Đánh bạc với dữ liệu cá nhân

E-mail | Bản in | Lưu xem sau

(Ảnh minh họa)

 Mỗi khi bạn cà thẻ tín dụng và chờ giao dịch được chấp nhận, các dữ liệu nhạy cảm, bao gồm tên và số tài khoản, được truyền từ cửa hàng đến ngân hàng thông qua mạng máy tính. Mỗi bước như thế đều có nguy cơ là một khe hở để hacker đột nhập…

Ngay cả khi bạn có thể thực hiện những bước nhằm bảo vệ bản thân trước nạn ăn cắp tính danh, các ngân hàng và những công ty xử lý thông tin của bạn có thể không cẩn trọng như khả năng vốn có của mình.

Khách hàng “lãnh đủ”

Tại Mỹ, chính phủ giao cho các hãng phát hành thẻ tự soạn thảo quy định bảo mật để bảo vệ khoảng 50 tỷ lần giao dịch hằng năm của nước này. Tuy nhiên, những quy định này thường qua loa, thậm chí là vô nghĩa. Điều này có nghĩa là mỗi khi bạn trả tiền bằng tấm thẻ nhựa của mình, các công ty đang đánh bạc với dữ liệu cá nhân của bạn.

Tổ chức Piracy Rights Clearinghouse cho biết, kể từ năm 2006, đã có hơn 70 nhà bán lẻ và xử lý thanh toán đã tiết lộ những vụ xâm phạm dữ liệu ở Mỹ, liên quan đến hàng chục triệu số thẻ tín dụng và thẻ ghi nợ.

Trong khi đó, nhiều công ty khác có thể đã bị xâm nhập mà không phát hiện ra. Thậm chí, những công ty được ngành công nghiệp thanh toán đánh giá cao vì khả năng bảo mật máy tính của mình, tức có một chứng chỉ gọi là PCI, cũng từng là nạn nhân của các vụ trộm tính danh lớn. Các công ty không đạt chuẩn PCI có thể đối mặt với án phạt, nhưng vẫn được tự do xử lý việc chi trả qua thẻ tín dụng và thẻ ghi nợ.  

Riêng các nhà cung cấp thẻ tín dụng có vẻ không vội gì trong việc siết chặt quy định sử dụng. Họ cho rằng lừa đảo là một phần chi phí của kinh doanh, và việc tăng cường bảo mật có thể ảnh hưởng tới hệ thống thanh toán, vốn dựa trên tốc độ, sự tiện dụng và giá rẻ. Điều này không mang lại chút an ủi nào cho những khách hàng gặp tổn thất do trót tin vào khả năng bảo mật.

Pamela LaMotte, một phụ nữ 46 tuổi sống tại thành phố Colchester, đã phải mất bốn tháng để khắc phục thiệt hại sau khi hai trong số những tài khoản tín dụng của cô bị hacker xâm phạm sau một lần giao dịch tại cửa hàng tạp phẩm Hannaford Bros. Tại thời điểm đó, cô đang thất nghiệp nên buộc phải đi vay tiền để trả 500 đô-la Mỹ cho số tiền rút quá số tiền gửi và chi phí thanh toán muộn. Số tiền này sau đó được ngân hàng trả lại khi họ điều tra vụ mất cắp. LaMotte cho biết hiện cô thanh toán bằng tiền mặt hoặc séc nhiều hơn.   

Mọi chuyện bắt đầu sau khi hacker cài phần mềm độc hại trên các máy chủ của Hannaford để thu thập thông tin khách hàng khi chúng được gửi tới ngân hàng để được chấp nhận thanh toán. Từ đó, hacker xâm nhập hai công ty xử lý thanh toán có chứng chỉ PCI. Hậu quả là Heartland Payment Systems mất số tài khoản, ngày hết hạn và những dữ liệu khác của người mua sắm (số người bị ảnh hưởng có thể lên đến hàng trăm triệu). Trong khi đó, RBS WorldPay Inc. cũng bị tin tặc cuỗm mất hơn một triệu số an sinh xã hội – tấm vé vàng có thể giúp hacker thực hiện mọi kiểu lừa đảo.

