Từ vụ “Thế Giới Di Động”, doanh nghiệp đã quan tâm đúng và đủ đến dữ liệu người dùng?

SGGPO
Trên diễn đàn Raidforums.com, một thành viên chia sẻ lên hai file dữ liệu được cho là hack từ hệ thống của Thế Giới Di Động. Các file có vẻ như là thông tin thanh toán của khách hàng ở hai chuỗi Điện máy Xanh và Thế Giới Di Động (TGDĐ). Đây rõ ràng là một thông tin rất nguy hiểm cho bản thân người dùng các dịch vụ của TGDĐ cũng như chính mô hình kinh doanh của TGDĐ. 

Tin liên quan

Raidforums.com cho rằng thông tin bị lộ từ Thế Giới Di Động

Raidforums.com cho rằng thông tin bị lộ từ Thế Giới Di Động

Phải biết rằng giao dịch tại hơn 1700 cửa hàng của TGDĐ phục vụ hơn nửa triệu khách hàng mỗi ngày (số liệu chính thức từ TGDĐ) là con số rất lớn và giao dịch bằng thẻ tín dụng nội địa và quốc tế tại các cửa hàng này cũng thật sự rất lớn.

Chưa kể các website thương mại điện tử của TGDĐ luôn có trên 1 triệu lượt truy cập mỗi ngày, hơn 10 nghìn đơn hàng online và 120 nghìn hóa đơn điện tử được phát hành mỗi ngày - một con số rất mơ ước của những kẻ xấu – hacker – muốn nhắm tới. 

Tuy nhiên việc một doanh nghiệp bán lẻ lớn nhất Việt Nam như TGDĐ và có hệ thống CNTT rất đồ sộ lại đang bị cho là lộ thông tin khách hàng, đặc biệt là tài khoản tín dụng thì cần phải được nhìn nhận một cách thật chuyên môn vì thế giới thông tin ngày nay rất dễ bị nhiễu bởi những nguồn tin không xác thực, sau đó gây hoang mang dư luận, ảnh hưởng đến một doanh nghiệp lớn như TGDĐ thì thật không công bằng với họ. Ông Ngô Tấn Vũ Khanh, Giám đốc Phát triển Kaspersky Lab Việt Nam cho biết và giải thích cho vấn đề này bằng cách tập trung vào 2 hình thức giao dịch của TGDĐ với khách hàng:

Giao dịch tại các cửa hàng bán lẻ của TGDĐ và Điện Máy Xanh:

Nếu khách hàng giao dịch với các cửa hàng bán lẻ thì mô hình giao dịch sẽ như sau: 

Từ vụ "Thế Giới Di Động", doanh nghiệp đã quan tâm đúng và đủ đến dữ liệu người dùng?  ảnh 1

Trong đó máy POS và hệ thống phần mềm của TGDĐ trên POS bị tách rời ra khỏi hệ thống thanh toán vì từ máy thanh toán PAX tới các giao dịch là bị kiểm soát (hay được cung cấp) bởi các đơn vị ngân hàng. Máy POS CRM chỉ lưu lại các thông tin cá nhân khách hàng khi mua hàng phục vụ cho các chương trình khuyến mãi hay các chương trình tích điểm/ khách hàng thân thiết. Nhiệm vụ và chức của các máy POS không thể lưu lại thông tin thẻ tín dụng hay quốc tế của khách hàng. Bản thân TGDĐ là một doanh nghiệp lớn, họ cũng không thể mạo hiểm thương hiệu tỷ đô của mình mà làm ra các phần mềm hay thiết bị để lưu lại các thông tin quá nhạy cảm như thông tin thẻ tín dụng khách hàng được.

