• Thứ Sáu, 09/11/2018 18:16 (GMT+7)

    Khách hàng Thế Giới Di Động đang sốt vó lo cho tài khoản thẻ của mình?

    Phan Châu
    Hai hôm trở lại đây, thông tin thẻ khách hàng được cho là của Thế giới Di động liên tục bị phơi bày trên mạng đã gây hoang mang cho đông đảo người dùng. Câu hỏi đặt ra là, vụ rò rỉ dữ liệu này đáng sợ tới đâu?

     

    * Vừa có thông tin cho rằng, sau khi so sánh 1 object thì một người làm trong ngành CNTT quả quyết cho rằng data liên quan đến email là toàn tự động sinh (gen) ra, chứ đâu có thực. Bởi, người này đã tra đúng email của mình trong dữ liệu rò rỉ, nhưng số thẻ thì tào lao, và đáng quan tâm là cái email này đã được bỏ từ lâu, không còn sử dụng.

    Hai hôm nay, trên các diễn đàn trực tuyến cũn như mạng xã hội rộ lên thông tin hệ thống Thế Giới Di Động (TGDĐ) bị rò rỉ một lượng lớn dữ liệu thông tin khách hàng giao dịch. Nguồn cơn bắt đầu từ một bài viết đăng trên diễn đàn Raidforums.com, công bố hai tập tin được cho là dữ liệu hack được từ hệ thống của TGDĐ, đây dường như là những thông tin thanh toán của khách hàng của TGDĐ.

    Cho đến thời điểm này, thực hư chưa rõ thế nào, nhưng đã có nhiều ý kiến bày tỏ sự băn khoăn về việc thất thiệt có thể xảy ra với người dùng thẻ thanh toán là khách hàng của TGDĐ. Về phía TGDĐ thì hệ thống bán lẻ này đã phát đi thông cáo phủ nhận mình bị hack thông tin thanh toán của khách hàng vì cho rằng công ty không lưu trữ thông tin thẻ thanh toán.

    Theo giải thích từ TGDĐ, khi khách hàng thanh toán bằng cách cà thẻ tại máy POS thì dữ liệu mã hóa được chuyển về ngân hàng, hay khi thanh toán trực tuyến qua trang web của công ty, thông tin thẻ sẽ được mã hóa và chuyển qua cổng thanh toán của tổ chức tín dụng cung cấp dịch vụ thanh toán trung gian.

    Để làm rõ hơn vấn đề này, chúng tôi đã tham khảo ý kiến của ông Ngô Tấn Vũ Khanh – Giám đốc phát triển thị trường của Kaspersky Lab tại Việt Nam, và đã nhận được phản hồi từ ông Khanh.

    Dưới đây, chúng tôi xin chia sẻ toàn bộ bài viết của ông Khanh.

    Trên diễn đàn Raidforums.com, một thành viên chia sẻ lên hai file dữ liệu được cho là hack từ hệ thống của Thế giới Di động. Các file có vẻ như thông tin thanh toán của khách hàng ở hai chuỗi Điện Máy Xanh và Thế giới Di động. Đây rõ ràng là một thông tin rất nguy hiểm cho bản thân người dùng các dịch vụ của TGDĐ cũng như chính mô hình kinh doanh của TGDĐ.

    Phải biết rằng giao dịch tại hơn 1700 cửa hàng của TGDĐ phục vụ hơn nửa triệu khách hàng mỗi ngày (số liệu chính thức từ TGDĐ) là con số rất lớn và giao dịch bằng thẻ tín dụng nội địa và quốc tế tại các cửa hàng này cũng thật sự rất lớn. Chưa kể các website thương mại điện tử của TGDĐ luôn có trên 1 triệu lượt truy cập mỗi ngày, hơn 10 nghìn đơn hàng online và 120 nghìn hóa đơn điện tử được phát hành mỗi ngày là một con số rất mơ ước của những kẻ xấu – hacker – muốn nhắm tới.

     

    Tuy nhiên việc một doanh nghiệp bán lẻ lớn nhất Việt Nam như TGDD và có hệ thống CNTT rất đồ sộ lại đang bị cho là lộ thông tin khách hàng, đặc biệt là tài khoản tín dụng thì cần phải được nhìn nhận một cách thật chuyên môn vì thế giới thông tin ngày nay rất dễ bị nhiễu bởi những nguồn tin không xác thực, sau đó gây hoan mang dư luận ảnh hưởng đến một doanh nghiệp lớn như TGDĐ thì thật không công bằng với họ. Với một người làm trong ngành Security hiện nay, tôi cho rằng rất khó để hacker (hoặc ai đó) có thể được thông tin các tài khoản tín dụng của khách hàng đã và đang giao dịch với TGDĐ. Để giải thích cho vấn đề này chúng ta tập trung vào 2 hình thức giao dịch của TGDĐ với khách hàng sau:

