Vụ việc Thế Giới Di Động bị nghi ngờ rò rỉ thông tin người dùng: Tất cả những gì đã xảy ra trong ngày 7/11
Trưa ngày 7/11, cộng đồng công nghệ Việt sôi sục trước thông tin dữ liệu của khách hàng Thế Giới Di Động bị rò rỉ. Cụ thể, trên một diễn đàn quốc tế, thành viên có tên erwincho đã đăng tải bài viết chia sẻ hơn 5.4 triệu địa chỉ email khách hàng, 61.000 địa chỉ email nội bộ và 31.000 bản ghi giao dịch (trong đó có hé lộ một phần số thẻ tín dụng). Những thông tin này đều được chia sẻ công khai và tất cả mọi người đều có thể tải về.
Thành viên công khai đăng tải thông tin người dùng của Thế Giới Di Động
31.000 bản ghi giao dịch
61.000 địa chỉ email nội bộ
5.4 triệu địa chỉ email khách hàng
Người dùng này cho biết: "Đây mới chỉ là một phần của những thông tin bị rò rỉ. Bản đầy đủ sẽ có tất cả mọi thứ. Hãy chờ đợi nhé".
Vài giờ sau, Thế Giới Di Động chính thức đưa ra thông cáo, phủ nhận việc mình bị hack. Ông Đặng Thành Phong - Trưởng phòng Truyền thông của Thế Giới Di Động cho biết: "1. Chúng tôi đã nhận đc thông tin phản ánh và đã kiểm tra, tất cả các thông tin được lan truyền đều là giả. 2. Hệ thống của chúng tôi vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng."
Thế nhưng đến tối cùng ngày, erwincho tiếp tục "nhá hàng" phần tiếp theo của thông tin rò rỉ, lần này bao gồm số thẻ thanh toán nội địa/quốc tế của một số ngân hàng như Vietcombank, Sacombank, DongA Bank, VIB... được cho là của khách hàng Thế Giới Di Động. Nếu như số thẻ của đợt rò rỉ đầu tiên được ẩn đi một vài chữ số, thì đến lần này, số thẻ được phơi bày một cách công khai.
Tối ngày 7/11, thành viên này tiếp tục đăng tải thông tin, lần này là số thẻ đầy đủ
Thế Giới Di Động sau đó tiếp tục phủ nhận thông tin này. Thế Giới Di Động cho biết máy POS khi quẹt thẻ tại cửa hàng là của ngân hàng, còn khi thanh toán online cũng chuyển sang cổng thanh toán của tổ chức cung ứng dịch vụ trung gian thanh toán. Thế Giới Di Động khẳng định không lưu trữ những thông tin này của khách hàng nên không thể có việc những thông tin này bị lộ từ hệ thống của mình.
Còn nhiều nghi vấn chưa được làm sáng tỏ
Đến thời điểm hiện tại, vẫn còn quá nhiều nghi vấn chưa được làm sáng tỏ ở cả hai phía: thành viên tung ra thông tin rò rỉ và Thế Giới Di Động.
Về phía "hacker" đã rò rỉ loạt thông tin trên, ngay sau khi sự việc bắt đầu xảy ra, đã có rất nhiều nghi vấn được rộ lên. Tính chính xác của thông tin là thứ được người ta bàn tán xôn xao nhất: liệu đây có phải là những thông tin thật hay không, và nếu có thì hacker kia đã hack Thế Giới Di Động như thế nào?
Đặc biệt, về việc lộ số thẻ, mặc dù chúng ta chưa rõ hệ thống của Thế Giới Di Động hoạt động ra sao, nhưng theo quy trình thường thấy trong thanh toán thì việc Thế Giới Di Động lưu thông tin thẻ của người dùng và để lộ là không có lý. Cũng như nhiều đơn vị bán lẻ và thương mại điện tử khác, việc thanh toán bằng thẻ sẽ được quản lý bởi ngân hàng và cổng thanh toán điện tử, và bên bán sẽ không thể can thiệp hay sao lưu thông tin này vào máy chủ.
Thông thường, người dùng sẽ thục hiện việc thanh toán trực tuyến trên cổng thanh toán điện tử (ví dụ như NAPAS) chứ không phải là trên website của bên bán
Danh sách 5.4 triệu email cũng có một vài điểm kỳ quặc. Nhiều người cho biết họ chưa từng mua hàng tại Thế Giới Di Động bao giờ, nhưng vẫn có trong danh sách. Người ta còn tìm thấy một số email của nhân viên thuộc các tập đoàn lớn, thậm chí là cả chính phủ - những địa chỉ email mà hiếm người công khai sử dụng để mua hàng. Email của hệ thống trả lời tự động (dạng noreply) cũng được tìm thấy trong danh sách.
Một loạt email dạng "noreply" được tìm thấy trong danh sách email rò rỉ
Chính vì vậy, một số người cho rằng danh sách này có thể không đến từ Thế Giới Di Động mà đến từ nhiều nguồn khác. Đây cũng có thể là danh sách email được Thế Giới Di Động mua lại từ một bên khác để phục vụ cho mục đích quảng cáo. Hệ thống của Thế Giới Di Động có thể không có kẽ hở về bảo mật, nhưng thông tin vẫn có thể bị rò rỉ ra theo nhiều cách khác.
Nguồn gốc thật sự và tính chính xác của thông tin rò rỉ vẫn còn là một thứ đáng để nghi vấn và chưa có lời giải đáp. Chúng ta sẽ còn phải tiếp tục chờ đợi điều tra.
Chỉ biết rằng, có một sự thật là thông tin email và số thẻ của một lượng lớn người Việt đã bị lộ ra. Sự lo lắng khi thấy thông tin của mình nằm trong danh sách là rất hiện hữu. Nếu như những người lộ email lo lắng một phần, thì những người lộ thẻ còn lo lắng gấp trăm lần. Họ hoang mang vì không thể biết rằng hacker kia còn nắm những thông tin gì của họ, và sẽ làm gì với những thông tin đó.
Nhiều người dùng xác nhận họ đã bị lộ thông tin email và số thẻ
Đừng trông cậy vào ai, hãy tự bảo vệ chính mình!
Nếu bạn nằm trong danh sách bị rò rỉ thông tin, thì việc Thế Giới Di Động có bị hack hay không cũng không quan trọng. Thế Giới Di Động có thể bị hack, có thể không, điều quan trọng là thông tin của bạn đã bị rò rỉ. Thông tin của bạn là tài sản của bạn. Chính bạn, và cũng chỉ có bạn mới có thể bảo vệ nó.
Lời khuyên được gửi đến lúc này là hãy tạm thời khóa thẻ, đổi mật khẩu email và ưu tiên giao dịch bằng tiền mặt. Nếu cẩn thận hơn, bạn có thể rút toàn bộ tiền mặt khỏi thẻ. Bằng cách này, bạn có thể yên tâm cho dù điều xấu nhất có xảy ra hay không.