Thế Giới Di Động bị hacker tấn công: Ngân hàng nói gì?

Thế Giới Di Động phủ nhận, vậy trách nhiệm vụ lộ thông tin thuộc về ai?

Thế Giới Di Động khẳng định không lưu trữ những thông tin tài khoản của khách hàng, vậy khả năng thông tin bị rò rỉ từ đâu và ai là người chịu trách nhiệm?

Theo Thế Giới Di Động, giả sử thông tin email, tài khoản ngân hàng bị lộ lọt vừa qua là chính xác thì cũng không phải đến từ hệ thống của Thế Giới Di Động vì doanh nghiệp không lưu trữ những thông tin này của khách hàng. Vậy khả năng thông tin bị rò rỉ từ đâu và ai là người chịu trách nhiệm?

Hình ảnh được cho là số thẻ của khách hàng Thế Giới Di Động được hacker tung lên diễn đàn RaidForums.

Thực ra, khi trả lời truyền thông cũng như thông báo tới các nhà đầu tư, Thế Giới Di Động đã "ngầm" đẩy nguyên nhân (nếu có) đến từ các đơn vị thứ ba. Cụ thể, theo nhà bán lẻ này, khi khách hàng mua hàng và cà thẻ tại cửa hàng, máy POS đọc thẻ của khách và là máy của ngân hàng. Như vậy, theo Thế Giới Di Động, bản chất là ngân hàng đang đọc thẻ của khách và chuyển dữ liệu về ngân hàng, hệ thống của Thế Giới Di Động và Điện Máy Xanh không can thiệp vào quá trình này cũng như không được phép lưu trữ bất cứ thông tin nào của khách hàng.

Tương tự, nếu khách hàng giao dịch online qua trang web, khi thanh toán sẽ tự động nhảy sang cổng thanh toán của tổ chức cung ứng dịch vụ trung gian thanh toán. Do đó, trang web Thế Giới Di Động và Điện Máy Xanh cũng không lưu các thông tin của khách hàng. Trong quá trình thanh toán, toàn bộ thông tin trên thẻ đều được mã hóa và chuyển sang ngân hàng hoặc tổ chức cung ứng dịch vụ trung gian thanh toán.

Giải thích với Thế Giới Tiếp Thị tối 8/11, ông Nguyễn Hữu Cường, quản trị viên của Diễn đàn an ninh WhiteHat.vn - diễn đàn an ninh mạng lớn nhất hiện nay của Việt Nam - cho rằng, hiện tại chưa thể khẳng định thông tin bị lộ từ Thế Giới Di Động và doanh nghiệp này cũng khẳng định đây là thông tin giả mạo, không chính xác. Hơn nữa, với một doanh nghiệp lớn như vậy thì hệ thống sẽ được đầu tư khá bài bản, chuyên nghiệp nên cũng có thể là kẻ xấu phá hoại hoặc "dìm hàng" doanh nghiệp.

Ở đây, theo ông Cường, có 3 bên, gồm nhà bán hàng - Thế Giới Di Động, thứ hai là cổng thanh toán/POS (ngân hàng) và thứ ba có thể là dữ liệu giả mạo. Bỏ qua dữ liệu giả mạo, như vậy, còn lại các bên Thế Giới Di Động, các trung gian thanh toán, ngân hàng phải ngồi lại với nhau, cùng chia sẻ, phân tích để xác định xem việc tham gia vào quy trình thanh toán này thì dữ liệu có thể lộ ra từ kênh nào, khâu nào, xác định xem có phải lộ từ cổng thanh toán hay POS không.

"Chỉ có người trong cuộc mới biết và thường doanh nghiệp nếu có phát hiện ra lỗi ở hệ thống đơn vị mình thì cũng rất ít khi nói ra, chỉ một mình biết thôi", ông Nguyễn Hữu Cường nhìn nhận.

Ông cũng cho rằng, thực tế không ai có thể khẳng định được các cổng thanh toán hay POS không bị lộ thông tin, bởi trước đây cũng đã có, chỉ có điều mức độ là ít hay nhiều. Còn việc kiểm tra lộ lọt từ POS hay cổng thanh toán cũng không hề đơn giản vì quy trình kiểm tra này rất mất thời gian, qua nhiều công đoạn. Và khi có sự phối hợp, ngồi lại giữa các đơn vị liên quan và xác định được quá trình thanh toán không bị lỗ hổng và lộ lọt từ đơn vị mình, thì khi đó việc nghi ngờ thông tin giả mạo mới thực sự có cơ sở.

Về phía các ngân hàng, hôm qua (8/11), đại diện một số ngân hàng trả lời truyền thông, cho rằng, kể cả hacker có đủ 16 chữ số trên thẻ cũng chưa thể lấy được tiền của người dùng. Chỉ khi nào bị lộ tất cả thông tin về số thẻ, ngày hết hạn, ba số bí mật phía sau thẻ (mã CVV)..., đối tượng xấu mới có thể thực hiện giao dịch trên mạng và chủ thẻ mới có thể mất tiền.

Ngoài ra, các ngân hàng cũng cho rằng, mã CVV là dữ liệu mà chỉ có ngân hàng biết chứ một bên là điểm chấp nhận thanh toán (merchant) như Thế Giới Di Động không thể có được, bởi vậy nếu dữ liệu này được hacker lấy từ đây như họ thông báo thì không thể có số CVV.

Thực tế, chia sẻ với Thế Giới Tiếp Thị, quản trị viên của Diễn đàn an ninh WhiteHat.vn cũng như nhiều chuyên gia an ninh mạng cho biết, chỉ với thông tin số thẻ ngân hàng như hacker công bố thì hacker chưa đủ dữ liệu để lấy tiền từ tài khoản của người dùng.

Tuy nhiên, các chuyên gia cho rằng, việc bị lộ lọt thông tin email và đặc biệt là thẻ ngân hàng như trên, dù hacker lấy từ Thế Giới Di Động hay ngân hàng, trung gian thanh toán, đều cho thấy, việc bảo mật thông tin chưa được các bên thực hiện một cách nghiêm túc, triệt để và đảm bảo an toàn tuyệt đối cho khách hàng.

Trước đó, ngày 7/11, thông tin về một hacker của diễn đàn RaidForums đã tung hơn 5,4 triệu địa chỉ email và 31.000 bản ghi liệt kê số thẻ ngân hàng (che sáu chữ số ở giữa) được cho là của khách hàng từ Thế Giới Di Động. Đến tối cùng ngày, tài khoản Erwincho của diễn đàn này tiếp tục phát tán 32 hàng thông tin, trong đó có 16 chữ số được cho là số thẻ ngân hàng đầy đủ, đã khiến khách hàng của nhà bán lẻ này thực sự lo ngại.

Theo Báo Mới