    1.Giao dịch tại các cửa hàng bán lẻ của TGDĐ và Điện máy xanh:

    Nếu khách hàng giao dịch với các cửa hàng bán lẻ thì mô hình giao dịch sẽ như vầy:

     

    Trong đó máy POS và hệ thống phần mềm của TGDĐ trên POS bị tách rời ra khỏi hệ thống thanh toán vì từ máy thanh toán PAX tới các giao dịch là bị kiểm soát (hay được cung cấp) bởi các đơn vị ngân hàng. Máy POS CRM chỉ lưu lại các thông tin cá nhân khách hàng khi mua hàng phục vụ cho các chương trình khuyến mãi hay các chương trình tích điểm / khách hàng thân thiết. Nhiệm vụ và chức năng của các máy POS không thể lưu lại thông tin thẻ tín dụng hay quốc tế của khách hàng. Bản thân TGDĐ là một doanh nghiệp lớn, họ cũng không thể mạo hiểm thương hiệu tỷ đô của mình mà làm ra các phần mềm hay thiết bị để lưu lại các thông tin quá nhạy cảm như thông tin thẻ tín dụng khách hàng được.

    2. Giao dịch qua các website thương mại điện tử của TGDĐ

    Rõ ràng con số hơn 1 triệu truy cập mỗi ngày và hơn 10 nghìn đơn hàng cũng trong 1 ngày của TGDĐ là con số mơ ước của hacker. Tuy nhiên để xâm nhập hệ thống thanh toán của TGDĐ là không đơn giản, mà cho dù cho xâm nhập được thì hacker cũng ko thể nào lấy được thông tin thẻ tín dụng từ hệ thống máy chủ của TGDĐ, đơn giản là vì TGDĐ sử dụng các cổng thanh toán trung gian (payment gateway) từ các nhà cung cấp dịch vụ thanh toán khác. Ngay khi chúng ta click vào chữ thanh toán Visa/Master hay các loại hình thanh toán khác thì thông tin thanh toán sẽ được chuyển đến cổng thanh toán trung giang 123pay hay Napas, đường dẫn website sẽ bị trỏ về các cổng thanh toán này.

     

    Việc TGDĐ có bị hack và lộ thông tin khách hàng hay không cần phải điều tra thật tế và có đánh giá của các chuyện gia. Tuy nhiên đây rõ ràng là 1 hồi chuông cảnh báo cho các công ty lớn, có một hệ thống CNTT lớn và đồ sộ, họ cần phải quan tâm đến hơn nữa vấn đề bảo mật an toàn an ninh thông tin tại công ty họ. Trong trường hợp này, việc cài đặt phần mềm security vào các máy POS là rất quan trọng vì hacker có thể chiếm quyền điều khiển máy POS và làm bàn đạp tấn công các giao dịch nếu thiết lập được một giao thức đủ tốt. Hiện nay tỷ lệ các công ty bán lẻ tại Việt Nam quan tâm đến Security trên các máy POS là rất rất thấp (chưa tới 5%) Phúc Long coffee shop gần như là chuỗi retail duy nhất tại Việt Nam quan tâm đến vấn đề này. Ngoài ra, các quy trình chuẩn mực trong thanh toán thẻ như PCI DSS, hay ISO 27000 vè ATTT cũ nên được các doanh nghiệp thật sự quan tâm.

    Tất nhiên, thông tin thẻ tín dụng thì rõ ràng rất khó để bị hack (rất khó chứ không phải là không thể, nhất là các cuộc tấn công có chủ đích), nhưng nếu một doanh nghiệp không quan tâm đến security, thông tin cá nhân khách hàng khi họ giao dịch với doanh nghiệp như email, số điện thoại, địa chỉ, số lượng giao dịch, số tiền giao dịch, mặt hàng giao dịch v.v bị lộ ra ngoài thì thật sự quá nguy hiểm cho cả 2. Doanh nghiệp hoàn toàn có thể sẽ phải trả 1 cái giá rất đắt chỉ vì 1 lần sai lầm về security trong hệ thống của họ.

    Khuyến cáo:

    - Rà soát lại các lỗ hổng bảo mật
    - Đối với các doanh nghiệp thường xuyên tương tác với khách hàng qua các hình thức thanh toán khác nhau có liên quan tới máy POS thì nên chú tâm đến security cho máy POS này
    - Sử dụng các chương trình mã hóa các dữ liệu nhạy cảm trong nội bộ công ty, tránh tình trạng bị leak ra ngoài vì nhiều lý do. Các giải pháp chống thất thoát dữ liệu nội bộ DLP là cần thiết đối với các dữ liệu như: thông tin khách hàng, bảng lương, giao dịch, hợp đồng v.v.v