Buzz
Chuyên gia bảo mật Nguyễn Hồng Phúc cho biết rằng, không chỉ Agoda mà việc quản lý thông tin thẻ tín dụng là một vấn đề phổ biến ở các ứng dụng đặt phòng trực tuyến.
Trong phản hồi gửi anh Phạm Ngọc Hiếu về việc thông tin thẻ tín dụng của mình bị tiết lộ cho đối tác, Agoda cho biết rằng cung cấp thông tin thẻ là 'bắt buộc cho các đặt phòng cần thanh toán cho chỗ nghỉ'.
Agoda giải thích rằng thông tin thanh toán là 'yêu cầu để giữ chỗ khi thanh toán trực tiếp cho chỗ nghỉ'. Điều này có nghĩa là, nếu khách không đến, chỗ nghỉ có thể 'thu tiền theo thông tin đã cung cấp cho đặt phòng'. Như vậy, đối tác lưu trú của Agoda có thể biết toàn bộ thông tin thẻ tín dụng của khách, bao gồm cả mã số bảo mật CVV (hoặc CVC).
Phản hồi qua email của Agoda với khách hàng về việc lộ thông tin thẻ tín dụng
Tuy nhiên, điều đáng chú ý là mặc dù thông tin tín dụng nhạy cảm của người dùng được chia sẻ với bên thứ ba, biện pháp bảo mật của Agoda đối với thông tin này gần như không đáng kể khi chỉ 'yêu cầu chỗ nghỉ điều chỉnh quy trình liên quan đến phương tiện thanh toán đơn đặt phòng, không tự ý sao lưu thông tin thẻ ra giấy tờ, che phần số thẻ 16 số và hoàn toàn số bảo mật CVC.'
Điều này cho thấy Agoda đã hoàn toàn giao phó trách nhiệm bảo vệ thông tin thanh toán của khách hàng cho các đối tác chỗ nghỉ mà không có khả năng kiểm soát thông tin đó có bị rò rỉ hay không.
Cần lưu ý rằng vào năm 2018, đã xảy ra một vụ việc tương tự khi thông tin thẻ tín dụng VISA của khách hàng Hiền Vũ bị lộ hoàn toàn khi đặt phòng qua Agoda. Vụ việc diễn ra cũng tương tự, khi khách hàng phát hiện ra việc này do lễ tân khách sạn ở Phú Quốc có thể in ra toàn bộ thông tin thẻ tín dụng, bao gồm số thẻ và mã số bảo mật CVC. Sự cố lặp lại sau nhiều năm cho thấy khả năng bảo mật thông tin thẻ của Agoda gần như không có sự cải thiện.
Khách hàng Ngọc Hiếu chỉ biết mình bị lộ thông tin thẻ khi lễ tân khách sạn vô tình in ra toàn bộ thông tin này.
Agoda là một trong những nền tảng đặt phòng online hàng đầu thế giới, liên kết với hàng triệu chỗ nghỉ và xử lý thanh toán cho hàng chục triệu người dùng mỗi năm. Tuy nhiên, phương thức bảo mật của Agoda hiện tại vẫn còn thiếu an toàn.
Thực tế, vấn đề này không chỉ riêng Agoda mà còn phổ biến trong ngành dịch vụ đặt phòng online. Theo chuyên gia bảo mật Nguyễn Hồng Phúc, nhiều dịch vụ đặt phòng online khác cũng gặp phải tình trạng tương tự. Anh Phúc cho biết rằng 'trong ngành hospitality (dịch vụ lưu trú), việc chia sẻ toàn bộ thông tin thẻ khách là điều thường thấy. Nhiều ứng dụng của các hệ thống khách sạn lớn như A...., I.... cũng chia sẻ thẻ mà mình nhập lên hệ thống cho khách sạn'.
Chuyên gia bảo mật Nguyễn Hồng Phúc
'Có hai vấn đề chính đang tồn tại và vẫn sẽ tiếp tục xảy ra:
1. Các thẻ lưu trữ trên các ứng dụng đặt phòng khách sạn đều không được mã hóa (đó là lý do tại sao họ có toàn bộ thông tin mã thẻ và CVV), nên nếu hacker truy cập được ứng dụng, toàn bộ thông tin này sẽ bị lộ.
2. Ứng dụng thường gửi toàn bộ thông tin thẻ tín dụng cho khách sạn để thu tiền các dịch vụ lưu trú. Việc thông tin thẻ bị lộ là điều khó tránh khỏi vì quy trình này.' Anh Phúc bổ sung thêm.
Những nhận định trên cho thấy, lỗ hổng trong quy trình quản lý thông tin thẻ của khách hàng chính là nguyên nhân chính dẫn đến việc rò rỉ thông tin thẻ tín dụng trên internet.
Các phương thức thanh toán như Apple Pay và Google Pay giúp người dùng bảo mật số thẻ tín dụng khi thanh toán trực tuyến
Trước tình trạng này, người dùng có thể tự bảo vệ thông tin thẻ của mình bằng cách sử dụng các phương thức thanh toán bảo mật trên smartphone, như Apple Pay, Google Pay, PayPal, hoặc AliPay. Các phương thức này cũng được Booking.com liệt kê trên trang web để người dùng lựa chọn khi đặt phòng.
Lợi ích của các phương thức thanh toán này là thông tin thẻ được mã hóa thêm một lớp, giúp bảo mật thông tin người dùng trong khi vẫn hoàn tất thanh toán.
