Doanh nghiệp đã quan tâm đúng và đủ đến dữ liệu người dùng?

(ĐTTCO)-Trên diễn đàn Raidforums.com, một thành viên chia sẻ lên hai file dữ liệu được cho là hack từ hệ thống của Thế Giới Di Động. Các file có vẻ như là thông tin thanh toán của khách hàng ở hai chuỗi Điện máy Xanh và Thế Giới Di Động (TGDĐ). Đây rõ ràng là một thông tin rất nguy hiểm cho bản thân người dùng các dịch vụ của TGDĐ cũng như chính mô hình kinh doanh của TGDĐ. 
Raidforums.com cho rằng thông tin bị lộ từ Thế Giới Di Động
Raidforums.com cho rằng thông tin bị lộ từ Thế Giới Di Động

Phải biết rằng giao dịch tại hơn 1700 cửa hàng của TGDĐ phục vụ hơn nửa triệu khách hàng mỗi ngày (số liệu chính thức từ TGDĐ) là con số rất lớn và giao dịch bằng thẻ tín dụng nội địa và quốc tế tại các cửa hàng này cũng thật sự rất lớn.

Chưa kể các website thương mại điện tử của TGDĐ luôn có trên 1 triệu lượt truy cập mỗi ngày, hơn 10 nghìn đơn hàng online và 120 nghìn hóa đơn điện tử được phát hành mỗi ngày - một con số rất mơ ước của những kẻ xấu – hacker – muốn nhắm tới. 

Tuy nhiên việc một doanh nghiệp bán lẻ lớn nhất Việt Nam như TGDĐ và có hệ thống CNTT rất đồ sộ lại đang bị cho là lộ thông tin khách hàng, đặc biệt là tài khoản tín dụng thì cần phải được nhìn nhận một cách thật chuyên môn vì thế giới thông tin ngày nay rất dễ bị nhiễu bởi những nguồn tin không xác thực, sau đó gây hoang mang dư luận, ảnh hưởng đến một doanh nghiệp lớn như TGDĐ thì thật không công bằng với họ. Ông Ngô Tấn Vũ Khanh, Giám đốc Phát triển Kaspersky Lab Việt Nam cho biết và giải thích cho vấn đề này bằng cách tập trung vào 2 hình thức giao dịch của TGDĐ với khách hàng:

Giao dịch tại các cửa hàng bán lẻ của TGDĐ và Điện Máy Xanh:

Nếu khách hàng giao dịch với các cửa hàng bán lẻ thì mô hình giao dịch sẽ như sau: 

Trong đó máy POS và hệ thống phần mềm của TGDĐ trên POS bị tách rời ra khỏi hệ thống thanh toán vì từ máy thanh toán PAX tới các giao dịch là bị kiểm soát (hay được cung cấp) bởi các đơn vị ngân hàng. Máy POS CRM chỉ lưu lại các thông tin cá nhân khách hàng khi mua hàng phục vụ cho các chương trình khuyến mãi hay các chương trình tích điểm/ khách hàng thân thiết. Nhiệm vụ và chức của các máy POS không thể lưu lại thông tin thẻ tín dụng hay quốc tế của khách hàng. Bản thân TGDĐ là một doanh nghiệp lớn, họ cũng không thể mạo hiểm thương hiệu tỷ đô của mình mà làm ra các phần mềm hay thiết bị để lưu lại các thông tin quá nhạy cảm như thông tin thẻ tín dụng khách hàng được.

Giao dịch qua các website thương mại điện tử của TGDĐ

Rõ ràng con số hơn 1 triệu truy cập mỗi ngày và hơn 10 nghìn đơn hàng cũng trong 1 ngày của TGDĐ là con số mơ ước của hacker. Tuy nhiên để xâm nhập hệ thống thanh toán của TGDĐ là không đơn giản, cho dù cho xâm nhập được thì hacker cũng không thể nào lấy được thông tin thẻ tín dụng từ hệ thống máy chủ của TGDĐ, đơn giản là vì TGDĐ sử dụng các cổng thanh toán trung gian (payment gateway) từ các nhà cung cấp dịch vụ thanh toán khác. Ngay khi chúng ta click vào chữ thanh toán Visa/Master hay các loại hình thanh toán khác thì thông tin thanh toán sẽ được chuyển đến cổng thanh toán trung gian 123pay hay Napas, đường dẫn website sẽ được dẫn về các cổng này.

Qua việc TGDĐ, đây rõ ràng là hồi chuông cảnh báo cho các công ty lớn, có một hệ thống CNTT lớn và đồ sộ, họ cần phải quan tâm đến hơn nữa vấn đề bảo mật an toàn an ninh thông tin tại công ty họ. Hiện nay, tỷ lệ các công ty bán lẻ tại Việt Nam quan tâm đến Security trên các máy POS là rất rất thấp (chưa tới 5%) Phúc Long Coffee & Tea gần như là chuỗi retail duy nhất tại Việt Nam quan tâm đến vấn đề này. Ngoài ra, các quy trình chuẩn mực trong thanh toán thẻ như PCI DSS, hay ISO 27000 về ATTT cũ nên được các doanh nghiệp thật sự quan tâm.

Tất nhiên, thông tin thẻ tín dụng thì rõ ràng rất khó để bị hack nhưng hoàn toàn có thể, nhất là các cuộc tấn công có chủ đích, nhưng nếu một doanh nghiệp không quan tâm đến bảo mật, thông tin cá nhân khách hàng khi họ giao dịch với doanh nghiệp như email, số điện thoại, địa chỉ, số lượng giao dịch, số tiền giao dịch, mặt hàng giao dịch... bị lộ ra ngoài thì thật sự quá nguy hiểm cho cả hai bên. Doanh nghiệp hoàn toàn có thể sẽ phải trả giá rất đắt chỉ vì một sai lầm về bảo mật trong hệ thống của họ.

Các tin khác