Nghi để lộ 5,4 triệu thông tin khách hàng: Thế Giới Di Động khẳng định do bên thứ 3

Theo thông cáo chính thức của Công ty CP Đầu tư Thế Giới Di Động, ngày 7/11/2018, một số cơ quan báo chí đã đăng tải bài viết về nghi vấn hệ thống công nghệ thông tin của Thế Giới Di Động (MWG) bị hacker tấn công và các thông tin tài chính của khách hàng bị tiết lộ.

Hình ảnh được cho là thông tin của khách hàng Thế Giới Di Động bị rò rỉ.

MWG chính thức phản hồi đó là thông tin không chính xác. Cụ thể, MWG đã kiểm tra các thông tin được phản ánh và khẳng định hệ thống công nghệ thông tin của MWG vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng.

Mọi thông tin của khách hàng vẫn được bảo mật và khách hàng không cần phải lo lắng cũng như có bất kỳ hành động nào liên quan đến thông tin thất thiệt này.

Liên quan đến các thông tin thẻ của khách hàng (số thẻ, ngày hết hạn, ngày giờ mua hàng…) bị lộ, MWG không lưu trữ những thông tin này của khách hàng nên không thể có việc những thông tin này bị lộ từ hệ thống của Thế Giới Di Động và Điện Máy Xanh.

Khi khách hàng mua hàng và cà thẻ tại cửa hàng, máy POS đọc thẻ của khách và là máy của ngân hàng. Như vậy bản chất là ngân hàng đang đọc thẻ của khách và chuyển dữ liệu về ngân hàng, hệ thống của Thế Giới Di Động và Điện Máy Xanh không can thiệp vào quá trình này cũng như không được phép lưu trữ bất cứ thông tin nào của khách hàng.

Tương tự nếu khách hàng giao dịch online qua trang web, khi thanh toán sẽ tự động nhảy sang cổng thanh toán của tổ chức cung ứng dịch vụ trung gian thanh toán. Do đó, trang web Thế Giới Di Động và Điện Máy Xanh cũng không lưu các thông tin của khách hàng.

Trong quá trình thanh toán, toàn bộ thông tin trên thẻ đều được mã hoá và chuyển sang ngân hàng hoặc tổ chức cung ứng dịch vụ trung gian thanh toán theo quy định của Ngân Hàng Nhà Nước và Tổ chức Thẻ Quốc Tế. Việc quản lý, lưu trữ chỉ được trung gian thanh toán thực hiện.

MWG chỉ nhận được thông tin giao dịch đã thực hiện hoàn tất hay không hoàn tất, chứ không có thông tin về tài khoản thẻ của khách hàng. Như vậy, việc hacker tuyên bố đã hack vào hệ thống Thế Giới Di Động để lấy một thông tin mà công ty không lưu trữ là một điều không có thực.

Liên quan đến thông tin email của khách hàng, việc này hacker có thể thu thập từ nhiều nguồn khác nhau, công ty khẳng định thông tin này không được lấy từ hệ thống của MWG.

Trưa 7/11, trên diễn đàn RaidForums, một thành viên đã chia sẻ tập tin chứa 5,4 triệu địa chỉ email được cho là của khách hàng Thế Giới Di Động. Một file khác xuất hiện ngay sau đó có hơn 61.000 email được cho là của nhân viên công ty này, với định dạng Tên người dùng @thegioididong.com.

Thành viên này sáng nay đã tung lên diễn đàn các dữ liệu khác và tuyên bố là thông tin của khách hàng hệ thống Thế Giới Di Động. File excel chứa hơn 31.000 bản ghi, liệt kê số thẻ ngân hàng, ngày giờ giao dịch, số tiền giao dịch cùng một số thông tin khác. Tập tin cũng liệt kê điểm thực hiện giao dịch chi tiết tới chi nhánh nào của Thế Giới Di Động hay Điện Máy Xanh. Các giao dịch được cho là thực hiện từ ngày 29/6 đến 18/7/2016.

Thông tin này sau đó đã được chia sẻ rộng rãi trên mạng xã hội Facebook. Nhiều người dùng đã lên tiếng cảnh báo các khách hàng của Thế Giới Di Động cần kiểm tra và nếu cần thiết thì khóa các thẻ đã từng sử dụng để mua hàng.

Một chuyên gia bảo mật khuyên các khách hàng thường xuyên sử dụng thẻ tín dụng để mua hàng online cần cảnh giác, không nên chia sẻ số thẻ tín dụng và số bảo mật CCV một cách tùy tiện. Nếu phát hiện số thẻ của mình có trong danh sách mà tin tặc chia sẻ, cần khóa tài khoản ngân hàng ngay lập tức.

Luật sư Trương Thanh Đức (Cty Luật Basico) cho rằng, dù vô tình hay cố ý, khi để xảy ra việc lộ thông tin khách hàng, doanh nghiệp phải chịu xử phạt theo quy định pháp luật. Đa số hành vi để lộ thông tin khách hàng là do hành vi của cá nhân nào đó vi phạm hoặc do sơ suất, không bảo đảm đủ bảo mật và mất kiểm soát. Doanh nghiệp khi để lộ thông tin khách hàng vừa vi phạm pháp luật vừa làm mất uy tín, tiền đồ của mình. Nếu cơ quan chức năng vào cuộc và khẳng định Thế giới di động làm lộ thông tin khách hàng, họ sẽ phải bị xử lý theo quy định pháp luật.