Nỗi lo từ PCI
 

Những bước xử lý một thẻ tín dụng.

 Trong quá khứ, mỗi công ty thẻ tín dụng có những quy định bảo mật riêng. Điều này gây không ít rắc rối cho các cửa hàng. Năm 2006, các “đại gia” thẻ như Visa, MasterCard, American Express, Discover và JCB International thành lập Hội đồng chuẩn bảo mật ngành công nghiệp thẻ thanh toán (Payment Card Industry Security Standards Council, tạm gọi tắt là PCISSC) và thiết lập những quy định bảo mật chung cho người buôn bán.

Avivah Litan, một nhà phân tích của công ty Gartner Inc., cho biết, các nhà bán lẻ và nhà xử lý thanh toán đã phải bỏ ra hơn 2 tỷ đô-la Mỹ để nâng cấp khả năng bảo mật nhằm tuân thủ những quy định của PCI. Hiện có 93% các nhà bán lẻ lớn và 88 % nhà bán lẻ vừa ở Mỹ tuân thủ những quy định này. Những nhà bán lẻ nào đứng ngoài cuộc phải đối mặt với mức phạt từ 5.000 đô-la (nhà bán lẻ vừa) đến 25.000 đô-la (nhà bán lẻ lớn) mỗi tháng.

Các chuyên gia an ninh mạng cho rằng những hướng dẫn của chuẩn PCI khá hời hợt và mang tính hình thức, bao gồm yêu cầu cửa hàng cài đặt phần mềm diệt virus và tường lửa. Những bước này được thiết kế để ngăn chặn sự xâm nhập của hacker. Dù vậy, việc kiểm tra khả năng bảo mật thông qua một cuộc tấn công mô phỏng của hacker chỉ được yêu cầu thực hiện mỗi năm một lần. Và các doanh nghiệp có thể tự thực hiện cuộc kiểm tra này. Ngược lại, bọn tội phạm ngày càng trở nên tinh vi và giỏi hơn, thu thập nhiều dữ liệu hơn khi chúng đi từ cửa hàng đến ngân hàng – thời điểm những vụ xâm phạm rất khó ngăn chặn.

Vì thế, các chuyên gia bảo mật cho rằng có một số bước mà ngành công nghiệp thanh toán cần thực hiện để bảo đảm thông tin khách hàng không rò rỉ ra bên ngoài các mạng. Các ngân hàng có thể mã hóa dữ liệu được truyền qua các mạng thanh toán, để chúng trở nên vô nghĩa đối với những ai không được phép xem. Công ty TJX Cos., nạn nhân của một vụ xâm phạm dữ liệu khiến đến 100 triệu tài khoản bị lộ, đã siết chặt khả năng bảo mật, nhưng cho biết nhiều ngân hàng không chấp nhận dữ liệu được mã hóa. Chuẩn PCI yêu cầu dữ liệu được truyền qua “các mạng mở, công cộng” phải được mã hóa, nhưng điều này cũng đồng nghĩa những tin tặc nào có khả năng truy cập vào mạng nội bộ của công ty vẫn có thể lấy được dữ liệu. Việc yêu cầu mã hóa dữ liệu mọi lúc mọi nơi sẽ khá tốn kém và làm giao dịch chậm lại.

Ngoài ra, chuẩn PCI không nên là một yêu cầu bắt buộc. Thay vào đó, một số chuyên gia đề nghị thiết lập những mức phạt cho mỗi một thông tin nhạy cảm mà một nhà bán lẻ để mất. Bên cạnh đó, Mỹ có thể thử nghiệm một hệ thống như của châu Âu, nơi người mua sắm cần một mã PIN (số nhận dạng cá nhân) và thẻ có gắn một loại chip bên trong để hoàn tất các cuộc mua sắm. Hệ thống này – gọi là “Chip và PIN”, giúp giảm bớt tình trạng gian lận do khó sử dụng thẻ giả hơn.

(Theo Minh Phương // Thời báo kinh tế Sài Gòn // AP)