Thứ Sáu, Tháng Ba 29
Shadow

Bẫy đánh cắp thông tin bủa vây người dùng

Địa chỉ email của hơn 5,42 triệu người, khoảng 31.000 giao dịch ở Công ty CP Thế Giới Di Động bị lộ. Điều này một lần nữa cảnh báo thông tin của người dùng đang ẩn chứa rất nhiều nguy cơ.

Khách hàng thanh toán tiền bằng thẻ ngân hàng tại cửa hàng thiết bị di động ở Q.3,
TP.HCM – Ảnh: QUANG ĐỊNH

Các chuyên gia vẫn khuyến cáo những người dùng có trong danh sách dữ liệu bị lộ nên chủ động thay đổi mật khẩu các tài khoản liên quan.

Chưa thể khẳng định bị hack

Thành viên có tên erwincho đã đưa lên diễn đàn RaidForums các tập tin dữ liệu được giới thiệu là kho thông tin khách hàng của Thế Giới Di Động. Lịch sử giao dịch, loại thẻ thanh toán, số thẻ thanh toán (một số hiện đầy đủ 16 số), số tiền giao dịch… bị công khai được cho là đã thực hiện vào tháng 6, tháng 7-2016.

Trao đổi với Tuổi Trẻ ngày 8-11, đại diện Cục An toàn thông tin, Bộ Thông tin và Truyền thông cho biết cơ quan này đang xác minh vụ việc. Trong khi đó, các chuyên gia an ninh mạng đều cho rằng những thông tin được đưa lên mạng chưa đủ để khẳng định hệ thống mạng của Thế Giới Di Động đã bị tấn công và lộ dữ liệu.

Ông Ngô Tấn Vũ Khanh, Giám đốc phát triển thị trường VN của hãng bảo mật Kaspersky Lab, phân tích: giao dịch chính giữa khách hàng và Thế Giới Di Động hiện qua máy quẹt thẻ thanh toán (POS) và website thương mại điện tử.

Với quẹt thẻ, máy POS và hệ thống phần mềm của Thế Giới Di Động trên POS sẽ bị tách rời ra khỏi hệ thống thanh toán. Máy thanh toán bị kiểm soát (hay được cung cấp) bởi các đơn vị ngân hàng.

Máy POS chỉ lưu lại các thông tin cá nhân khách hàng khi mua hàng phục vụ cho các chương trình khuyến mãi hay các chương trình tích điểm, khách hàng thân thiết…

“Nhiệm vụ và chức năng của các máy POS không thể lưu lại thông tin thẻ tín dụng hay quốc tế của khách hàng” – ông Khanh nói và cho rằng Thế Giới Di Động không thể mạo hiểm thương hiệu để làm ra các phần mềm hay thiết bị để lưu lại các thông tin thẻ tín dụng của khách hàng.

Với giao dịch qua các website thương mại điện tử, ông Khanh cho rằng dù hacker có xâm nhập được hệ thống cũng không thể nào lấy được thông tin thẻ tín dụng từ máy chủ của Thế Giới Di Động.

“Đơn giản là vì Thế Giới Di Động sử dụng các cổng thanh toán trung gian. Ngay khi kích chuột vào chữ thanh toán Visa/Master hay các loại hình thanh toán khác, thông tin thanh toán sẽ được chuyển đến cổng thanh toán trung gian như: 123pay hay Napas”, ông Khanh nói.

Đại diện Công ty an ninh mạng Bkav cũng cho rằng: “Hiện tại, với những thông tin này vẫn chưa thể khẳng định Thế Giới Di Động có bị lộ dữ liệu hay không”.

Xem thêm  Thực tập sinh Việt Nam bị lừa đi dọn phóng xạ ở Nhật?

* Ông TRẦN ĐĂNG KHOA (Cục An toàn thông tin, Bộ Thông tin và Truyền thông):

Đã cử cán bộ làm việc với Thế Giới Di Động

Hiện Cục đã cử cán bộ kỹ thuật trực tiếp làm việc Thế Giới Di Động và đang xác minh cụ thể cũng như đôn đốc, hướng dẫn doanh nghiệp bảo đảm an toàn thông tin. Các tổ chức, doanh nghiệp cần tăng cường triển khai các biện pháp đảm bảo an toàn thông tin, định kỳ kiểm tra, rà quét điểm yếu, kịp thời xử lý.

Người dùng cũng cần cân nhắc kỹ trước khi cung cấp thông tin của mình cho các dịch vụ trên mạng, cần có thói quen định kỳ thay đổi các thông tin xác thực để giảm thiểu nguy cơ lộ lọt.

Nhiều doanh nghiệp Việt bảo mật kém

Theo ông Trần Đăng Khoa, đại diện Cục An toàn thông tin (Bộ Thông tin và Truyền thông), các đơn vị cung cấp dịch vụ thu thập, lưu trữ truyền gửi thông tin cá nhân phải tuân thủ nghiêm Luật an toàn thông tin mạng để bảo vệ thông tin cá nhân cho khách hàng.

Các đơn vị này phải có biện pháp kỹ thuật mã hóa, tuân thủ các quy chuẩn, tiêu chuẩn để đảm bảo không bị lộ lọt, ảnh hưởng quyền và lợi ích của người dân.

Trong khi đó, theo kết quả cuộc khảo sát công bố tháng 10-2018 do Công ty PwC phối hợp với Phòng thương mại và công nghiệp VN (VCCI) và Hội đồng doanh nghiệp vì sự phát triển bền vững VN (VBCSD) thực hiện, “không giải quyết được các vấn đề về an ninh, bảo mật dữ liệu” là một trong ba thách thức lớn nhất mà các doanh nghiệp VN đang gặp phải trong hành trình chuyển đổi số theo cách mạng công nghiệp 4.0.

