Hacker khó lấy tiền từ tài khoản ngân hàng của khách hàng

Đó là chia sẻ của ông Nguyễn Quang Trung, Giám đốc Phát triển khu vực châu Á, OpenWay Group khi trao đổi với báo Diễn đàn Doanh nghiệp về việc thông tin cá nhân của hàng triệu khách hàng của Thế Giới Di Động (TGDĐ) bị lộ.

- Thưa ông, sáng ngày 7/11 trên loạt các diễn đàn xuất hiện thông tin 5,4 triệu thông tin khách hàng của TGDĐ bị lộ. Tuy nhiên, theo đại diện của doanh nghiệp này, thông tin trên chỉ là giả mạo, hệ thống của TGDĐ vẫn hoạt động bình thường. Ông nhận định như thế nào về thông tin trên?  

Theo tôi, mọi thông tin khi đưa lên mạng cần được kiểm chứng, và sự kiểm chứng chính xác nhất đó là thông tin từ TGDĐ và khách hàng đang sử dụng dịch vụ của TGDĐ. Với các thông tin hiện tại thì chúng ta chưa thể nói các thông tin này có nguy cơ hiện hữu về việc khách hàng có thể bị mất tiền từ thẻ khi giao dịch online qua kênh thanh toán của TGDĐ.

Nếu hacker lấy được số thẻ từ Expired Date – ngày hết hạn thẻ, lấy CVV2 (Card Verificaiton Value - Mã bảo mật thẻ), thì mới cần xem xét. Trong khi đó, TGDĐ thanh toán qua cổng 123pay và đây là đơn vị chấp nhận thẻ trung gian thanh toán được ngân hàng nhà nước cấp phép. Tuy nhiên theo các dữ liệu mà hacker đưa ra thì không thể đủ làm giao dịch online được và khách hàng chưa có nguy cơ bị mất tiền cho dù bị lộ 16 số trên thông tin thẻ tính đến thời điểm hiện tại.

Các thông tin giao dịch thường được mã hóa, và kể cả đối với các trung gian thanh toán khi đã được cấp phép và được chứng thực chuẩn PCI DSS/PA DSS thì các đơn vị chấp nhận thẻ này cũng sẽ không được lưu các thông tin giao dịch bảo mật như Expire Date hay CVV2 mà phải chuyển tiếp tới các IPS (International Payment System – Hệ thống thanh toán quốc tế) là VISA/MasterCard. Việc các IPS này truyền thông tin về ngân hàng phát hành thẻ để đối chiếu giao dịch xem tài khoản của khách hàng có còn tiền để thực hiện giao dịch hay không cũng diễn ra rất nhanh.

- Theo ông, đâu là cách thức mà hacker đã sử dụng để tấn công hệ thống dữ liệu của TGDĐ?

Có thể bằng một cách nào đó mà người đưa những dữ liệu này lên có thể khai thác trực tiếp hoặc gián tiếp thông qua thông tin từ trong nội bộ hoặc thông qua việc rò rỉ thông tin ở đâu đó trong một khoảng thời gian nhất định. Tôi tin rằng, nếu thực sự đây là các thông tin giao dịch dùng để đối chiếu với đơn vị chấp nhận thẻ và ngân hàng thì có thể được dùng như một dạng giao dịch rà soát của khách hàng mà thôi. TGDĐ không sở hữu thông tin bảo mật thẻ vì các giao dịch này được chuyển tiếp tới trung gian thanh toán và tới ngân hàng phát hành thẻ.

- Trong số thông tin bị lộ, có cả danh sách thẻ thanh toán trực tuyến VISA/Mastercard. Theo ông, lộ email kết hợp số thẻ sẽ ảnh hưởng thế nào đến khách hàng?

Như chia sẻ bên trên, nếu thực sự đây là dữ liệu của TGDĐ có bao gồm danh sách 16 số trên thẻ và địa chỉ Email thì khách hàng cũng yên tâm là thông tin bảo mật của mình sẽ không bị khai thác và đương nhiên sẽ không bị mất tiền.

Trước đây khi việc kiểm soát các trung gian thanh toán chưa được Ngân hàng Nhà nước kiểm soát chặt thì việc giao dịch online qua một số web thương mại điện tử sẽ là nguy cơ rất lớn để hacker có thể giả mạo và đánh cắp thông tin cá nhân cũng như thông tin bảo mật của thẻ. Tuy nhiên hiện nay việc này đã được chuẩn hóa hơn về chứng thực.

Đối với một số các ngân hàng phát hành thẻ hiện tại, để bảo vệ cho khách hàng, các ngân hàng thường triển khai một số các giải pháp như 3D Secure, nhằm nâng cao tính bảo mật cho việc thanh toán an toàn. Khi đó, chủ thẻ của các ngân Hàng này được phát hành thẻ Visa/Mastercard, sẽ hoàn toàn yên tâm khi giao dịch trực tuyến vì đã có thêm một lần xác thực bảo mật qua SMS/Email miễn phí.

Theo Thông tư 35/2016/TT-NHNN và Nghị định 630 của Ngân hàng nhà nước, từ ngày 01/01/2019 các tổ chức cung cấp dịch vụ thanh toán, trung gian thanh toán trên mạng Internet phải triển khai áp dụng các giải pháp xác thực tối thiểu như bên dưới đây:

Điều đó có nghĩa là, nếu những cuộc tấn công khai thác dữ liệu như vừa qua vào TGDĐ là đúng, thì việc người dùng có thể bị lộ 1 số thông tin cá nhân, cũng không bị ảnh hưởng. Tuy nhiên, đây cũng là một tín hiệu rất xấu cho việc đảm bảo tính bảo mật cho các giao dịch của ngân hàng số ở thời điểm hiện tại, vì đối với các trung gian thanh toán, nếu vì một lý do nào đó các thông tin này được giữ lại hoặc bị khai thác trực tiếp trong quá trình truyền thông tin thì khả năng mất thông tin dữ liệu thẻ là hoàn toàn có thể xẩy ra.

Xin cảm ơn ông!