Nguy cơ mất an toàn thông tin cá nhân từ giao dịch trực tuyến

Những ngày qua, xảy ra liên tiếp các vụ lộ dữ liệu khách hàng của một số doanh nghiệp trên các diễn đàn trực tuyến. Sự cố này khiến người sử dụng dịch vụ thanh toán điện tử lo lắng khi hầu hết các đơn vị bán hàng đều thu thập thông tin khách hàng, trong khi vấn đề bảo mật an toàn thông tin trong các giao dịch mua, bán trực tuyến còn nhiều lỗ hổng.

Người dân mua hàng trực tuyến. Ảnh: ĐÀO NGỌC THẠCH

Dữ liệu cá nhân bị công khai trong vụ việc xảy ra ngày 7-11 vừa qua được cho là của khách hàng của hệ thống cửa hàng Thế giới di động, gồm các thông tin: Thư điện tử, thẻ ngân hàng, số tiền giao dịch. Vài ngày sau, tin tặc tiếp tục đưa lên tệp tin khác chứa thông tin của nhân viên hệ thống Thế giới di động; dữ liệu về mã hàng; thư điện tử của hệ thống, cá nhân, công ty. Tin tặc chia sẻ khá đầy đủ thông tin của người đã mua hàng, nhưng phần số thẻ tín dụng được che giấu một phần.

Một số khách hàng đã nhanh chóng kiểm tra và nhận thấy, thông tin, số thẻ của mình trùng khớp với dữ liệu được chia sẻ nêu trên và đã khóa thẻ. Điều này cho thấy, phần lớn dữ liệu mua hàng của khách hàng đã bị lưu lại trên hệ thống, sau đó tin tặc đã chiếm đoạt dữ liệu một thời gian dài trước khi chia sẻ trên mạng. Trong khi vụ việc nêu trên đang được cơ quan chức năng làm rõ động cơ, cá nhân liên quan thì ngày 10-11, tin tặc tiếp tục tung lên mạng một tệp tin với miêu tả là dữ liệu thông tin của các nhân viên hệ thống cửa hàng Con Cưng. Những người muốn tải dữ liệu phải trả một khoản phí. Tin tặc đã trích dẫn thông tin cụ thể của một nhân viên phòng tiếp thị của hệ thống cửa hàng Con Cưng gồm: họ và tên, ngày tháng năm sinh, số chứng minh thư, ngày cấp, nơi cấp, ngày bắt đầu thử việc, tình trạng hôn nhân, giới tính, số điện thoại di động, email, vị trí công việc... Tin tặc còn cho biết, đang có trong tay dữ liệu khách hàng của cửa hàng FPT Shop và chỉ bán cho những ai cần mua chứ không đăng công khai.

Trước thông tin cho rằng, những dữ liệu của khách hàng bị phát tán là giả mạo, chúng tôi đã thực hiện việc kiểm tra đối với một số thẻ tín dụng và kết quả thấy, các thẻ vẫn còn hiệu lực sử dụng, thông tin hoàn toàn chính xác. Điều này cho thấy, có lỗ hổng đối với việc lưu trữ, bảo mật dữ liệu của các đơn vị tiếp nhận thông tin thanh toán. Trao đổi với chúng tôi, đại diện truyền thông hệ thống cửa hàng Thế giới di động cho rằng, những dữ liệu được chia sẻ trên mạng không phải bị mất từ phía đơn vị. Đồng thời khẳng định, Thế giới di động trong quá trình giao dịch không lưu các thông tin liên quan về thẻ của khách hàng, cho nên không thể có chuyện thông tin bị lộ từ phía công ty. Tuy nhiên, theo ông Nguyễn Đức Tuấn (giảng viên Viện đại học Mở Hà Nội), hầu hết các đơn vị bán hàng hiện nay đều chuyển giao dịch qua một cổng thanh toán khác, không lưu dữ liệu thẻ của khách hàng, nhưng vẫn có nhiều hệ thống lưu dữ liệu thanh toán của khách hàng sau đó mới chuyển thông tin đến đơn vị thanh toán. Điều này khá nguy hiểm khi hệ thống của những cửa hàng này thường không được bảo mật, dễ dàng bị tin tặc tiến công, khi đó cơ sở dữ liệu, thông tin của khách hàng đã giao dịch sẽ bị tin tặc chiếm đoạt và sử dụng trái phép. Việc thực hiện các giao dịch trực tuyến, không sử dụng tiền mặt đang trở nên phổ biến, do đó, cần bảo đảm thông tin giao dịch của người dùng.

Thực tế cho thấy, nhiều đơn vị trung gian thanh toán lưu lại thông tin của khách hàng để tiện cho các giao dịch lần sau, nếu những đơn vị này không bảo mật tốt thì mất an toàn thông tin khách hàng có thể xảy ra. Thí dụ, khi thực hiện dịch vụ nạp tiền gọi xe thông minh, khách hàng phải điền thông tin, tài khoản lần đầu, hệ thống sẽ lưu giữ lại. Những lần sau, khách hàng muốn nạp tiền thì hệ thống đã có thông tin sẽ tự động trừ số tiền muốn nạp vào ví điện tử mà không cần phải xác thực từ phía ngân hàng hay qua tin nhắn. Như vậy, nếu tin tặc chiếm đoạt được cơ sở dữ liệu thì những thông tin của khách hàng sẽ không được bảo đảm an toàn. Chính vì vậy, Việt Nam cần sớm có các quy định về trách nhiệm của những đơn vị có hoạt động thu thập, lưu trữ thông tin dữ liệu của khách hàng, nhất là khi để lộ, lọt thông tin.

Giám đốc Trung tâm an ninh mạng Athena Võ Đỗ Thắng cho rằng, hiện nay, các cơ quan, đơn vị, tổ chức thường ít quan tâm đến vấn đề bảo mật và bảo đảm an toàn dữ liệu thông tin. Hầu hết chỉ đầu tư một phần, nếu có sự cố xảy ra thì xây dựng lại, nhưng trong kỷ nguyên số, việc mất dữ liệu sẽ khiến người dùng mất niềm tin đối với các đơn vị cung cấp dịch vụ, kéo theo nhiều sự cố về hệ thống và tốn kém chi phí để xử lý. Chính vì vậy, những đơn vị thực hiện việc giao dịch trực tuyến cần có phương án bảo đảm an toàn, an ninh mạng, còn người sử dụng dịch vụ nên giao dịch ở những địa chỉ lớn, tin cậy và luôn có biện pháp tăng cường bảo mật thanh toán như mật khẩu, số điện thoại, tin nhắn mã xác thực OTP… Kể cả khi khách hàng đã thay đổi số thẻ thì thông tin về số điện thoại, thư điện tử, lịch sử mua hàng, địa chỉ nhà… cũng là nguồn thông tin mà tin tặc có thể sử dụng để thực hiện các hành vi trái pháp luật. Trước nguy cơ mất an ninh mạng ngày càng cao, các chuyên gia khuyến cáo, doanh nghiệp Việt Nam cần xây dựng những chiến lược an ninh bảo mật thông tin tổng thể, luôn có phương án nâng cấp hệ thống trong quá trình hoạt động, giảm rủi ro, thiệt hại cho người tiêu dùng.

NHẬT MINH