Giao dịch qua các website thương mại điện tử của TGDĐ

Rõ ràng con số hơn 1 triệu truy cập mỗi ngày và hơn 10 nghìn đơn hàng cũng trong 1 ngày của TGDĐ là con số mơ ước của hacker. Tuy nhiên để xâm nhập hệ thống thanh toán của TGDĐ là không đơn giản, cho dù cho xâm nhập được thì hacker cũng không thể nào lấy được thông tin thẻ tín dụng từ hệ thống máy chủ của TGDĐ, đơn giản là vì TGDĐ sử dụng các cổng thanh toán trung gian (payment gateway) từ các nhà cung cấp dịch vụ thanh toán khác. Ngay khi chúng ta click vào chữ thanh toán Visa/Master hay các loại hình thanh toán khác thì thông tin thanh toán sẽ được chuyển đến cổng thanh toán trung gian 123pay hay Napas, đường dẫn website sẽ được dẫn về các cổng này.

Từ vụ "Thế Giới Di Động", doanh nghiệp đã quan tâm đúng và đủ đến dữ liệu người dùng?  ảnh 2
Từ vụ "Thế Giới Di Động", doanh nghiệp đã quan tâm đúng và đủ đến dữ liệu người dùng?  ảnh 3

Qua việc TGDĐ, đây rõ ràng là hồi chuông cảnh báo cho các công ty lớn, có một hệ thống CNTT lớn và đồ sộ, họ cần phải quan tâm đến hơn nữa vấn đề bảo mật an toàn an ninh thông tin tại công ty họ. Hiện nay, tỷ lệ các công ty bán lẻ tại Việt Nam quan tâm đến Security trên các máy POS là rất rất thấp (chưa tới 5%) Phúc Long Coffee & Tea gần như là chuỗi retail duy nhất tại Việt Nam quan tâm đến vấn đề này. Ngoài ra, các quy trình chuẩn mực trong thanh toán thẻ như PCI DSS, hay ISO 27000 về ATTT cũ nên được các doanh nghiệp thật sự quan tâm.

Tất nhiên, thông tin thẻ tín dụng thì rõ ràng rất khó để bị hack nhưng hoàn toàn có thể, nhất là các cuộc tấn công có chủ đích, nhưng nếu một doanh nghiệp không quan tâm đến bảo mật, thông tin cá nhân khách hàng khi họ giao dịch với doanh nghiệp như email, số điện thoại, địa chỉ, số lượng giao dịch, số tiền giao dịch, mặt hàng giao dịch... bị lộ ra ngoài thì thật sự quá nguy hiểm cho cả hai bên. Doanh nghiệp hoàn toàn có thể sẽ phải trả giá rất đắt chỉ vì một sai lầm về bảo mật trong hệ thống của họ.

KIM THANH

Các tin, bài viết khác

Đọc nhiều nhất

OPPO R17 Pro

OPPO R17 Pro dùng chíp Qualcomm Snapdragon 710

Thông tin từ Qualcomm cho hay, nhà sản xuất điện thoại thông minh hàng đầu OPPO giới thiệu sản phẩm R17 Pro được trang bị Nền tảng di động Qualcomm® Snapdragon™ 710 tại khu vực Đông Nam Á. 

Sản phẩm công nghệ

OPPO A7 đầy đủ những tính năng nổi bật

OPPO A7 chính thức giới thiệu smartphone A7 tại Việt Nam với những tính năng nổi bật trong phân khúc như: màn hình giọt nước thời thượng, dung lượng pin tối đa và camera kép hỗ trợ trí tuệ nhân tạo AI, cung cấp thêm sự lựa chọn cho người dùng.

Thị trường - chính sách

Chỉ 24 giờ, 11.11 Shopee Siêu Sale nhận hơn 11 triệu đơn đặt hàng

Shopee cho biết có hơn 11 triệu đơn hàng được giao dịch ngay trong ngày 11 tháng 11, tăng khoảng 4,5 lần so với cùng kỳ năm trước. Ngày hội thu hút hơn 42 triệu lượt truy cập và mua sắm tại nhiều ngành hàng. Số lượng sản phẩm cao nhất bán ra trong mỗi phút đạt hơn 58.000 sản phẩm.