Dồn dập hack thông tin khách hàng
Sau khi tung hơn 5,4 triệu email của nhân viên và khách hàng được cho từ hệ thống bán lẻ Thế Giới Di Động, nay các tin tặc lại tung thông tin hơn 2.200 nhân viên Con Cưng lên mạng...
Ảnh: Ngọc Dương
|
Sau khi tung hơn 5,4 triệu email của nhân viên và khách hàng được cho từ hệ thống bán lẻ Thế Giới Di Động, nay các tin tặc lại tung thông tin hơn 2.200 nhân viên Con Cưng lên mạng và công bố sẽ tiếp tục với thông tin khách hàng của FPT Shop.
Ngân hàng, viễn thông, bán lẻ bị "nhòm ngó"
Danh sách nhân viên từ hệ thống Con Cưng (concung.com) được đưa lên diễn đàn RaidForums vào ngày 10.11, chỉ sau một ngày Cục An toàn thông tin (Bộ Thông tin - Truyền thông) đưa ra kết luận hệ thống của Thế Giới Di Động không bị tấn công.
Sau khi phân tích từ dữ liệu mà tin tặc tung ra, các chuyên gia từ Diễn đàn hacker WhiteHat cho biết dữ liệu đó bao gồm 2.272 họ và tên nhân viên kèm chức vụ, bộ phận, địa chỉ cửa hàng làm việc cùng 2.187 số điện thoại, 1.133 email, 2.272 số CMND hoặc hộ chiếu, 1.395 ảnh đại diện và nhiều thông tin cá nhân khác đều chính xác.
Các chuyên gia từ WhiteHat tạm thời kết luận đúng là dữ liệu từ Con Cưng đã bị rò rỉ ra ngoài. Với những thông tin bị lộ, có thể trong thời gian tới các nhân viên của hệ thống này sẽ phải đối mặt với những cuộc gọi và email spam.
Chuyên gia WhiteHat khuyến cáo không nên mở những tệp tin lạ được gửi qua điện thoại và email. Đồng thời nhân viên nên đổi ngay mật khẩu các tài khoản email, mạng xã hội... nếu dùng ngày tháng năm sinh, số điện thoại hoặc số CMND làm mật khẩu. Bên cạnh đó, có thể sử dụng một số phần mềm chặn spam trên điện thoại di động. Riêng các quản trị hệ thống cần rà soát để phát hiện lỗ hổng và kịp thời xử lý.
Các đơn vị bán lẻ dễ bị tin tặc tấn công lấy dữ liệu khách hàng
Ảnh: Ngọc Dương
|
Trong khi đó, dù phía Thế Giới Di Động và Cục An toàn thông tin phủ nhận hệ thống này bị lộ dữ liệu nhưng cho đến hiện tại, vẫn chưa ai biết được nguồn gốc của hơn 5,4 triệu email khách hàng và 31.000 bản ghi liệt kê số thẻ ngân hàng bị hacker đưa lên diễn đàn này từ đầu tháng 11. Trao đổi với Thanh Niên hôm qua, trưởng phòng công nghệ thông tin của một doanh nghiệp (DN) có lượng lớn khách hàng sử dụng cho biết cũng đang khá lo lắng. Bởi từ vụ Thế Giới Di Động và đến nay là Con Cưng với danh sách thông tin nhân viên chính xác cho thấy khả năng bị tấn công của nhiều DN còn có thể xảy ra.
Trên thực tế, một số DN có nguồn dữ liệu thông tin khách hàng lớn như ngân hàng, viễn thông, y tế hay bán lẻ thường bị hacker chú ý và tìm cách tấn công lấy cắp dữ liệu. Đặc biệt trong môi trường mạng, thông tin có khả năng “nhân bản” rất nhanh, không kiểm soát. Vì vậy, để tìm ra nguồn gốc thật sự của tin tặc hoặc nguồn phát tán thông tin đó rất khó hoặc mất rất nhiều thời gian. Các DN cần phải chủ động rà soát để ngăn ngừa rủi ro, phòng lỗ hổng. Bởi khi dữ liệu bị mất sẽ gây thiệt hại cho khách hàng, ảnh hưởng đến uy tín và hoạt động kinh doanh của chính DN.
Thẻ ngân hàng bị lộ từ đâu ?
