Nhìn lại cách Agoda "chia sẻ" thông tin thẻ tín dụng của người dùng, chuyên gia đánh giá: Lộ thông tin thẻ là điều đương nhiên thôi

Thứ 2, 02/09/2024 16:15
Theo chuyên gia bảo mật Nguyễn Hồng Phúc, không riêng gì Agoda, quy trình quản lý thông tin thẻ tín dụng của người dùng là vấn đề chung của các ứng dụng đặt phòng online.

Trong email trả lời anh Phạm Ngọc Hiếu về việc toàn bộ thông tin thẻ tín dụng của mình bị tiết lộ cho đối tác, dịch vụ đặt phòng Agoda cho biết, việc cung cấp thông tin thẻ tín dụng là "bắt buộc đối với các đặt phòng thanh toán cho chỗ nghỉ".

Theo Agoda, thông tin thanh toán này là "điều kiện để đặt phòng thanh toán trực tiếp cho chỗ nghỉ được giữ chỗ". Vì vậy, trong trường hợp khách hàn vắng mặt, chỗ nghỉ vẫn có thể "thu tiền theo thông tin đã được cung cấp cho đặt phòng". Điều này cũng đồng nghĩa với việc đối tác lưu trú của Agoda được biết toàn bộ thông tin thẻ tín dụng của khách hàng – bao gồm cả mã số bảo mật CVV (hoặc CVC).

Nhìn lại cách Agoda "chia sẻ" thông tin thẻ tín dụng của người dùng, chuyên gia đánh giá: Lộ thông tin thẻ là điều đương nhiên thôi- Ảnh 1.

Nhìn lại cách Agoda "chia sẻ" thông tin thẻ tín dụng của người dùng, chuyên gia đánh giá: Lộ thông tin thẻ là điều đương nhiên thôi- Ảnh 2.

Email trả lời của Agoda với khách hàng về việc bị lộ thông tin thẻ tín dụng

Tuy nhiên, điều đáng nói là dù các thông tin tín dụng nhạy cảm của người dùng được chia sẻ với các bên thứ ba, các biện pháp bảo mật của Agoda đối với những thông tin này gần như không đáng kể khi chỉ "yêu cầu chỗ nghỉ điều chỉnh lại quy trình liên quan đến các phương tiện thanh toán đơn đặt phòng, không tự ý sao lưu thông tin thẻ ra giấy tờ, đảm bảo dãy 16 số thẻ bị che một phần và che hoàn toàn số bảo mật CVC."

Điều này cho thấy Agoda giao phó hoàn toàn trách nhiệm bảo vệ thông tin thanh toán của khách hàng cho phía đối tác chỗ nghỉ mà không có cách nào kiểm soát được thông tin đó có bị rò rỉ hoặc tiết lộ ra ngoài hay không.

Nên nhớ năm 2018 từng xảy ra một vụ việc tương tự khi thông tin thẻ tín dụng VISA của khách hàng tên Hiền Vũ cũng bị tiết lộ hoàn toàn khi đặt phòng qua Agoda. Diễn biến vụ việc cũng tương tự khi khách hàng biết được điều này vì lễ tân khách sạn tại Phú Quốc có thể in ra toàn bộ thông tin thẻ tín dụng của mình, bao gồm cả số thẻ và mã số bảo mật CVC. Một sự cố lặp lại sau nhiều năm cho thấy gần như không có nhiều cải thiện về khả năng bảo mật thông tin thẻ của Agoda.

Nhìn lại cách Agoda "chia sẻ" thông tin thẻ tín dụng của người dùng, chuyên gia đánh giá: Lộ thông tin thẻ là điều đương nhiên thôi- Ảnh 3.

Khách hàng Ngọc Hiếu chỉ biết được việc mình bị lộ thông tin thẻ khi lễ tân khách sạn vô tình in ra toàn bộ thông tin này.

Là một trong các nền tảng đặt phòng online phổ biến trên thế giới với việc liên kết với hàng triệu chỗ nghỉ khác nhau cũng như lưu trữ và xử lý thanh toán cho hàng chục triệu người dùng mỗi năm, cách làm này của Agoda quá thiếu an toàn.

Trên thực tế, vấn đề này không chỉ của riêng Agoda mà còn là của ngành dịch vụ đặt phòng online. Theo chuyên gia bảo mật Nguyễn Hồng Phúc, vấn đề này còn gặp ở nhiều dịch vụ đặt phòng online khác. Theo anh Phúc, "trong ngành hospitality (dịch vụ lưu trú) việc họ share nguyên thẻ khách là thông thường rồi nhiều bên khác như các app của các hệ thống khách sạn lớn như A...., I.... cũng share thẻ mà mình nhập lên hệ thống cho khách sạn".

Nhìn lại cách Agoda "chia sẻ" thông tin thẻ tín dụng của người dùng, chuyên gia đánh giá: Lộ thông tin thẻ là điều đương nhiên thôi- Ảnh 4.

Chuyên gia bảo mật Nguyễn Hồng Phúc

"Nên có 2 vấn đề đã đang và vẫn sẽ xảy ra:

1. thẻ lưu trên các ứng dụng đặt phòng khách sạn đều sẽ lưu không mã hoá (đây là lý do họ có toàn bộ thông tin mã thẻ và CVV) nên nếu hacker mà truy cập được ứng dụng thì sẽ có toàn bộ thông tin này.

