Bạn có thể chuyển sang phiên bản mobile rút gọn của Tri thức trực tuyến nếu mạng chậm. Đóng

Agoda, Booking bị tố để lộ số thẻ ngân hàng của khách ở VN

Số tài khoản, mã bảo mật của khách hàng ở TP.HCM đã được gửi đến cho khách sạn ở Phú Quốc. Thông tin này in trên giấy, không bảo mật như cam kết.

Ngày 25/1, anh Hiền Vũ ở TP.HCM đăng lên trang cá nhân chia sẻ về việc khách hàng hàng này phát hiện ra thông tin thẻ ngân hàng của mình không được bảo mật khi đặt phòng thông qua Agoda và Booking.com.

Theo đó, anh Hiền đặt phòng tại một resort ở Phú Quốc qua trang Agoda. Sau đó, anh nhận mail thông báo phòng đã được đặt thông qua Booking.com, một đối tác trung gian của Agoda. Khi đến resort, anh Hiền phát hiện ra toàn bộ thông tin thẻ thanh toán mà Booking.com gửi cho nơi nghỉ dưỡng đều được in chi tiết ra và không bảo mật.

Agoda,  Booking bi to de lo so the tin dung anh 1
Ảnh chụp văn bản có chứa đầy đủ số tài khoản và mã CVC thẻ của anh Hiền.

"Trong một tờ giấy mà nhân viên của resort lấy ra kiểm tra mà vô tình tôi thấy được thì có tất cả thông tin thẻ của tôi, từ tên, số thẻ, mã CVC, ngày hết hạn thẻ. Và theo như resort cung cấp thì thông tin này là do trang Booking.com gửi đến".

Sau khi phát hiện vụ việc, anh Hiền đã gửi email đến Agoda để khiếu nại, nhận được hai phản hồi từ Agoda. Theo nội dung email từ dịch vụ này, Agoda cho rằng công ty có hợp tác với một công ty "chị em" khác là Booking.com. Do đó, giữa hai công ty này có cam kết chia sẻ thông tin khách hàng và luôn bảo mật thông tin đó. 

Cùng với đó, email từ Agoda cũng cho biết công ty này sẽ gửi thông tin thẻ của khách hàng cho phía khách sạn/resort nếu khách đặt phòng trả sau. Tùy nơi mà chủ khách sạn có thể áp dụng chính sách "charge" (thu) tiền đặt cọc, hoặc thu 100% chi phí khi nhận phòng. Khi chuyển thông tin cho phía khách sạn/ resort, Agoda dùng giao thức SSL (Secure Socket Layer) để mã hóa thông tin, tránh rủi ro. Phía Agoda và các đối tác cam kết không rò rỉ thông tin khách hàng ra bên ngoài. 

Lời giải thích trên được anh Hiền cho là chưa thỏa đáng, bởi nó chỉ mới xét đến công đoạn gửi thông tin từ Agoda hay Booking.com đến khách sạn/resort. Thông tin có thể được bảo mật khi chuyển qua Internet. Nhưng trong trường hợp của anh Hiền, những dữ liệu cá nhân quá chi tiết này được phía khách sạn in ra giấy, đặt trong nguy cơ bất cứ ai cũng có thể chiếm được thông tin đó và sử dụng trái phép để mua sắm, thanh toán tại nơi khác.

Agoda,  Booking bi to de lo so the tin dung anh 2
Câu trả lời từ đại diện Agoda. 

Lời giải thích từ Agoda cũng gián tiếp chỉ ra lỗi làm lộ thông tin là của phía resort/khách sạn (vì in ra giấy và bảo mật kém), không nhận trách nhiệm gì về việc gửi số thẻ tín dụng của khách hàng cho đối tác.

Trong email hồi đáp sau đó, Agoda cũng cho rằng "là một dịch vụ đặt phòng trực truyến, chúng tôi không thể đưa ra bình luận hay phán xét nào về việc thông tin tài khoản của người dùng được sử dụng ở nơi khác". 

Nói với Zing.vn, một chuyên gia làm nhiều năm trong lĩnh vực nhà hàng khách sạn cho biết Agoda và Booking.com thường sử dụng virtual card (một loại thẻ ảo) có số tiền tương đương với số tiền cần thanh toán trên thẻ của khách hàng để chuyển cho phía resort/khách sạn. Nhưng do đặc thù tại một số nơi cần thanh toán linh hoạt các phụ phí, có khoảng 30% số thẻ gửi đến là thẻ thật. 

Anh Hoàng Phương, chủ một Homestay ở Đà Lạt cho biết khi Agoda gửi thông tin cho mình thường chỉ cho phép hiện thông tin thẻ ngân hàng của khách 3 lần. Căn cứ vào ảnh chụp của a Hiền, nhiều khả năng phía resort ở Phú Quốc đã chụp màn hình khi hiện thẻ tín dụng để in ra đầy đủ. 

Sau chia sẻ của anh Hiền, nhiều người dùng Facebook đã đăng nhập trở lại vào các trang web đặt phòng để hủy thông tin thẻ tín dụng. "Từ nay tôi sẽ chỉ dùng thẻ debit có sẵn tiền trong đó và chọn hình thức trả trước chứ không dùng thẻ credit nữa", Phạm Thành Khoa, một designer ở TP.HCM cho biết. 

Hiện trên giao diện của Agoda, khi khách hàng điền thông tin thẻ, vẫn có tùy chọn để Agoda không lưu trữ thông những thông tin này trong hồ sơ.

Ngày 1/2, Booking.com phản hồi về vụ việc trên. Trong email gửi đến Zing.vn, Booking.com khẳng định chuyển toàn bộ thông tin thẻ tín dụng đến đơn vị nhận đặt phòng một cách an toàn thông qua mô hình được bảo vệ bằng mật khẩu, sử dụng Xác thực 2 yếu tố (Two-factor authentication), nhưng sau đó phụ thuộc vào các đơn vị nhận đặt phòng để đảm bảo rằng họ tuân thủ tiêu chuẩn bảo mật cao khi họ có thông tin khách hàng.

"Tất cả các đối tác của Booking.com cũng đồng ý với chính sách yêu cầu các đơn vị nhận đặt phòng được liệt kê với chúng tôi tuân theo các quy trình xử lý dữ liệu nhất định nhằm bảo vệ khách hàng trong khi quản lý kinh doanh hiệu quả một cách có trách nhiệm. Trong trường hợp hiếm hoi mà chúng tôi phát hiện được hành vi không đúng của đối tác, chúng tôi sẽ điều tra ngay lập tức, như chúng tôi đang làm trong trường hợp này", Booking nói về trường hợp resort ở Phú Quốc đã in toàn bộ thông tin của anh Hiền ra giấy.

Bán hàng online bị lừa mất sạch tiền trong tài khoản

Chiêu trò không mới này nhắm đến cá nhân, chủ cửa hàng kinh doanh qua mạng thiếu hiểu biết về bảo mật.


Duy Nguyễn

Bạn có thể quan tâm