Blog

Hệ thống Thế Giới Di Động không bị tấn công mạng

Cơ quan tính năng chưa thấy dấu hiệu tấn công sau khi hacker tung danh sách hòm thư và chuyển nhượng được cho là của khách hàng Thế Giới Di Động.

Theo Cục An toàn Thông tin (Bộ Thông tin và Truyền thông), đến nay chưa cảm thấy có dấu hiệu tấn công mạng vào các hệ thống của Thế Giới Di Động. Đơn vị này cũng khẳng định các thông tin quan trọng của thẻ tín dụng khách hàng không được lưu trữ trên hệ thống do Thế Giới Di Động quản lý.

"Với hiện trạng nhận thức giai đoạn này của người dùng, công ty ở Việt Nam về việc bảo vệ thông tin cá nhân, thông tin hòm thư có thể được thu thập từ nhiều nguồn khác nhau và có thể từng bị lộ trước đây, hoặc bị lừa đảo", Cục cho biết.

Tương tự, Bkav cũng cho biết, có các dữ liệu hiện có, chưa thể khẳng định Thế Giới Di Động bị tấn công. Các chuyên gia an ninh mạng cho biết hơn 5 triệu địa chỉ hòm thư có thể là dữ liệu trên hệ thống website hoặc nhật ký chuyển nhượng của công ty này, mà cũng có thể chỉ là danh sách hòm thư được "cào" trên mạng. Những tập tin này không thể nói lên được là bị đánh cắp từ Thế Giới Di Động.

Về 31.000 bản ghi liệt kê số thẻ ngân hàng, ngày giờ chuyển nhượng, số tiền chuyển nhượng cùng 1 số thông tin khác, Bkav nói "chưa thể khẳng định các thông tin thẻ tín dụng này có chính xác hay không".

Thông tin thẻ tín dụng bị lộ trên RaidForums.

Hệ thống Thế Giới Di Động tối 7/11 cũng phát đi thông báo khẳng định rằng hệ thống của họ không bị hack. Theo thông báo này, công ty không lưu trữ các thông tin như số thẻ, ngày hết hạn, ngày giờ mua hàng… của khách nên không thể có việc các thông tin này bị lộ từ hệ thống của họ.

"Khi khách mua và cà thẻ ở cửa hàng, máy POS đọc thẻ của khách là máy của ngân hàng. Như vậy bản chất là ngân hàng đang đọc thẻ của khách và chuyển dữ liệu về hệ thống của họ, Thế Giới Di Động không can thiệp vào quá trình này cũng như không được phép lưu trữ bất cứ thông tin nào của khách hàng", công ty giải thích. "Khi thanh toán online, thông tin sẽ nhảy sang cổng thanh toán của 1 bên thứ ba, nên trang web Thế Giới Di Động không thể lưu các thông tin của khách", thông báo nói.

Theo cácchuyên gia trong lĩnh vực ngân hàng, có thể rủi ro nằm ở khâu thanh toán trực tuyến.Thông thường, các điểm đón nhận thanh toán như Thế Giới Di Động sẽ liên kết có 1 đơn vị trung gian thanh toán là bên thứ ba và khả năng bị lộ số thẻ là ở trung gian thanh toán này. Tuy nhiên, chỉ số thẻ mới có thể bị lộ còn mã CVV thì rất khó, nên kẻ xấu chưa thể lấy được tiền của người dùng.

Vị này cho biết giai đoạn này thông tin đối soát giữa ngân hàng và điểm đón nhận thanh toán đều được mã hóa các số thẻ ở giữa. Song thông tin mà hacker có được là từ 2016 nên không loại trừ khả năng lúc đó tiêu chuẩn bảo mật của 1 số ngân hàng còn lỏng lẻo, yếu kém… nên khi gửi tra soát cho điểm đón nhận thanh toán đã không mã hoá số thẻ ở giữa khiến thông tin bị đánh cắp.

Một khả năng khác là 1 số điểm bán hàng đã không tuân thủ đúng quy trình của ngân hàng. Tức là, họ tự ý gõ dữ liệu tên chủ thẻ và các thông tin cá nhân liên quan vào 1 trang riêng để lưu trữ dẫn đến nguy cơ bị đánh cắp dữ liệu có thể xảy ra.

Ngày 6/11, trên diễn đàn RaidForums, 1 thành viên đã chia sẻ tập tin chứa 5,4 triệu địa chỉ hòm thư được cho là của khách hàng Thế Giới Di Động. Một file khác xuất hiện ngay sau đó có hơn 61.000 hòm thư được cho là của nhân viên công ty này, có định dạng Tên người dùng@thegioididong.com.

Thành viên này sáng 7/11 đã tung tiếp các dữ liệu khác và tuyên bố là thông tin của khách hàng hệ thống Thế Giới Di Động. File excel chứa hơn 31.000 bản ghi, liệt kê số thẻ ngân hàng, ngày giờ chuyển nhượng, số tiền chuyển nhượng cùng 1 số thông tin khác. Tập tin cũng liệt kê điểm thực hiện chuyển nhượng chi tiết tới chi nhánh nào của Thế Giới Di Động hay Điện Máy Xanh. Các chuyển nhượng được cho là thực hiện từ ngày 29/6 đến 18/7/2016.

Tối cùng ngày, thành viên này tiếp tục tung lên 1 tập tin bao gồm 32 hàng, trong đó có đầy đủ 16 chữ số được cho là số thẻ ngân hàng đầy đủ và được cho là từng chuyển nhượng ở Thế Giới Di Động.

Việc lộ 16 chữ số trên thẻ ngân hàng tiềm ẩn nguy cơ người dùng bị mất tiền. Tuy nhiên, để thực sự lấy cắp được, kẻ xấu cần phải biết thêm ít nhất là ngày hết hạn của thẻ. Còn hầu hết điểm đón nhận thanh toán yêu cầu tên chủ thẻ, 16 chữ số trên thẻ, ngày hết hạn và CVV (ba số phía sau). Hiện nay, nhiều thẻ còn tăng cường bảo mật có 3D security, tức là cần nhập cả mã OTP khi thực hiện chuyển nhượng.

Các khách hàng đang xem chuyên mục blog dackhukinhtebacvanphong.info của dackhukinhtebacvanphong.info

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Close