Thứ Bảy, 27 tháng 7, 2013

Lỗ hổng chết người trong bảo mật tài khoản

“Đụng” đâu, hở đó

Anh Vũ Minh Nhật (ở Hà Nội) là trường hợp thứ 2 khiếu nại về việc số điện thoại 090xxx050 của anh đang dùng bỗng bị nhà mạng cắt và cấp lại cho một đối tượng mạo chưa xác định. Trước đó, một chủ thuê bao khác là anh Đặng Thanh Hải (TP.HCM) cũng rơi vào cảnh rưa rứa, khi nhận được tin nhắn từ tổng đài của Viettel, cho biết số thuê bao anh đang dùng sẽ được đổi sang sim mới, trước khi khóa luôn sim anh Hải đang sử dụng.

Cả hai trường hợp đều dẫn đến một hậu quả chung: ngay sau khi đoạt được số điện thoại mà các khổ chủ đang dùng, kẻ giấu mặt đã dùng số điện thoại này để nhận mật khẩu sử dụng một lần (OTP) và duyệt dịch vụ thanh toán trực tuyến Smartlink để “tiêu” tiền trong trương mục của các khổ chủ, với số tiền lần lượt là 75 triệu và 30 triệu đồng.

Với trường hợp của anh Nhật, nhà mạng MobiFone thừa nhận nhân viên đại lý MobiFone tại Thanh Hóa đã làm sai quy trình, khi chỉ cứ trên giấy CMND bản photocopy với nhiều thông tin không trùng khớp với thông tin chủ thuê bao đã đăng ký. Đồng thời, viên chức nhà mạng cũng không đề nghị người yêu cầu cấp lại sim khai báo lịch sử cuộc gọi.

Còn anh Hải cũng không khỏi ngỡ ngàng khi nhận được tin nhắn của tổng đài về việc đổi sim vào lúc... 20h ngày 10/7, tức ngoài giờ hành chính. Mặc dù anh đã báo ngay với nhà mạng, nhưng trong khi chờ được đấu nối lại, chỉ trong vòng 1 tiếng đồng hồ tài khoản của anh tại nhà băng đã “bốc hơi” 30 triệu đồng. Mặc dầu sau đó Viettel đã lên tiếng khẳng định kẻ gian sử dụng CMND giả mạo để đề nghị cấp lại số, nhưng chỉ riêng thời điểm cấp lại ngoài giờ hành chính đã đủ khiến các thuê bao không khỏi ngỡ ngàng vì cách làm việc của nhà mạng.

“Với việc tự tiện đổi thay trái nguyên tắc và cũng tự tiện đấu nối SIM trở lại của MobiFone vào số SIM cũ của tôi là do MobiFone tự tiện tiến hành thì giả như như những khách hàng đi vắng hoặc vì lý do nào đó không phát hiện ra kịp thời sẽ tạo ra tiền lệ cực kỳ nguy hiểm cho tù túng tiến công vỡ hoang, thay đổi thông báo SIM thẻ để nhận được mật khẩu OTP tiến hành hợp thức các giao dịch ăn gian rồi biến mất trong khi nạn nhân hoàn toàn không hay biết gì”, anh Vũ Minh Nhật nói.

Qua hai sự việc cùng một “kịch bản”, có thể thấy quy trình cấp lại số của hai nhà mạng can hệ lỏng lẻo đến mức khó tin. Cũng như anh Nhật hay anh Hải, nhiều người không khỏi giật mình bởi họ hoàn toàn có thể bị “cướp” số bằng mánh lới tưởng dường như rất cũ kỹ này.

“Ngoài việc mất tiền nhãn tiền như tôi, việc này có thể gây rất nhiều nguy cơ như việc mạo xưng ai đó trong chốc lát để thực hiển khẩu lệnh với đối tác, cấp dưới... Nếu bạn bị cướp số vào ban đêm, kẻ gian có thể thực hiện rất nhiều trò bất hợp pháp và sau đó trả lại số vào sáng mai mà bạn không hề hay biết”, nạn nhân đặt giả định.

Lời khuyên hay lời đổ lỗi?

Theo các chuyên gia về lĩnh vực tính sổ, hiện có 2 hình thức thanh toán qua internet dùng tài khoản nhà băng: một là dùng dịch vụ internet banking của các ngân hàng, trong đó khách hàng được cấp user và password để truy cập và thực hành các giao thiệp; hai là sử dụng các cổng thanh toán như Paypal, Smartlink, Banknetvn... Và thực hiện giao thiệp duyệt số thẻ thanh toán, chứng nhận bằng OTP về số điện thoại đã đăng ký gắn với tài khoản tại nhà băng.

Ở trường hợp trước nhất, password là bí mật của riêng khách hàng, nên việc sử dụng được bảo mật tốt hơn, giống như password email hay các account internet khác.

