Hệ thống Thế Giới Di Động không bị tấn công mạng
Hệ thống Thế Giới Di Động không bị tấn công mạng
Cơ quan chức năng chưa thấy dấu hiệu tấn công sau khi hacker tung danh sách email và giao dịch được cho là của khách hàng Thế Giới Di Động.
Theo Cục An toàn Thông tin (Bộ Thông tin và Truyền thông), đến nay chưa nhận thấy có dấu hiệu tấn công mạng vào các hệ thống của Thế Giới Di Động. Đơn vị này cũng khẳng định các thông tin quan trọng của thẻ tín dụng khách hàng không được lưu trữ trên hệ thống do Thế Giới Di Động quản lý.
"Với thực trạng nhận thức hiện nay của người dùng, doanh nghiệp ở Việt Nam về việc bảo vệ thông tin cá nhân, thông tin email có thể được thu thập từ nhiều nguồn khác nhau và có thể từng bị lộ trước đây, hoặc bị lừa đảo", Cục cho biết.
Tương tự, Bkav cũng cho biết, với những dữ liệu hiện có, chưa thể khẳng định Thế Giới Di Động bị tấn công. Các chuyên gia an ninh mạng cho biết hơn 5 triệu địa chỉ email có thể là dữ liệu trên hệ thống website hoặc nhật ký giao dịch của công ty này, mà cũng có thể chỉ là danh sách email được "cào" trên mạng. Những tập tin này không thể nói lên được là bị đánh cắp từ Thế Giới Di Động.
Về 31.000 bản ghi liệt kê số thẻ ngân hàng, ngày giờ giao dịch, số tiền giao dịch cùng một số thông tin khác, Bkav nói "chưa thể khẳng định các thông tin thẻ tín dụng này có chính xác hay không".
Thông tin thẻ tín dụng bị lộ trên RaidForums.
|
Hệ thống Thế Giới Di Động tối 7/11 cũng phát đi thông báo khẳng định rằng hệ thống của họ không bị hack. Theo thông báo này, công ty không lưu trữ những thông tin như số thẻ, ngày hết hạn, ngày giờ mua hàng... của khách nên không thể có việc những thông tin này bị lộ từ hệ thống của họ.
"Khi khách mua và cà thẻ tại cửa hàng, máy POS đọc thẻ của khách là máy của ngân hàng. Như vậy bản chất là ngân hàng đang đọc thẻ của khách và chuyển dữ liệu về hệ thống của họ, Thế Giới Di Động không can thiệp vào quá trình này cũng như không được phép lưu trữ bất cứ thông tin nào của khách hàng", công ty giải thích. "Khi thanh toán online, thông tin sẽ nhảy sang cổng thanh toán của một bên thứ ba, nên trang web Thế Giới Di Động không thể lưu các thông tin của khách", thông báo nói.
Theo các chuyên gia trong lĩnh vực ngân hàng, có thể rủi ro nằm ở khâu thanh toán trực tuyến. Thông thường, các điểm chấp nhận thanh toán như Thế Giới Di Động sẽ liên kết với một đơn vị trung gian thanh toán là bên thứ ba và khả năng bị lộ số thẻ là ở trung gian thanh toán này. Tuy nhiên, chỉ số thẻ mới có thể bị lộ còn mã CVV thì rất khó, nên kẻ xấu chưa thể lấy được tiền của người dùng.
Vị này cho biết hiện nay thông tin đối soát giữa ngân hàng và điểm chấp nhận thanh toán đều được mã hóa các số thẻ ở giữa. Song thông tin mà hacker có được là từ 2016 nên không loại trừ khả năng lúc đó tiêu chuẩn bảo mật của một số ngân hàng còn lỏng lẻo, yếu kém... nên khi gửi tra soát cho điểm chấp nhận thanh toán đã không mã hoá số thẻ ở giữa khiến thông tin bị đánh cắp.
Một khả năng khác là một số điểm bán hàng đã không tuân thủ đúng quy trình của ngân hàng. Tức là, họ tự ý gõ dữ liệu tên chủ thẻ và các thông tin cá nhân liên quan vào một trang riêng để lưu trữ dẫn đến nguy cơ bị đánh cắp dữ liệu có thể xảy ra.
Ngày 6/11, trên diễn đàn RaidForums, một thành viên đã chia sẻ tập tin chứa 5,4 triệu địa chỉ email được cho là của khách hàng Thế Giới Di Động. Một file khác xuất hiện ngay sau đó có hơn 61.000 email được cho là của nhân viên công ty này, với định dạng Tên người dùng@thegioididong.com.
Thành viên này sáng 7/11 đã tung tiếp các dữ liệu khác và tuyên bố là thông tin của khách hàng hệ thống Thế Giới Di Động. File excel chứa hơn 31.000 bản ghi, liệt kê số thẻ ngân hàng, ngày giờ giao dịch, số tiền giao dịch cùng một số thông tin khác. Tập tin cũng liệt kê điểm thực hiện giao dịch chi tiết tới chi nhánh nào của Thế Giới Di Động hay Điện Máy Xanh. Các giao dịch được cho là thực hiện từ ngày 29/6 đến 18/7/2016.
Tối cùng ngày, thành viên này tiếp tục tung lên một tập tin bao gồm 32 hàng, trong đó có đầy đủ 16 chữ số được cho là số thẻ ngân hàng đầy đủ và được cho là từng giao dịch tại Thế Giới Di Động.
Việc lộ 16 chữ số trên thẻ ngân hàng tiềm ẩn nguy cơ người dùng bị mất tiền. Tuy nhiên, để thực sự lấy cắp được, kẻ xấu cần phải biết thêm ít nhất là ngày hết hạn của thẻ. Còn đa số điểm chấp nhận thanh toán yêu cầu tên chủ thẻ, 16 chữ số trên thẻ, ngày hết hạn và CVV (ba số phía sau). Hiện nay, nhiều thẻ còn tăng cường bảo mật với 3D security, tức là cần nhập cả mã OTP khi thực hiện giao dịch.
Đình Nam
