Theo khuyến nghị của chuyên gia bảo mật, trường hợp nằm trong danh sách tài khoản bị lộ, dù thông tin bị lộ có phải từ Thế Giới Di Động hay không thì người dùng cũng cần có các động thái để đảm bảo an toàn hơn thông tin cá nhân của mình (Ảnh minh họa. Nguồn: Internet)
Thông tin nêu trên vừa được đại diện Cục An toàn thông tin - cơ quan có chức năng tham mưu, giúp Bộ trưởng Bộ TT&TT quản lý nhà nước và tổ chức thực thi pháp luật về an toàn thông tin chia sẻ tối nay, ngày 8/11/2018.
Cho biết hiện Cục An toàn thông tin đã cử cán bộ kỹ thuật trực tiếp làm việc với Thế Giới Di Động, đại diện Cục An toàn thông tin - Bộ TT&TT cũng thông tin thêm: “Hiện chúng tôi vẫn đang phối hợp cùng Thế Giới Di Động xác minh cụ thể vụ việc, chưa có kết quả cuối cùng. Chúng tôi cũng đã đôn đốc, hướng dẫn doanh nghiệp bảo đảm an toàn thông tin hỗ trợ trong trường hợp cần thiết”.
Trước đó, như ICTnews đã đưa tin , vào đầu tháng 11/2018 này, trên diễn đàn RaidForums, một thành viên diễn đàn này đã đưa lên một loạt file dữ liệu trong đó gồm hơn 5 triệu email và hàng chục ngàn thông tin thẻ thanh toán như Visa, thẻ tín dụng...được cho là của Thế Giới Di Động và Điện Máy Xanh. Đáng chú ý trong đó có cả file dữ liệu bao gồm số thẻ thanh toán đầy đủ.
Về phía Thế Giới Di Động, trước đó hệ thống bán lẻ trực tuyến này đã phát đi thông cáo phủ nhận doanh nghiệp mình bị lộ thông tin thanh toán của khách hàng. Theo giải thích từ Thế Giới Di Động, khi khách hàng thanh toán bằng cách cà thẻ tại máy POS thì dữ liệu mã hóa được chuyển về ngân hàng, hay khi thanh toán trực tuyến qua trang web của công ty, thông tin thẻ sẽ được chuyển qua cổng thanh toán của tổ chức tín dụng cung cấp dịch vụ thanh toán trung gian. Do đó, Công ty không lưu trữ những thông tin như số thẻ, ngày hết hạn, ngày giờ mua hàng... của khách nên không thể có việc những thông tin này bị lộ từ hệ thống của họ.
Quy trình thanh toán khi mua hàng tại hệ thống Thế Giới Di Động (Nguồn ảnh: Whitehat.vn)
Nhận định về vụ việc, đại diện Bkav - đơn vị chủ quản diễn đàn an toàn thông tin mạng Việt Nam cho biết, với những dữ liệu hiện có, chưa thể khẳng định TGDD có bị tấn công hay không?
Giải thích rõ hơn về vụ việc, trong thông tin đăng tải trên diễn đàn WhiteHat.vn vào chiều tối ngày 8/11/2018, chuyên gia Bkav cho rằng hơn 5 triệu email có thể là dữ liệu trên hệ thống website hoặc nhật ký giao dịch của Thế Giới Di Động hoặc cũng có thể chỉ là danh sách email được "cào" trên mạng. "Những tập tin này không thể nói lên chúng được đánh cắp từ Thế Giới Di Động", chuyên gia Bkav chia sẻ.
Tối qua, ngày 7/11/2018, sau khi tung dữ liệu về 31.000 bản ghi liệt kê số thẻ ngân hàng được cho là của khách hàng từ hệ thống Thế Giới Di Động, hacker tiếp tục đăng tải 32 hàng dữ liệu có đầy đủ 16 chữ số thẻ ngân hàng trên diễn đàn RaidForums. Tuy nhiên, ngay cả sau động thái mới của hacker, chuyên gia Bkav nhận định: "Chưa thể khẳng định các thông tin thẻ tín dụng này có chính xác hay không. Hơn nữa, có vẻ như hacker đang muốn làm trầm trọng thêm vụ việc theo cách lộ lọt nhỏ giọt nhằm thu hút sự chú ý của truyền thông".
Có cùng quan điểm với Bkav, trao đổi với ICTnews, ông Trần Quang Chiến - CEO Công ty an toàn thông tin mạng CyStack cho biết: "Dữ liệu đã bị lộ cũng không khẳng định được là của Thế Giới Di Động, dữ liệu 5 triệu tài khoản chỉ bao gồm địa chỉ email. Về dữ liệu giao dịch, dữ liệu từ năm 2016, như hacker đã công bố thì chỉ bao gồm số thẻ của người dùng, tuy nhiên không bao gồm mã code và đầy đủ các thông tin để có thể bị đánh cắp tiền".
Ông Chiến cũng cho rằng, vụ việc này cũng đặt ra một vấn đề cho các đơn vị phát triển ứng dụng, đó là không nên tự lưu trữ các thông tin quan trọng của khách hàng, ví dụ như thông tin thanh toán, mật khẩu không mã hóa… "Các thông tin hoặc giao dịch quan trọng nên sử dụng dịch vụ của các bên thứ ba để đảm bảo an toàn bảo mật", ông Chiến nói.
Đối với các khách hàng, ông Chiến khuyến nghị, trong trường hợp nằm trong danh sách tài khoản bị lộ, dù thông tin bị lộ có phải từ Thế Giới Di Động hay không thì họ cũng cần có các động thái để đảm bảo an toàn hơn thông tin cá nhân của mình. "Người dùng không nên sử dụng chung mật khẩu của các website, đặc biệt là các mật khẩu quan trọng như tài khoản email, tài khoản ngân hàng.... Nếu dữ liệu thẻ bị lộ thì người dùng nên khóa lại tài khoản thẻ của mình để tránh bị mất tiền, sử dụng thêm các biện pháp bảo mật nâng cao như xác thực 2 bước qua SMS, token", ông Chiến nêu giải pháp khắc phục.
Theo các chuyên gia bảo mật, việc Thế Giới Di Động có bị tấn công và lộ thông tin khách hàng hay không vẫn cần phải điều tra thực tế và có sự đánh giá của các chuyên gia. Tuy nhiên, ngay lúc này phía Thế Giới Di Động cũng cần có những minh chứng rõ ràng về những dữ liệu được công bố là không chính xác để trấn an khách hàng của mình.
Ở góc độ của cơ quan quản lý nhà nước, đề cập đến tình trạng nhiều tổ chức, doanh nghiệp của Việt Nam có thể trở thành "miếng mồi" của tin tặc, đại diện Cục An toàn thông tin – Bộ TT&TT khuyến nghị, các cơ quan, doanh nghiệp cần tăng cường triển khai các biện pháp đảm bảo an toàn thông tin cho hệ thống thông tin phục vụ hoạt động nội bộ cũng như cung cấp dịch vụ trên mạng cho người sử dụng.
Bên cạnh đó, các tổ chức, doanh nghiệp cũng được khuyến cáo cần định kỳ kiểm tra, rà quét điểm yếu, lỗ hổng để phát hiện và kịp thời xử lý. Trường hợp bị tấn công mạng, các tổ chức, doanh nghiệp cần nhanh chóng khắc phục, kịp thời thông báo cho Cục An toàn thông tin và các cơ quan chức năng liên quan để phối hợp xử lý các vấn đề phát sinh.
Theo MT
ICTnews