Sau khi tung hơn 5,4 triệu email của nhân viên và khách hàng được cho từ hệ thống bán lẻ Thế Giới Di Động, nay các tin tặc lại tung thông tin hơn 2.200 nhân viên Con Cưng lên mạng...
Sau khi tung hơn 5,4 triệu email của nhân viên và khách hàng được cho từ hệ thống bán lẻ Thế Giới Di Động, nay các tin tặc lại tung thông tin hơn 2.200 nhân viên Con Cưng lên mạng và công bố sẽ tiếp tục với thông tin khách hàng của FPT Shop.
Ngân hàng, viễn thông, bán lẻ bị "nhòm ngó"
Danh sách nhân viên từ hệ thống Con Cưng (concung.com) được đưa lên diễn đàn RaidForums vào ngày 10.11, chỉ sau một ngày Cục An toàn thông tin (Bộ Thông tin - Truyền thông) đưa ra kết luận hệ thống của Thế Giới Di Động không bị tấn công.
Sau khi phân tích từ dữ liệu mà tin tặc tung ra, các chuyên gia từ Diễn đàn hacker WhiteHat cho biết dữ liệu đó bao gồm 2.272 họ và tên nhân viên kèm chức vụ, bộ phận, địa chỉ cửa hàng làm việc cùng 2.187 số điện thoại, 1.133 email, 2.272 số CMND hoặc hộ chiếu, 1.395 ảnh đại diện và nhiều thông tin cá nhân khác đều chính xác.
Các chuyên gia từ WhiteHat tạm thời kết luận đúng là dữ liệu từ Con Cưng đã bị rò rỉ ra ngoài. Với những thông tin bị lộ, có thể trong thời gian tới các nhân viên của hệ thống này sẽ phải đối mặt với những cuộc gọi và email spam.
Chuyên gia WhiteHat khuyến cáo không nên mở những tệp tin lạ được gửi qua điện thoại và email. Đồng thời nhân viên nên đổi ngay mật khẩu các tài khoản email, mạng xã hội... nếu dùng ngày tháng năm sinh, số điện thoại hoặc số CMND làm mật khẩu. Bên cạnh đó, có thể sử dụng một số phần mềm chặn spam trên điện thoại di động. Riêng các quản trị hệ thống cần rà soát để phát hiện lỗ hổng và kịp thời xử lý.
Trong khi đó, dù phía Thế Giới Di Động và Cục An toàn thông tin phủ nhận hệ thống này bị lộ dữ liệu nhưng cho đến hiện tại, vẫn chưa ai biết được nguồn gốc của hơn 5,4 triệu email khách hàng và 31.000 bản ghi liệt kê số thẻ ngân hàng bị hacker đưa lên diễn đàn này từ đầu tháng 11. Trao đổi với Thanh Niên hôm qua, trưởng phòng công nghệ thông tin của một doanh nghiệp (DN) có lượng lớn khách hàng sử dụng cho biết cũng đang khá lo lắng. Bởi từ vụ Thế Giới Di Động và đến nay là Con Cưng với danh sách thông tin nhân viên chính xác cho thấy khả năng bị tấn công của nhiều DN còn có thể xảy ra.
Trên thực tế, một số DN có nguồn dữ liệu thông tin khách hàng lớn như ngân hàng, viễn thông, y tế hay bán lẻ thường bị hacker chú ý và tìm cách tấn công lấy cắp dữ liệu. Đặc biệt trong môi trường mạng, thông tin có khả năng “nhân bản” rất nhanh, không kiểm soát. Vì vậy, để tìm ra nguồn gốc thật sự của tin tặc hoặc nguồn phát tán thông tin đó rất khó hoặc mất rất nhiều thời gian. Các DN cần phải chủ động rà soát để ngăn ngừa rủi ro, phòng lỗ hổng. Bởi khi dữ liệu bị mất sẽ gây thiệt hại cho khách hàng, ảnh hưởng đến uy tín và hoạt động kinh doanh của chính DN.
Thẻ ngân hàng bị lộ từ đâu ?
Ngay khi thông tin dữ liệu khách hàng và thẻ thanh toán được tin tặc công bố, trong văn bản ngày 9.11, Ngân hàng Nhà nước (NHNN) cho biết qua báo cáo nhanh của các nhà băng, đến thời điểm hiện tại, chưa ghi nhận trường hợp khách hàng của NH có liên quan trong vụ việc này bị lộ thông tin thẻ, cũng như chưa có khách hàng nào bị khai thác, lợi dụng chiếm đoạt tiền trong tài khoản. Thế nhưng vụ việc trên đã gây tác động xấu tới dư luận xã hội và tâm lý lo lắng cho khách hàng sử dụng các dịch vụ thanh toán.
