VIỆT NAM - Theo chuyên gia bảo mật Nguyễn Hồng Phúc, không riêng gì Agoda, quy trình quản lý thông tin thẻ tín dụng của người dùng là vấn đề chung của các ứng dụng đặt phòng online.
Trong email trả lời anh Phạm Ngọc Hiếu về việc toàn bộ thông tin thẻ tín dụng của mình bị tiết lộ cho đối tác, dịch vụ đặt phòng Agoda cho biết, việc cung cấp thông tin thẻ tín dụng là "bắt buộc đối với các đặt phòng và trả tiền cho chỗ nghỉ".
Theo Agoda, thông tin chuyển khoản này là "điều kiện để đặt phòng trả tiền trực tiếp cho chỗ nghỉ được giữ chỗ". Vì vậy, trong trường hợp khách hàn vắng mặt, chỗ nghỉ vẫn có thể "thu tiền theo thông tin đã được cung cấp cho đặt phòng". Điều này cũng đồng nghĩa với việc đối tác lưu trú của Agoda được biết toàn bộ thông tin thẻ tín dụng của khách hàng – bao gồm cả mã số bảo mật CVV (hoặc CVC).
Email trả lời của Agoda với khách hàng về việc bị lộ thông tin thẻ tín dụng (genk.vn)
Tuy nhiên, điều đáng nói là dù các thông tin tín dụng nhạy cảm của người dùng được chia sẻ với các bên thứ ba, các biện pháp bảo mật của Agoda đối với những thông tin này gần như không đáng kể khi chỉ "yêu cầu chỗ nghỉ điều chỉnh lại quy trình liên quan đến các cách thức trả tiền cho đơn đặt phòng, không tự ý sao lưu thông tin thẻ ra giấy tờ, bảo đảm dãy 16 số thẻ bị che một phần và che hoàn toàn số bảo mật CVC."
Điều này cho thấy Agoda giao phó hoàn toàn trách nhiệm bảo vệ thông tin chuyển tiền của khách hàng cho phía đối tác chỗ nghỉ mà không có cách nào kiểm soát được thông tin đó có bị rò rỉ hoặc tiết lộ ra ngoài hay không.
Nên nhớ năm 2018 từng xảy ra một vụ việc tương tự khi thông tin thẻ tín dụng VISA của khách hàng tên Hiền Vũ cũng bị tiết lộ hoàn toàn khi đặt phòng qua Agoda. Diễn biến vụ việc cũng tương tự khi khách hàng biết được điều này vì lễ tân khách sạn tại Phú Quốc có thể in ra toàn bộ thông tin thẻ tín dụng của mình, bao gồm cả số thẻ và mã số bảo mật CVC. Một sự cố lặp lại sau nhiều năm cho thấy gần như không có nhiều cải thiện về khả năng bảo mật thông tin thẻ của Agoda.
Khách hàng Ngọc Hiếu chỉ biết được việc mình bị lộ thông tin thẻ khi lễ tân khách sạn vô tình in ra toàn bộ thông tin này.
Là một trong các nền tảng đặt phòng online phổ biến trên thế giới với việc liên kết với hàng triệu chỗ nghỉ khác nhau cũng như lưu trữ và xử lý việc trả tiền cho hàng chục triệu người dùng mỗi năm, cách làm này của Agoda quá thiếu an toàn.
Trên thực tế, vấn đề này không chỉ của riêng Agoda mà còn là của ngành dịch vụ đặt phòng online. Theo chuyên gia bảo mật Nguyễn Hồng Phúc, vấn đề này còn gặp ở nhiều dịch vụ đặt phòng online khác. Theo anh Phúc, "trong ngành hospitality (dịch vụ lưu trú) việc họ share nguyên thẻ khách là thông thường rồi nhiều bên khác như các app của các hệ thống khách sạn lớn như A...., I.... cũng share thẻ mà mình nhập lên hệ thống cho khách sạn".
"Nên có 2 vấn đề đã đang và vẫn sẽ xảy ra:
1. thẻ lưu trên các ứng dụng đặt phòng khách sạn đều sẽ lưu không mã hoá (đây là lý do họ có toàn bộ thông tin mã thẻ và CVV) nên nếu hacker mà truy cập được ứng dụng thì sẽ có toàn bộ thông tin này.
2. Ứng dụng sẽ luôn gửi thẻ cho khách sạn toàn bộ thông tin như vậy để thu tiền các dịch vụ lưu trú. Cùng với đó là việc lộ thông tin thẻ là điều đương nhiên vì quy trình này."
Các nhận định trên cho thấy, có thể nói các kẽ hở trong quy trình quản lý thông tin thẻ của khách hàng là một trong các nguồn gốc lớn nhất cho việc rò rỉ thông tin thẻ tín dụng trên internet.
Các phương thức chuyển tiền như Apple Pay và Google Pay giúp người dùng giấu số thẻ tín dụng khi thực hiện việc trả tiền trên môi trường trực tuyến
Đứng trước nguy cơ này, người dùng có lẽ không còn cách nào khác ngoài việc tự bảo vệ thông tin thẻ của mình. Một giải pháp công nghệ khả thi cho những trường hợp này là việc sử dụng các phương thức chuyển tiền được bảo mật trên smartphone, ví dụ Apple Pay, Google Pay, PayPal, hoặc AliPay. Các phương thức chuyển tiền này cũng được liệt kê trên website của Booking.com để người dùng sử dụng khi tiến hành đặt phòng trên nền tảng này.
Ưu điểm của các phương thức chuyển tiền này là thông tin thẻ trả tiền sẽ được mã hóa thêm một lớp nữa, giúp giấu kín thông tin người dùng nhưng vẫn có thể hoàn thành được các bước trả tiền.
(Theo genk.vn)