Từ vụ Agoda "chia sẻ" thông tin thẻ tín dụng của người dùng, chuyên gia bảo mật tiết lộ lý do bất ngờ của việc lộ mã số thẻ

[sunshine1104]

Trong email trả lời anh Phạm Ngọc Hiếu về việc toàn bộ thông tin thẻ tín dụng của mình bị tiết lộ cho đối tác, dịch vụ đặt phòng Agoda cho biết, việc cung cấp thông tin thẻ tín dụng là "bắt buộc đối với các đặt phòng thanh toán cho chỗ nghỉ".

Theo Agoda, thông tin thanh toán này là "điều kiện để đặt phòng thanh toán trực tiếp cho chỗ nghỉ được giữ chỗ". Vì vậy, trong trường hợp khách hàn vắng mặt, chỗ nghỉ vẫn có thể "thu tiền theo thông tin đã được cung cấp cho đặt phòng". Điều này cũng đồng nghĩa với việc đối tác lưu trú của Agoda được biết toàn bộ thông tin thẻ tín dụng của khách hàng – bao gồm cả mã số bảo mật CVV (hoặc CVC).

Tuy nhiên, điều đáng nói là dù các thông tin tín dụng nhạy cảm của người dùng được chia sẻ với các bên thứ ba, các biện pháp bảo mật của Agoda đối với những thông tin này gần như không đáng kể khi chỉ "yêu cầu chỗ nghỉ điều chỉnh lại quy trình liên quan đến các phương tiện thanh toán đơn đặt phòng, không tự ý sao lưu thông tin thẻ ra giấy tờ, đảm bảo dãy 16 số thẻ bị che một phần và che hoàn toàn số bảo mật CVC."

Điều này cho thấy Agoda giao phó hoàn toàn trách nhiệm bảo vệ thông tin thanh toán của khách hàng cho phía đối tác chỗ nghỉ mà không có cách nào kiểm soát được thông tin đó có bị rò rỉ hoặc tiết lộ ra ngoài hay không.

Nên nhớ năm 2018 từng xảy ra một vụ việc tương tự khi thông tin thẻ tín dụng VISA của khách hàng tên Hiền Vũ cũng bị tiết lộ hoàn toàn khi đặt phòng qua Agoda. Diễn biến vụ việc cũng tương tự khi khách hàng biết được điều này vì lễ tân khách sạn tại Phú Quốc có thể in ra toàn bộ thông tin thẻ tín dụng của mình, bao gồm cả số thẻ và mã số bảo mật CVC. Một sự cố lặp lại sau nhiều năm cho thấy gần như không có nhiều cải thiện về khả năng bảo mật thông tin thẻ của Agoda.

Là một trong các nền tảng đặt phòng online phổ biến trên thế giới với việc liên kết với hàng triệu chỗ nghỉ khác nhau cũng như lưu trữ và xử lý thanh toán cho hàng chục triệu người dùng mỗi năm, cách làm này của Agoda quá thiếu an toàn.

Trên thực tế, vấn đề này không chỉ của riêng Agoda mà còn là của ngành dịch vụ đặt phòng online. Theo chuyên gia bảo mật Nguyễn Hồng Phúc, vấn đề này còn gặp ở nhiều dịch vụ đặt phòng online khác. Theo anh Phúc, "trong ngành hospitality (dịch vụ lưu trú) việc họ share nguyên thẻ khách là thông thường rồi nhiều bên khác như các app của các hệ thống khách sạn lớn như A...., I.... cũng share thẻ mà mình nhập lên hệ thống cho khách sạn".

"Nên có 2 vấn đề đã đang và vẫn sẽ xảy ra:

1. thẻ lưu trên các ứng dụng đặt phòng khách sạn đều sẽ lưu không mã hoá (đây là lý do họ có toàn bộ thông tin mã thẻ và CVV) nên nếu hacker mà truy cập được ứng dụng thì sẽ có toàn bộ thông tin này.

2. Ứng dụng sẽ luôn gửi thẻ cho khách sạn toàn bộ thông tin như vậy để thu tiền các dịch vụ lưu trú. Cùng với đó là việc lộ thông tin thẻ là điều đương nhiên vì quy trình này." Anh Phúc cho biết thêm.

Các nhận định trên cho thấy, có thể nói các kẽ hở trong quy trình quản lý thông tin thẻ của khách hàng là một trong các nguồn gốc lớn nhất cho việc rò rỉ thông tin thẻ tín dụng trên internet.

Đứng trước nguy cơ này, người dùng có lẽ không còn cách nào khác ngoài việc tự bảo vệ thông tin thẻ của mình. Một giải pháp công nghệ khả thi cho những trường hợp này là việc sử dụng các phương thức thanh toán bảo mật trên smartphone, ví dụ Apple Pay, Google Pay, PayPal, hoặc AliPay. Các phương thức thanh toán này cũng được liệt kê trên website của Booking.com để người dùng sử dụng khi tiến hành đặt phòng trên nền tảng này.

Ưu điểm của các phương thức thanh toán này là thông tin thẻ thanh toán sẽ được mã hóa thêm một lớp nữa, giúp giấu kín thông tin người dùng nhưng vẫn có thể hoàn thành được quá trình thanh toán.