Vụ việc chị Hoàng Thị Na Hương – chủ thẻ Vietcombank mất 500 triệu đồng trong một đêm mới đây đang khiến những người dùng dịch vụ ngân hàng tại Việt Nam nói chung và dịch vụ của Vietcombank nói riêng vô cùng hoang mang, lo lắng.
Hiện vụ việc này và chủ đề bảo mật của Vietcombank đang được bàn tán, tranh luận sôi nổi hơn bao giờ hết, trong đó có không ít ý kiến của các chuyên gia IT, truyền thông, ngân hàng và cả những người từng là nạn nhân của ngân hàng này.
Dưới đây, Kiến Thức đăng tải ý kiến của chuyên gia truyền thông xã hội Nguyễn Ngọc Long, một khách hàng đang sử dụng dịch vụ thẻ cũng như internet banking và smart banking của Vietcombank về vấn đề lỗ hổng trong hệ thống OTP của Vietcombank mà anh gặp phải và những giả định có thể xảy ra với vụ việc trên của chị Na Hương.
"Về trường hợp 500 triệu trong tài khoản chị Hương bị chuyển đi, ngân hàng khẳng định chị bị mất tên truy cập và mật khẩu. Cứ cho khẳng định này của VCB là đúng, thì điều duy nhất cần được quan tâm, là tại sao mã OTP lại không bay về số phone của chị?
Tất nhiên mã này sẽ không bay về điện thoại của chị nếu một trong ba tình huống giả định sau được thực thi:
1. Trước thời điểm chuyển tiền, hacker đã thay đổi số điện thoại nhận mã SMS của chị từ A thành B. Sau khi chuyển tiền thành công thì đổi từ B về A như cũ (nên chị mới nhận được thông báo đã bị trừ tiền ở số điện thoại A). Và cứ mỗi lần ra lệnh chuyển tiền, hacker lại làm một chu trình như vậy!
2. Ngân hàng vẫn gửi mã xác nhận chuyển tiền về số điện thoại A của chị Hương, nhưng trên đường đi, tin nhắn này bị “bắt cóc” về số điện thoại B của hacker!
3. Hacker đã kết nối thành công ứng dụng Smart OTP trên điện thoại của hacker với tài khoản VCB của chị, và thực hiện chuyển tiền thông qua hình thức xác nhận mã trên App OTP của hacker thay vì gửi SMS đến số điện thoại chị Hương.
Trên thực tế, các giả thiết này đều có thể xảy ra, dù rất khó và hơi phi thực tế (vì chỉ cần tra soát từ nhà mạng sẽ biết ngay có đúng là SMS chứa OTP bị chuyển hướng hay không; tra soát từ nội bộ VCB sẽ biết có đúng số điện thoại của chị bị thay đổi liên tục hay không). Vậy nên, tôi gạch đi hai giả thiết đầu tiên.
Với giả thiết thứ 3, thì theo logic hiện nay, để cài đặt và kích hoạt phần mềm Smart OTP trên điện thoại, hacker phải thực hiện các bước sau:
1. Tải App OTP về điện thoại. Việc này dễ dàng, ai cũng làm được, chẳng cứ phải hacker.
2. Liên kết App OTP vừa tải với tài khoản VCB của chị Hương bằng cách đăng nhập vào website VCB (giả sử hacker đã có user và pass của chị Hương).
3. Chọn số điện thoại nhận mã kích hoạt App OTP và ra lệnh gửi mã này.
4. Bằng cách nào đó, hacker đọc được mã kích hoạt mà VCB vừa gửi.
5. Hacker nhập mã kích hoạt này vào App OTP để hoàn tất liên kết với tài khoản VCB của chị Hương. Từ lúc đó, hacker có thể chuyển tiền dựa vào App OTP đã cài, đã kích hoạt và đã liên kết thành công.
Tất cả nghi vấn đang dồn vào bước 4. Làm sao hacker có thể đọc được mã kích hoạt App OTP ở máy điện thoại chị Hương?
Nhưng trên thực tế, việc này còn dễ hơn ăn kẹo vì thời điểm trước (trước khi sự việc này vỡ lở), hacker có thể tự thêm số điện thoại của mình vào danh sách này một cách dễ dàng, và không bao giờ cần tìm cách chuyển hướng SMS hay “đọc trộm” trên điện thoại của chị Hương.
Với bản thân tôi, mọi thứ đã diễn ra chính xác như sau:
Tôi có 2 số điện thoại đăng ký trực tiếp với VCB tại quầy giao dịch là xx111 và xx222 (số này chỉ là số minh hoạ). Nhưng thời điểm VCB tung ra App OTP trên điện thoại, vì thấy nó thật tiện lợi, tôi đã cài vào iPhone để xài cho tiện.
Đến thời điểm đó, tôi vẫn sử dụng hình thức nhận mã OTP qua điện thoại ở số xx222. Và vì lý do bảo mật, tôi không sử dụng số xx222 này cho các giao dịch công khai với mọi người. Số xx222 chỉ được dùng duy nhất vào việc nhận mã OTP của VCB.
Còn iPhone tôi đang sử dụng có số 0988.888.008 thì chưa bao giờ được đăng ký với VCB trước đó.
Tất nhiên, để cài App OTP vào máy iPhone và kích hoạt, tôi có thể đọc mã OTP được gửi về số xx222, sau đó nhập vô iPhone là xong chuyện. Và nếu tôi làm vậy, tôi đã không bao giờ biết được VCB đã sơ hở thế nào!