2. Ứng dụng sẽ luôn gửi thẻ cho khách sạn toàn bộ thông tin như vậy để thu tiền các dịch vụ lưu trú. Cùng với đó là việc lộ thông tin thẻ là điều đương nhiên vì quy trình này." Anh Phúc cho biết thêm.

Các nhận định trên cho thấy, có thể nói các kẽ hở trong quy trình quản lý thông tin thẻ của khách hàng là một trong các nguồn gốc lớn nhất cho việc rò rỉ thông tin thẻ tín dụng trên internet.

Nhìn lại cách Agoda "chia sẻ" thông tin thẻ tín dụng của người dùng, chuyên gia đánh giá: Lộ thông tin thẻ là điều đương nhiên thôi- Ảnh 5.

Các phương thức thanh toán như Apple Pay và Google Pay giúp người dùng giấu số thẻ tín dụng khi thực hiện thanh toán trên môi trường trực tuyến

Đứng trước nguy cơ này, người dùng có lẽ không còn cách nào khác ngoài việc tự bảo vệ thông tin thẻ của mình. Một giải pháp công nghệ khả thi cho những trường hợp này là việc sử dụng các phương thức thanh toán bảo mật trên smartphone, ví dụ Apple Pay, Google Pay, PayPal, hoặc AliPay. Các phương thức thanh toán này cũng được liệt kê trên website của Booking.com để người dùng sử dụng khi tiến hành đặt phòng trên nền tảng này.

Ưu điểm của các phương thức thanh toán này là thông tin thẻ thanh toán sẽ được mã hóa thêm một lớp nữa, giúp giấu kín thông tin người dùng nhưng vẫn có thể hoàn thành được quá trình thanh toán.

Nguyễn Hải

Cùng chuyên mục

Đang cãi nhau với vợ, người đàn ông bỗng hét lên đau đớn, cảnh tượng sau đó ai thấy cũng tái mặt

Thứ 5, 19/09/2024 14:02
Nhất thời nóng giận định giơ tay đánh vợ, người đàn ông nhận cái kết hú hồn.

Từ vụ thanh niên 18 tuổi tử vong khi cắt bao quy đầu: Có phòng ngừa được biến chứng đáng tiếc?

Thứ 5, 19/09/2024 13:58
Đến Trung tâm Y tế huyện Thanh Ba (tỉnh Phú Thọ) để cắt bao quy đầu, trong quá trình thực hiện thủ thuật, nam thanh niên 18 tuổi đã tử vong, nghi do sốc phản vệ.

Hơn 1 triệu người hóng vụ sao nam hội bạn Trấn Thành bị bắt gặp làm lao công ở sân bay

Thứ 5, 19/09/2024 13:57
Clip sao nam Vbiz làm việc ở sân bay thu hút hàng triệu lượt xem, sự thật phía sau mới bất ngờ.

Máy bay phải hạ cánh khẩn cấp vì nhiều hành khách đồng loạt bị thủng màng nhĩ, chảy máu mũi 

Thứ 5, 19/09/2024 13:41
Một số hành khách cho biết cảm thấy tai mình "như nổ tung" vì áp suất trong cabin.

Bom tấn mới của Tencent chính thức mở thử nghiệm kín, game thủ Việt liệu có chơi được?

Thứ 5, 19/09/2024 12:00
Thời điểm ra mắt của bom tấn mới Tencent đã không còn xa.
     
Nổi bật trong ngày

Trung thu không rước đèn của trẻ em Làng Nủ: Bánh kẹo vẫn được đặt trên chỗ ngồi trống, nhiều bé lần đầu được ăn xúc xích

Thứ 4, 18/09/2024 10:50
Vào ngày Trung thu năm nay, các em học sinh tại Làng Nủ vẫn có kẹo bánh, nhưng lại thiếu vắng tiếng cười.

Vụ HAGL bị kiện lên FIFA: Ngoại binh tố "ký giấy nhưng chưa được trả tiền", đội bầu Đức đáp trả ra sao?

Thứ 4, 18/09/2024 14:51
Vụ việc HAGL bị ngoại binh Martin Dzilah kiện lên FIFA có những diễn biến mới phức tạp và có thể còn tiếp tục tạo nên nhiều tranh cãi trong thời gian tới.

Đạt được chỉ số “vô tiền khoáng hậu”, game thủ Vương Giả Vinh Diệu này khiến người xem phải nghi ngờ nhân sinh

Thứ 4, 18/09/2024 16:15
Chưa từng có game thủ nào đạt được điều tương tự anh chàng này.

Một sự kiện đang được người hâm mộ ban nhạc huyền thoại The Beatles tại Việt Nam mong chờ, hứa hẹn tái hiện ký ức thanh xuân

Thứ 4, 18/09/2024 20:04
Ban nhạc The Bootleg Beatles nối tiếng với khả năng tái hiện âm nhạc của huyền thoại The Beatles sẽ đến Việt Nam biểu diễn vào cuối tháng 10.

Nam nghệ sĩ Việt bật khóc khi phát hiện bị viêm não: “Sau này con không biết gì, xin mẹ đừng bỏ con”

Thứ 5, 19/09/2024 10:01
“Khi bác sĩ chẩn đoán tôi bị viêm não đa ổ tiến triển, sẽ mất ý thức, ngồi ngô nghê không biết gì hết, tôi sụp đổ. Tôi không nghĩ về mình mà chỉ nghĩ tới mẹ”, nam nghệ sĩ Việt kể.
xe.nguoiduatin.vn