Qua vụ việc của Thế Giới Di Động, ông Ngô Tấn Vũ Khanh nhấn mạnh đây là một hồi chuông cảnh báo cho các công ty lớn. Nếu cài đặt phần mềm bảo mật vào các máy POS, hacker có thể chiếm quyền điều khiển máy làm bàn đạp tấn công các giao dịch nếu thiết lập được một giao thức đủ tốt. Hiện nay tỉ lệ các công ty bán lẻ tại VN quan tâm đến bảo mật trên các máy POS chưa tới 5%.

Nhiều cuộc khảo sát cũng cho thấy bảo mật kém hoặc không chú trọng đến công tác bảo mật là đặc điểm cố hữu của nhiều người dùng cũng như một số doanh nghiệp Việt. Trong khi nhiều doanh nghiệp đã bị thiệt hại do các sự cố liên quan đến an ninh mạng, như: vụ website Vietnamairlines, website các cảng hàng không ở VN…

Không lưu trữ thông tin của khách

Ngày 8-11, dù thẻ của khách hàng đã bị tiết lộ cả 16 số nhưng trao đổi với Tuổi Trẻ Online, ông Đặng Thanh Phong, trưởng phòng truyền thông TGDĐ, cho biết doanh nghiệp này đã kiểm tra và khẳng định “hệ thống vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng. Mọi thông tin của khách hàng vẫn được bảo mật”.

Liên quan đến các thông tin thẻ của khách hàng, như số thẻ, ngày hết hạn, ngày giờ mua hàng… đã bị tiết lộ, ông Phong tái khẳng định công ty không lưu trữ những thông tin này “nên không thể có việc thông tin này bị lộ từ hệ thống của TGDĐ”.

Xem thêm  Vụ lộ thông tin thẻ thanh toán được cho là của Thế giới Di động: người dùng nên khoá các loại thẻ ngay!

Theo ông Phong, khi khách hàng mua hàng và cà thẻ tại cửa hàng, máy POS đọc thẻ của khách chính là máy của NH, từ đó chuyển dữ liệu về bốn NH mà hãng đang liên kết. Hệ thống của TGDĐ cũng không thể can thiệp vào quá trình này cũng như không được phép lưu trữ bất cứ thông tin nào của khách hàng.

Tình hình sẽ nóng hơn

Nhiều hãng bảo mật đã dự đoán tình hình an toàn thông tin của VN sẽ còn “nóng” hơn, các cuộc tấn công sẽ có sự góp mặt của các công nghệ thông minh hơn khi VN quyết tâm xây dựng thành phố thông minh, với thiết bị cảm biến, camera và các thiết bị IoT (internet vạn vật).

Dữ liệu từ Kaspersky Lab ghi nhận VN nằm trong top 3 quốc gia chịu ảnh hưởng về các cuộc tấn công nhắm vào những thiết bị IoT khi chiếm tỉ lệ tới 15% số lượng các cuộc tấn công trên toàn cầu (Trung Quốc chiếm 17%, Nga chiếm 8%).

Ngay các ứng dụng hẹn hò phổ biến, các nhà nghiên cứu bảo mật cũng đã cảnh báo có ứng dụng chuyển dữ liệu không được mã hóa của người dùng thông qua giao thức truy cập web không an toàn. Những ứng dụng này có hàng triệu lượt cài đặt trên thế giới và chỉ cần một lỗ hổng, người dùng có thể bị tấn công.

Tuy chưa có kết luận về việc lộ thông tin khách hàng của Thế Giới Di Động nhưng theo ông Trần Đăng Khoa, bất kỳ hành vi tấn công mạng trái phép gây ảnh hưởng tới quyền, lợi ích hợp pháp của các tổ chức, người dân đều phạm pháp.

Trong trường hợp bị tấn công mạng, các tổ chức cần nhanh chóng khắc phục và kịp thời thông báo cho Cục An toàn thông tin và các cơ quan chức năng liên quan để phối hợp xử lý.

Nhiều nơi siết chặt quy định

Chuyện lộ thông tin khách hàng ngày càng phổ biến trên thế giới, từ bê bối chấn động của Facebook cho đến gần đây tập đoàn tài chính HSBC thừa nhận tài khoản của các khách hàng Mỹ bị tin tặc đánh cắp. Nhiều nơi đã đẩy mạnh bảo vệ thông tin của công dân.

Châu Âu hồi giữa 2018 đã siết chặt việc các công ty thu thập, lưu trữ và xử lý thông tin người dùng. Theo đó, các công ty phải minh bạch và thông báo với người dùng về việc việc thu thập thông tin, buộc phải chấp nhận yêu cầu của những người muốn xóa bỏ hoặc xem/ chỉnh sửa thông tin của mình.

Trường hợp bị rò rỉ thông tin, doanh nghiệp phải thông báo cho người dùng trong vòng 72 giờ thay vì giấu nhẹm. Các công ty vi phạm sẽ đối mặt với hình phạt lên đến 20 triệu euro hoặc 4% lợi nhuận toàn cầu của năm trước đó, tùy vào mức nào cao hơn.

Tại Mỹ, Thượng nghị sĩ Ron Wyden của Oregon mới đây đề xuất đạo luật về bảo vệ thông tin mạnh mẽ, trong đó các công ty có thể đối mặt với mức phạt rất nặng và lãnh đạo cũng có nguy cơ bị bỏ tù 10 đến 20 năm nếu vi phạm.

Theo Tuổi trẻ

Link gốc