Từ vụ nghi lộ 31 nghìn tài khoản ngân hàng từ TGDĐ: Nỗi lo từ thanh toán trực tuyến

Tấn công hay dàn dựng?

Hôm 6/11, trên Diễn đàn RaidForums, một thành viên đã chia sẻ tập tin chứa 5,4 triệu địa chỉ email được cho là của khách hàng TGDĐ. Một file khác xuất hiện ngay sau đó có hơn 61.000 email được cho là của nhân viên Công ty này, với định dạng Tên người dùng @thegioididong.com.

Thành viên này sau đó đã tung lên Diễn đàn các dữ liệu khác và tuyên bố là thông tin của khách hàng hệ thống TGDĐ. File Excel chứa hơn 31.000 bản ghi, trong đó có đầy đủ 16 chữ số được cho là số thẻ ngân hàng đầy đủ. Tập tin cũng liệt kê điểm thực hiện giao dịch chi tiết tới chi nhánh nào của TGDĐ hay Điện Máy Xanh. Các giao dịch được cho là thực hiện từ ngày 29/6 đến 18/7/2016.

Ngay khi thông tin được phát tán, TGDĐ đã ra Thông cáo báo chí khẳng định đây là thông tin không chính xác. “Chúng tôi đã kiểm tra các thông tin được phản ánh và khẳng định hệ thống Công nghệ thông tin của TGDĐ vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng. Mọi thông tin của khách hàng vẫn được bảo mật và khách hàng không cần phải lo lắng cũng như có bất kỳ hành động nào liên quan đến thông tin thất thiệt này…” - đại diện TGDĐ khẳng định và trấn an khách hàng.

Về phía cơ quan quản lý nhà nước, Cục ATTT, Trung  tâm Ứng cứu khẩn cấp máy tính Việt Nam – VNCERT cũng đã cử cán bộ kỹ thuật trực tiếp làm việc với TGDĐ để hỗ trợ sau khi thông tin này được chia sẻ trên không gian mạng. Sáng qua (9/11), Cục ATTT cũng ra Thông cáo báo chí cho biết, tính tới ngày 9/11, cơ quan này “chưa nhận thấy có dấu hiệu tấn công vào các thành phần hệ thống liên quan tới thông tin cá nhân bị công bố”. Cơ quan này cũng cho biết sẽ tiếp tục phối hợp với TGDĐ và các cơ quan chức năng liên quan kiểm tra, rà soát. 

Dưới góc độ chuyên gia, ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách an ninh mạng BKAV nhận định khả năng đây là sự dàn dựng bởi qua kiểm tra có nhiều mâu thuẫn, đơn cử như có những người chưa từng có giao dịch với TGDĐ nhưng có địa chỉ email trong danh sách này. “Tất nhiên việc TGDĐ có bị tấn 

công hay không, chúng ta cần có một thời gian nữa để rà soát kiểm tra hệ thống một cách kỹ càng hơn. Tuy nhiên với những thông tin đưa trên mạng, ngoài thông tin trong 5 triệu địa chỉ email có một số email không chính xác thì các thông tin sau đó, về mặt kỹ thuật cũng có nhiều thông tin mâu thuẫn để chứng minh hệ thống TGDĐ bị tấn công…” - Chuyên gia BKAV phân tích. 

Lộ từ đâu?

Liên quan đến các thông tin thẻ của khách hàng (số thẻ, ngày hết hạn, ngày giờ mua hàng…) bị lộ, trong Thông cáo phát đi, TGDĐ khẳng định, TGDĐ không lưu trữ những thông tin này của khách hàng nên không thể có việc những thông tin này bị lộ từ hệ thống của TGDĐ.

“Khi khách hàng mua hàng và cà thẻ tại cửa hàng, máy POS đọc thẻ của khách và là máy của ngân hàng. Như vậy, bản chất là ngân hàng đang đọc thẻ của khách và chuyển dữ liệu về ngân hàng, hệ thống của TGDĐ không can thiệp vào quá trình này cũng như không được phép lưu trữ bất cứ thông tin nào của khách hàng. 

Cũng tương tự nếu khách hàng thanh toán online qua trang web, khi thanh toán sẽ nhảy sang cổng thanh toán của một bên thứ ba, nên trang web TGDĐ không thể lưu các thông tin của khách. Như vậy, việc hacker tuyên bố đã hack vào hệ thống TGDĐ để lấy một thông tin mà Công ty không lưu trữ là một điều không có thực...” – Thông cáo của doanh nghiệp (DN) này phân tích.

Nhắc lại cách giải thích này, đại diện Cục ATTT nhận định: “Với thực trạng nhận thức hiện nay của một bộ phận người dùng, cơ quan, tổ chức, DN ở Việt Nam về việc bảo vệ thông tin cá nhân thì thông tin email có thể được thu thập từ nhiều nguồn khác nhau đã từng lộ, lọt trước đây hoặc thông qua lừa đảo”. 

Không bất ngờ với thông tin khách hàng TGDĐ bị lộ thông tin cá nhân, Luật sư Trương Thanh Đức, Chủ tịch Công ty Luật BASICO, một chuyên gia trong lĩnh vực tài chính ngân hàng cho biết ông vẫn hay nhận được những lời mời chào mua bán thông tin cá nhân, DN.

Vị Luật sư này cho rằng có 2 loại nguồn thông tin khác nhau có thể bị lộ. Thứ nhất là thông tin khách hàng giao dịch với DN bán hàng. Thứ hai là thông tin về tài khoản ngân hàng. Loại thứ nhất, kiểu gì TGDĐ cũng có và phải chịu trách nhiệm khi bị lộ. Loại thứ hai, theo đúng quy định thì các DN không có được, trừ trường hợp cố tình vi phạm, thu thập thông tin của khách hàng.

Ngoài ra, thông tin của DN hay của ngân hàng thì cũng có thể bị người thứ 3, chẳng hạn như nhà cung cấp dịch vụ công nghệ hay đối tác khác của các bên làm lộ. Vì vậy, “không có gì là không thể”, còn lộ ở đâu cần phải điều tra kỹ càng bởi số lượng tài khoản bị lộ là khá lớn và được cho là khách hàng của TGDĐ. Theo tôi, có đến 90% người dân hiện nay không yên tâm với túi tiền của mình trong tài khoản ngân hàng…” - Luật sư Đức phát biểu.