Mục tiêu đầu tiên mà Ngô Minh Hiếu nhắm tới là Microbit – một công ty báo cáo tín dụng tiêu dùng có trụ sở tại New Jersey (Mỹ).
Hiếu đã xâm nhập vào nền tảng của Microbit để đánh cắp dữ liệu khách hàng, từ đó sử dụng thông tin đăng nhập của họ và truy nhập vào các cơ sở dữ liệu. Việc này diễn ra suốt một năm nhưng công ty của Mỹ không hề hay biết, anh nói.
Sau khi có cơ sở dữ liệu của Microbit, Hiếu lập website Superget, nơi chuyên bán dữ liệu cá nhân của người dùng. Ban đầu dịch vụ này được cung cấp khá thủ công. Người mua cần nhập thông tin về địa điểm hoặc người dùng cụ thể, sau đó Hiếu tra cứu bằng tay để trả kết quả về cho khách hàng. Một thời gian sau, Hiếu nhanh chóng tìm ra một cách khác nhanh hơn khi tự động hóa quy trình bằng các máy chủ đặt tại Mỹ.
Thông tin của người dùng trên Superget được bán theo đơn vị là các “khoản tín dụng”. Mỗi “khoản tín dụng” trị giá 1 USD. Người dùng sẽ phải trả 3 “khoản tín dụng” cho một lần truy cập vào số an sinh xã hội hoặc ngày sinh của người khác.
Các “khoản tín dụng” này còn được bán theo gói với các mức giá từ 4.99 USD, 20.99 USD, 100.99 USD, 500.99 USD đến 1000.99 USD. Càng mua nhiều “khoản tín dụng”, việc truy cập thông tin lại có giá càng rẻ.
“Người dùng có thể tìm kiếm dữ liệu của hơn 99% người dân Mỹ, nhiều hơn bất kỳ website nào khác. Các cơ sở dữ liệu này được cập nhật liên tục mỗi ngày.”, Hiếu chia sẻ.
Sau khi nhận ra sự xuất hiện của Hieupc, Microbit đã chặn việc truy cập. Hiếu ngay lập tức quay trở lại nhờ sử dụng một lỗ hổng khác. Website bán dữ liệu Superget vì thế đã hoạt động thêm được nhiều tháng.
Việc kinh doanh dữ liệu của Hiếu tiếp tục được duy trì khi anh tìm thấy một nguồn dữ liệu người dùng ổn định và tin cậy hơn. Lần này, mục tiếu nhắm đến là Court Venture – một công ty chuyên tổng hợp hồ sơ tòa án có trụ sở tại Mỹ.
Tuy vậy, Hiếu không quan tâm đến dữ liệu do Court Venture thu thập, thay vào đó là một thỏa thuận chia sẻ dữ liệu của công ty này với bên thứ 3 là US Info Search. So với Court Venture, US Info Search nắm trong tay rất nhiều dữ liệu người dùng nhạy cảm.
Ở lần hành động này, Ngô Minh Hiếu táo bạo hơn khi đóng giả một điều tra viên tư nhân để vượt qua việc kiểm tra an ninh và được cấp quyền truy cập vào cơ sở dữ liệu. Court Venture tính phí 14 cent cho mỗi lần tra cứu cơ sở dữ liệu, còn Hiếu bán lại dữ liệu này trên Superget với giá 1 USD.
Không may cho Hiếu khi công ty Court Venture sau đó được mua lại bởi Experian – một trong ba văn phòng tín dụng tiêu dùng lớn của Mỹ.
Một thời gian sau khi tiếp quản Court Venture, đơn vị này đã phát hiện ra những biểu hiện bất thường từ tài khoản của Hiếu. Dịch vụ của Hiếu đã thu hút tới 1.400 khách hàng và 160.000 lượt truy vấn mỗi tháng với các hóa đơn từ khắp nơi trên thế giới, chủ yếu là ở Trung Quốc, Malaysia, Singapore.
Mật vụ Matt O’neill – người đứng đầu Trung tâm Điều tra Toàn cầu (Global Investigative Operations Center) của Sở Mật vụ Mỹ (USSS) đã tống đạt hàng chục trát hầu tòa liên quan đến dịch vụ đánh cắp danh tính của Hiếu. Trong số này, có yêu cầu được cấp quyền truy cập vào tài khoản mail mà Hiếu sử dụng để liên lạc với khách hàng và quản trị website của mình.
USSS đã phát hiện các email Hiếu hướng dẫn cho một người khác thực hiện thanh toán cho Experian bằng cách chuyển khoản từ các ngân hàng Châu Á khác nhau. Sau khi làm việc với Sở Mật vụ, Experian đã vô hiệu hóa tài khoản của Hiếu.
Sở Mật vụ đã giăng bẫy Hiếu bằng việc bắt tay với một tên tội phạm mạng người Anh. Người này liên hệ với Hiếu và nói rằng tài khoản của anh bị chặn do đã can dự vào việc kinh doanh mà họ đã làm trước đó.
Hacker này ra điều kiện Hiếu phải gặp trực tiếp anh ta nếu muốn duy trì quyền truy cập vào cơ sở dữ liệu. Tuy nhiên, Hiếu đã từ chối và nhờ thế thoát khỏi cái bẫy được giăng sẵn.
Bằng cách đóng giả điều tra viên một lần nữa, Hiếu đã thâm nhập được vào cơ sở dữ liệu của TLO – một công ty môi giới dữ liệu khác. Công ty này cũng nắm trong tay rất nhiều dữ liệu nhạy cảm của người Mỹ. Nhờ vậy, vòng lặp phạm tội của Hiếu cứ thế tiếp tục.
Điều này chỉ dừng lại khi Sở Mật vụ Mỹ lần ra dấu vết của Hieupc. Họ quyết định giăng bẫy một lần nữa bằng chính tay hacker người Anh, và lần này, Ngô Minh Hiếu đã dính bẫy.
Dù biết rõ những nguy cơ có thể xảy ra, Hiếu vẫn quyết định tìm đến đảo Guam để hoàn tất thỏa thuận hợp tác với người đàn ông trên mạng. Tuy nhiên, vừa bước chân xuống máy bay, anh đã ngay lập tức bị bắt giữ.
Sau khi hết hạn tù 8/2020, Hiếu bị buộc trục xuất về nước và sau khi hoàn thành các quy trình cách ly đã chính thức đầu quân cho team “Mũ Cối” vào ngày hôm qua.