Đen đủi làm sao đúng hôm cần cài đặt App OTP đấy thì số xx222 của tôi trục trặc. Trong khi số xx111 thì trong thực tế tôi đã vứt đi từ vạn năm trước không dùng tới. Tóm lại, tôi không có cách nào để kích hoạt App OTP trên iPhone được.
Vì vậy, tôi đã gọi lên VCB để hỏi thì được nhân viên tổng đài tư vấn cho hai cách. Hoặc ra ngân hàng đăng ký số 0988.888.008 vào tài khoản VCB và nhận mã kích hoạt; hoặc tự đăng nhập vào tài khoản VCB online và thêm số điện thoại này vào. Lại đen đủi làm sao là tôi bị mất Chứng minh thư nên không thể ra ngân hàng được, thế nên tôi chọn cách đăng ký online!
Tức là hai cái “đen đủi” của tôi diễn ra cùng lúc khiến tôi biết thực sự điều gì đã diễn ra!
Và đúng là sau khi đăng nhập vào VCB trực tuyến, tôi đã thêm được số 0988.888.008 vào tài khoản của mình và sau đó ra lệnh chuyển mã kích hoạt vào đúng số điện thoại mới này. Kết quả, tôi đã kích hoạt App OTP thành công.
Vậy nên tôi nghĩ, hacker hoàn toàn có thể thao tác đúng như vậy, dễ hơn ăn kẹo!
Đến thời điểm hiện nay, tôi đã sử dụng App OTP này để sinh mã xác thực cho rất rất nhiều giao dịch chuyển tiền. Và về logic, tôi hoàn toàn có thể truy vấn VCB việc này.
Có thể sau đó Vietcombank đã phát hiện ra “lỗ hổng” trong quy trình nên âm thầm khắc phục. Tôi đoán chỉ từ khoảng thời gian 10 ngày đổ lại đây thôi! Hiện tại, thông tin tài khoản của tôi vẫn có đủ 3 số điện thoại là xx111, xx222 và 0988.888.008. Nhưng tôi không thể thêm xoá sửa bất cứ thông tin nào với 3 số điện thoại này (dù trước đó tôi thêm xoá dễ hơn ăn kẹo).
Nực cười là, mặc dù cả 3 số điện thoại này đã bị “bôi đen”, bảo vệ không cho thêm xoá sửa, nhưng từ mấy hôm nay, tôi không thể nào đề nghị ngân hàng gửi OTP vào số 0988.888.008 thêm một lần nào nữa; trong khi hai số xx111 và xx222 thì có thể! Đồng thời, App OTP trên iPhone mà trước đó tôi kích hoạt bằng số 0988.888.008 cũng tự nhiên bị đá ra ngoài không thể nào hoạt động.
Tất cả những điều này khiến tôi suy luận rằng Vietcombank đã phát hiện ra lỗi bảo mật trong quy trình xác thực của mình và âm thầm khắc phục. Đến bây giờ, không ai có thể tự thêm số điện thoại vào như tôi đã làm trước đó. Hàng loạt App OTP được kích hoạt từ trước cũng bị yêu cầu kích hoạt lại từ đầu. Đây có thể là nỗ lực của Vietcombank, nhưng chỉ âm thầm sửa sai như vậy thì tôi cho là gian dối!
Cái App OTP này trên iPhone của tôi mặc dù không có tác dụng sinh mã hợp lệ nữa, nhưng nó vẫn đang trong trạng thái đã kích hoạt thành công! Thông tin tài khoản của tôi trên trang VCB trực tuyến cũng có số 0988.888.008 mà trên thực tế, Vietcombank chưa bao giờ và sẽ không bao giờ có bất cứ một giấy tờ (hợp đồng) nào chứng minh được rằng tôi đề nghị họ thêm số 0988.888.008 vào tài khoản Online của tôi như tình trạng hiện nay".
Trao đổi với Kiến Thức, anh Long cho rằng, việc báo chí đưa tin rằng Vietcombank khẳng định lỗi ở khách hàng và hệ thống OTP của họ an toàn cho thấy ngân hàng không trung thực.
"Với trường hợp của tôi cho thấy hệ thống OTP của Vietcombank có lỗi nghiêm trọng. Cách trả lời của VCB là lấp liếm và không trung thực. Vì khách hàng mua hàng của tôi nhiều người vẫn dùng Vietcombank nên tôi không thể đóng tài khoản ở Vietcombank lại được, nhưng cứ có tiền là tôi sẽ chuyển đi chỗ khác, không để ở ngân hàng này. Tôi xin khẳng định sự việc tôi kể trên là có thật 100% và tôi có đầy đủ bằng chứng cụ thể. Hơn ai hết tôi thừa hiểu rằng nếu tôi nói sai dù chỉ một chi tiết thì có thể bị ngân hàng kiện cho ra trò. Và chị Na Hương - chủ thẻ Vietcombank mất 500 triệu nếu cần tôi hỗ trợ, tôi sẵn sàng mang toàn bộ thông tin tài khoản và câu chuyện của mình ra làm chứng giúp chị. Trước đây, tôi cũng đã từng có lần phát hiện ra lỗ hổng trong quy trình của Vietcombank khiến tiền của mình bị tự động chuyển đi. Nhưng vì nghĩ rằng họ là ngân hàng lớn nên vẫn tin tưởng gửi tiền tiếp. Nhưng lần này, niềm tin của tôi không còn nữa", anh Long nói.
Vậy Ngân hàng Vietcombank nói gì về trường hợp của anh Long và lỗ hổng trong hệ thống OTP, bảo mật mà khách hàng này nêu ra, Kiến Thức sẽ tiếp tục thông tin tới bạn đọc trong các bài sau.