Thực tại, cả hai trường hợp mất tiền vì mất số trên đây đều rơi vào trường hợp thứ hai, giao tiếp qua cổng tính sổ chung của Smartlink và chứng nhận bằng OTP.

Chỉ cần nhập một số thẻ tình cờ, và tên chủ thẻ bất kỳ thì hệ thống đều chấp nhận và chuyển sang khâu nhập OTP được nhắn về số điện thoại gắn với account có mã số thẻ này

Như vậy, chỉ cần đoạt được số điện thoại, song song bằng cách nào đó biết được số thẻ (in trên bề mặt các loại thẻ tính sổ) của khổ chủ là kẻ gian có thể thoải mái xâm nhập tài khoản nhà băng của nạn nhân và tiêu tiền qua các cổng tính sổ như Smartlink.

Đàm đạo với phóng viên, cả nhà mạng và nhà băng liên quan đều nhận trách nhiệm của mình và cam kết sẽ sớm cùng các bên liên tưởng giải quyết lợi quyền của khách hàng.

Các đơn vị này cũng đã mời Cục CSĐT TP công nghệ cao (C50) Bộ Công an vào điều tra vụ việc khá nghiêm trọng này.

“Chúng tôi đã soát hệ thống bảo mật của nhà băng, nhưng không phát hiện lỗi. Thực tế ở đây kẻ gian cũng không xâm nhập được vào tài khoản ngân hàng, mà sử dụng dịch vụ thanh toán chung của Smartlink để giao tiếp qua hình thức chứng nhận OTP. Chúng tôi sẽ cùng Smartlink thảo luận, và nếu cảm thấy hệ thống này không đủ tin tức về bảo mật thì có thể xem xét rút khỏi hệ thống tính sổ này”, lãnh đạo ngân hàng nơi có hai khách hàng bị mất tiền cho biết.

Thực tại, Smartlink áp dụng hình thức giao thiệp chứng nhận bằng OTP chung cho vớ các ngân hàng tham dự hệ thống, có tức là khách hàng của nhà băng nào cũng có thể mất tiền nếu bị mất số điện thoại, và bị lộ thông báo số thẻ thanh toán.

“Chúng tôi không để lộ số thẻ, nhưng việc dùng thẻ để thanh toán qua mạng, hay tính sổ ở nhà hàng, khách sạn, trung tâm mua sắm... Hoàn toàn có thể dẫn đến số thẻ bị lưu ở đâu đó. Nếu chỉ vì lộ số thẻ mà có thể mất tiền thì rõ ràng dịch vụ này cần được coi xét lại về hàng rào bảo mật”, anh Hoàng Bảo Chung - một người sử dụng thẻ tính sổ lo ngại.

Qua hai sự việc, rõ ràng ngoài bổn phận chẳng thể chối cãi của các nhà mạng, việc kẻ lạ sử dụng tài khoản của khổ chủ để tiêu tiền thực hành trên hệ thống Smartlink và vấn đề cần đặt ra là nên chăng cần tăng cường hàng rào bảo vệ trên hệ thống này thay vì chỉ cần chứng nhận OTP.

Tuy nhiên, thay cho câu giải đáp các câu hỏi của PV Dân trí như việc soát lại hệ thống, tăng cường tính bảo mật, nghĩa vụ đối với người sử dụng dịch vụ bị thiệt hại... Đại diện Smartlink lại chỉ đưa ra hàng loạt... Lời khuyên.

Tất nhiên các lời khuyên như bảo mật thông báo thẻ, thông báo cá nhân, lập password trên điện thoại hay báo cho nhà băng khóa account khi mất điện thoại là không thừa, nhưng vấn đề nằm ở chỗ: việc lộ thông tin cá nhân hoàn toàn có thể xảy ra từ nhiều nguồn (người dùng, nhà băng, nhà mạng, hoặc chính hệ thống thanh toán...) Thì đơn vị cung cấp dịch vụ tính sổ cần làm gì để không gây thiệt hại cho người dùng. Đặc biệt trong trường hợp này, mánh lới của kẻ gian không hề cao xa, mà chỉ là lợi dụng các kẽ hở của nhà mạng, cũng như dịch vụ tính sổ.

Tăng cường hàng rào bảo mật để bảo vệ người dùng dịch vụ và niềm tin của người dùng vào dịch vụ, có nhẽ là việc nên làm hơn là chỉ ra những nguyên cớ mà ai cũng biết như “Kẻ gian lợi dụng khách hàng người dùng thiếu cảnh giác, không bảo mật các thông tin cá nhân quan trọng như số thẻ tín dụng, số thẻ ATM, số Chứng minh thư nhân dân….” (Trích thông tin phản hồi từ Smartlink về sự việc).

Hồng Kỹ

Theo Dân trí