Một chuyên gia thẻ phân tích, khách hàng khi mua hàng hóa tại các cửa hàng bán lẻ như Thế Giới Di Động, Con Cưng thường có cả 3 hình thức thanh toán là trả bằng tiền mặt tại quầy, thanh toán bằng thẻ qua máy POS hay thanh toán trực tuyến khi mua hàng qua website. Máy POS tại các cửa hàng thanh toán do các NH lắp đặt. Khi khách hàng quẹt thẻ, dữ liệu của khách sẽ được truyền thẳng về NH. Với hình thức thanh toán online, các thông tin tài khoản thẻ như số thẻ, số CVC (mã bảo mật thẻ thanh toán quốc tế)… mà khách hàng đăng nhập trên trang web của đơn vị bán lẻ, sau đó cũng được chuyển về NH. Chính vì vậy, dù chưa khẳng định được số thẻ NH bị lộ từ cửa hàng hay từ phía NH thì bản thân công ty bán lẻ cũng phải trang bị an toàn bảo mật hệ thống của khách hàng.
Cục An toàn thông tin cũng khẳng định, các thông tin quan trọng của thẻ tín dụng khách hàng không được lưu trữ trên hệ thống do Thế Giới Di Động quản lý. Thông thường, trong quá trình thanh toán trên máy POS và giao dịch trực tuyến qua trang web, thông tin liên quan đến thẻ tín dụng của khách hàng được mã hóa và chuyển sang NH hoặc tổ chức cung ứng dịch vụ trung gian thanh toán theo quy định.
90% DN đầu tư ít cho bảo mật
Chuyên gia an toàn thông tin Lê Nguyên Khang cho biết, có đến gần 90% DN vẫn đầu tư rất ít cho quy trình bảo mật. Nhiều công ty vì chạy theo chỉ tiêu doanh thu, lợi nhuận nên bỏ qua việc xây dựng hệ thống an toàn bảo mật. Khi phát triển lớn hơn, số lượng khách hàng ngày càng nhiều, khả năng bị lộ thông tin của khách hàng là cực lớn. Vì vậy, DN phải đầu tư cho hệ thống bảo mật. Bên cạnh đó, người dùng cũng phải có ý thức về an toàn thông tin của mình. Ví dụ cần đọc kỹ các điều khoản thanh toán khi giao dịch trực tuyến. Kiểm tra kỹ các trang web có thanh toán qua mạng trước khi nhập thông tin thẻ tín dụng để mua hàng, chi trả dịch vụ. Nếu các trang web này liên kết với các cổng thanh toán trung gian được cấp phép hoặc qua NH thì sẽ an toàn hơn.
“Thói quen của nhiều người dùng chỉ chọn nơi mua hàng online với giá rẻ mà không đọc các điều khoản về thanh toán. Bởi an toàn là trang web đó không lưu thẻ mà phải kết nối với đơn vị thanh toán được phép. Tương tự, nên nhớ bật dịch vụ xác thực giao dịch thẻ trực tuyến quốc tế (3D secure) để tăng thêm sự an toàn cho chủ thẻ. Hay như ở các đơn vị có bộ phận thanh toán qua mạng thường xuyên, nên trang bị một máy tính chuyên dùng và không cài bất kỳ phần mềm nào ngoài hệ điều hành có bản quyền để hạn chế các lỗ hổng hay bị mã độc xâm nhập...”, chuyên gia Lê Nguyên Khang chia sẻ thêm.
Đồng quan điểm, ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng của Tập đoàn Bkav, cho rằng các DN phải có sự đầu tư ngay từ đầu về hệ thống bảo mật cùng với quá trình xây dựng hệ thống công nghệ thông tin. Đặc biệt là các công ty có các chuỗi cửa hàng bán lẻ, có bán hàng online hay cung cấp dịch vụ trực tuyến... Khi xảy ra sự cố, cần phối hợp với các đơn vị chuyên bảo mật để kiểm tra hệ thống, xử lý nhanh. Đồng thời, đưa ra những thông báo cảnh giác cho khách hàng, hướng dẫn các biện pháp để khách hàng yên tâm cũng như ngăn chặn việc dữ liệu tiếp tục bị rò rỉ. (thanhnien)