Ngay khi thông tin dữ liệu khách hàng và thẻ thanh toán được tin tặc công bố, trong văn bản ngày 9.11, Ngân hàng Nhà nước (NHNN) cho biết qua báo cáo nhanh của các nhà băng, đến thời điểm hiện tại, chưa ghi nhận trường hợp khách hàng của NH có liên quan trong vụ việc này bị lộ thông tin thẻ, cũng như chưa có khách hàng nào bị khai thác, lợi dụng chiếm đoạt tiền trong tài khoản. Thế nhưng vụ việc trên đã gây tác động xấu tới dư luận xã hội và tâm lý lo lắng cho khách hàng sử dụng các dịch vụ thanh toán.
Một chuyên gia thẻ phân tích, khách hàng khi mua hàng hóa tại các cửa hàng bán lẻ như Thế Giới Di Động, Con Cưng thường có cả 3 hình thức thanh toán là trả bằng tiền mặt tại quầy, thanh toán bằng thẻ qua máy POS hay thanh toán trực tuyến khi mua hàng qua website. Máy POS tại các cửa hàng thanh toán do các NH lắp đặt. Khi khách hàng quẹt thẻ, dữ liệu của khách sẽ được truyền thẳng về NH. Với hình thức thanh toán online, các thông tin tài khoản thẻ như số thẻ, số CVC (mã bảo mật thẻ thanh toán quốc tế)… mà khách hàng đăng nhập trên trang web của đơn vị bán lẻ, sau đó cũng được chuyển về NH. Chính vì vậy, dù chưa khẳng định được số thẻ NH bị lộ từ cửa hàng hay từ phía NH thì bản thân công ty bán lẻ cũng phải trang bị an toàn bảo mật hệ thống của khách hàng.
Cục An toàn thông tin cũng khẳng định, các thông tin quan trọng của thẻ tín dụng khách hàng không được lưu trữ trên hệ thống do Thế Giới Di Động quản lý. Thông thường, trong quá trình thanh toán trên máy POS và giao dịch trực tuyến qua trang web, thông tin liên quan đến thẻ tín dụng của khách hàng được mã hóa và chuyển sang NH hoặc tổ chức cung ứng dịch vụ trung gian thanh toán theo quy định.
90% DN đầu tư ít cho bảo mật
Chuyên gia an toàn thông tin Lê Nguyên Khang cho biết, có đến gần 90% DN vẫn đầu tư rất ít cho quy trình bảo mật. Nhiều công ty vì chạy theo chỉ tiêu doanh thu, lợi nhuận nên bỏ qua việc xây dựng hệ thống an toàn bảo mật. Khi phát triển lớn hơn, số lượng khách hàng ngày càng nhiều, khả năng bị lộ thông tin của khách hàng là cực lớn. Vì vậy, DN phải đầu tư cho hệ thống bảo mật. Bên cạnh đó, người dùng cũng phải có ý thức về an toàn thông tin của mình. Ví dụ cần đọc kỹ các điều khoản thanh toán khi giao dịch trực tuyến. Kiểm tra kỹ các trang web có thanh toán qua mạng trước khi nhập thông tin thẻ tín dụng để mua hàng, chi trả dịch vụ. Nếu các trang web này liên kết với các cổng thanh toán trung gian được cấp phép hoặc qua NH thì sẽ an toàn hơn.
“Thói quen của nhiều người dùng chỉ chọn nơi mua hàng online với giá rẻ mà không đọc các điều khoản về thanh toán. Bởi an toàn là trang web đó không lưu thẻ mà phải kết nối với đơn vị thanh toán được phép. Tương tự, nên nhớ bật dịch vụ xác thực giao dịch thẻ trực tuyến quốc tế (3D secure) để tăng thêm sự an toàn cho chủ thẻ. Hay như ở các đơn vị có bộ phận thanh toán qua mạng thường xuyên, nên trang bị một máy tính chuyên dùng và không cài bất kỳ phần mềm nào ngoài hệ điều hành có bản quyền để hạn chế các lỗ hổng hay bị mã độc xâm nhập...”, chuyên gia Lê Nguyên Khang chia sẻ thêm.
Đồng quan điểm, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Tập đoàn Bkav, cho rằng các DN phải có sự đầu tư ngay từ đầu về hệ thống bảo mật cùng với quá trình xây dựng hệ thống công nghệ thông tin. Đặc biệt là các công ty có các chuỗi cửa hàng bán lẻ, có bán hàng online hay cung cấp dịch vụ trực tuyến... Khi xảy ra sự cố, cần phối hợp với các đơn vị chuyên bảo mật để kiểm tra hệ thống, xử lý nhanh. Đồng thời, đưa ra những thông báo cảnh giác cho khách hàng, hướng dẫn các biện pháp để khách hàng yên tâm cũng như ngăn chặn việc dữ liệu tiếp tục bị rò rỉ.
