Website đặt phòng Booking.com mà nhiều người Việt đang sử dụng đã thừa nhận gửi toàn bộ thông tin thẻ tín dụng của khách hàng tới đối tác, cho dù đó là những thông tin quan trọng cần được bảo mật nghiêm ngặt.

Booking.com sai sót để lộ thông tin thẻ tín dụng của khách hàng
Booking.com sai sót để lộ thông tin thẻ tín dụng của khách hàng.

Thờ ơ trong việc bảo mật thông tin thẻ tín dụng

Những ngày gần đây, cư dân mạng đang xôn xao bàn tán câu chuyện về một người đàn ông có tên Facebook là “Hiền Vũ” đã tình cờ phát hiện Booking.com làm lộ thông tin thẻ tín dụng của chính mình.

Cụ thể, ngày 14/1, ông Hiền khi đến nhận phòng tại một khu resort ở Phú Quốc đã nhìn thấy nhân viên in ra một tờ giấy, trong đó có chứa toàn bộ thông tin thẻ tín dụng, gồm: họ tên, số thẻ, số CVC, ngày hết hạn thẻ – tức là toàn bộ thông tin kẻ xấu cần có để sử dụng trái phép một thẻ tín dụng bất kỳ.

Ban đầu, ông Hiền đặt phòng trên website Agoda.com và thanh toán theo hình thức online. Sau khi thanh toán thành công, ông Hiền nhận được email xác nhận thông tin đặt phòng cho biết ông đã đặt phòng thành công trên hệ thống của Booking.com, tức Agoda.com đã chuyển tiếp thông tin qua Booking.com.

Có một điều dễ hiểu là quá trình thanh toán online chỉ liên quan đến 2 website đặt phòng Agoda.com và Booking.com, không hề liên quan đến resort ở Phú Quốc. Ấy vậy mà những thông tin thẻ tín dụng của ông Hiền đã được chuyển đến cho resort, không hề được mã hóa hay ẩn đi.

Booking.com sai sót để lộ thông tin thẻ tín dụng của khách hàng
Toàn bộ thông tin thẻ tín dụng của ông Hiền được in ra không hề có sự che đậy.

Đây rõ ràng là một lỗ hổng bảo mật nghiêm trọng trong quy trình làm việc của cả 3 bên, đặc biệt là Booking.com. Cả Agoda.com và Booking.com đều là những website đặt phòng với lượng người dùng thường xuyên cực rất lớn. Nếu thông tin thẻ tín dụng của khách hàng dễ dàng bị lộ ra ngoài như vậy thì những người như ông Hiền có thể sẽ phải chịu thiệt hại rất lớn mà không hề hay biết nguyên nhân.

Dễ dàng từ chối trách nhiệm

Sau khi sự việc nhận được cộng đồng mạng quan tâm, Booking.com đã gửi thư phản hồi tới một cơ quan truyền thông. Trong thư, website này thừa nhận đã gửi toàn bộ thông tin thẻ tín dụng của khách hàng cho đối tác nhưng lại viện cớ nhằm “đảm bảo đối tác của chúng tôi nhận được dữ liệu cần thiết để hoạt động kinh doanh một cách an toàn và đáng tin cậy.”

Booking.com cho biết họ “chuyển toàn bộ thông tin thẻ tín dụng đến đơn vị nhận đặt phòng một cách an toàn thông qua mô hình được bảo vệ bằng mật khẩu, sử dụng Xác thực 2 yếu tố (Two-factor authentication)”, “nhưng sau đó phụ thuộc vào các đơn vị nhận đặt phòng để đảm bảo rằng họ tuân thủ tiêu chuẩn bảo mật cao khi họ có thông tin khách hàng”.

Như vậy, Booking.com đang quy trách nhiệm cho đối tác của họ, trong trường hợp này là resort ở Phú Quốc. Chưa biết sự việc này rồi sẽ đi đến đâu nhưng khách hàng đã phải đối mặt với nguy cơ bị mất tiền oan vì quy trình làm việc của các nhà cung cấp dịch vụ.

Việt Đức