Cần mã hóa các dữ liệu khách hàng
Xu hướng thương mại điện tử hiện nay ngày càng phát triển và đi kèm theo là hình thức thanh toán trực tuyến cũng phát triển nhanh hơn.
Hiện quy định giám sát, kiểm soát dữ liệu thông tin khách hàng tại các DN đã có nhưng chỉ có NH, công ty thanh toán là áp dụng chuẩn mã hóa dữ liệu khách hàng. Còn các DN nói chung chưa có quy định cụ thể về việc này, đặc biệt thẻ NH.
Theo các chuyên gia, việc kiểm soát dữ liệu thông tin tại các DN hiện nay là bài toán phức tạp, chưa được các DN đầu tư dù chi phí chỉ chiếm từ 5 - 10% trong tổng chi phí đầu tư công nghệ thông tin. Lý do là DN chưa định vị mức độ về bảo mật dữ liệu thông tin khách hàng. Vì vậy khi thực hiện thanh toán, khách hàng chỉ có thể dựa vào kinh nghiệm, kiến thức để nhận biết được trang đó an toàn hay không. Đó là nguyên nhân xuất hiện những trang web lừa đảo với các chiêu trò tinh vi vẫn khiến nhiều người bị sụp bẫy của kẻ gian.
Theo chuyên gia tài chính Nguyễn Trí Hiếu, khách hàng là đối tượng dễ bị tổn thương nhất khi thanh toán online, bởi họ sẽ không biết trang web nào có đảm bảo an toàn thông tin của họ, đặc biệt là thông tin tài khoản thẻ tín dụng. Cụ thể, DN bán hàng có tuân thủ các quy định như chỉ lưu 4 số đầu và 4 số cuối thay vì lưu toàn bộ dãy số tài khoản thẻ, không được lưu số CVC? Chủ thẻ sẽ không biết được DN nào tuân thủ những quy định này cũng như có hệ thống an toàn bảo mật thông tin của khách. Thế nhưng dù DN có làm ăn chân chính, tuân thủ các quy tắc thì việc dữ liệu khách hàng bị lộ ra ngoài cũng không đảm bảo được 100%. Bởi lỗ hổng lớn nhất chính là con người. Ví dụ khi cán bộ nhân viên của DN lấy đi các dữ liệu khách hàng khi bị cho thôi việc hoặc lấy dữ liệu để bán cho bên ngoài. Việc sao chép các dữ liệu thông tin này có thể được ngăn chặn phần nào khi DN ứng dụng các biện pháp công nghệ chống sao chép. Thế nhưng trong trường hợp nhân viên dùng điện thoại thông minh chụp màn hình thì cũng không tránh khỏi dữ liệu bị chụp và lấy đi.
Dữ liệu khách hàng bị lộ không những trong nước mà trên thế giới cũng đã xảy ra nhiều vụ. Nếu xảy ra thiệt hại về kinh tế, tài khoản ngân hàng của khách bị mất tiền, tùy theo từng trường hợp mà ai sẽ phải chịu trách nhiệm. Nhưng cuối cùng, khách hàng vẫn là người “tự bảo vệ mình” nhất bằng cách tự động khóa chức năng thanh toán online.
Ông Nguyễn Trí Hiếu kiến nghị: Cần có sự phối hợp kiểm tra, giám sát đối với các đơn vị được triển khai dịch vụ thanh toán online nhằm tránh lấy thông tin dữ liệu, đặc biệt là thẻ ngân hàng. Do khách hàng không thể tự kiểm tra website công ty nào tuân thủ các quy định cũng như trang bị đầu tư hệ thống an toàn hay không, cơ quan chức năng hay NH cần công bố những danh sách “đen” để khách hàng biết mà tránh.
Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Tập đoàn Bkav, cũng nhận định việc tấn công lấy dữ liệu của các DN không phải là chuyện mới ở VN hay trên thế giới. Hơn nữa, gần đây đang gia tăng những vụ tấn công với mục đích tài chính kinh doanh thay vì việc chỉ để chứng tỏ, để lại lời nhắn trên các trang web như trước. Do đó, đối với các DN vừa và nhỏ, không có bộ phận chuyên trách về an toàn thông tin, phải nhanh chóng phối hợp với các trung tâm bảo mật, các đơn vị quản lý của nhà nước để nhanh chóng rà soát nhằm ngăn chặn và phòng ngừa các cuộc tấn công tương tự.
T.Xuân - M.Phương
|
MAI PHƯƠNG - THANH XUÂN
THANH NIÊN
|