Nguy cơ lộ thông tin thẻ tín dụng từ dịch vụ đặt phòng online: Agoda rũ bỏ trách nhiệm?

Dù có tính chất khá nghiêm trọng khi gián tiếp để lộ thông tin thẻ của khách hàng, nhưng, theo;anh Hiền Vũ - chủ nhân của status tố cáo chia sẻ với VnReview, đến bây giờ phía Agoda và Booking.com vẫn chưa liên hệ lại hay tỏ ý quan tâm xử lý vụ việc.

> Khách hàng tố bị lộ thông tin thẻ tín dụng khi đặt phòng trực tuyến từ Agoda, Booking

Dịch vụ đặt phòng online không quá mới mẻ với những người theo chủ nghĩa "xê dịch" và giới trẻ, nhờ các tiện lợi mà nó mang lại. Nhưng sự liên kết giữa các dịch vụ này với các đối tác khách sạn, nhà hàng, resort (khu nghỉ dưỡng) lại tỏ ra khá lỏng lẻo, ít nhất là qua tình huống đã xảy ra với anh Hiền Vũ - người vừa bị lộ thông tin thẻ sau khi đặt phòng online qua dịch vụ của Agoda và Booking.com như chúng tôi đã phản ánh ở bài trước.

Qua đó, có thể thấy nguy cơ rò rỉ thông tin từ các dịch vụ đặt phòng tương tự Agoda và Booking là khá lớn, nhất là trong bối cảnh hai dịch vụ này đều là những công ty lớn trong ngành (thực chất là cùng chủ sở hữu Priceline Group) mà còn chểnh mảng bảo mật như thế thì thử hỏi các dịch vụ nhỏ hơn sẽ "làm ăn" như thế nào? Không những vậy, từ trường hợp của hai công ty lớn này cũng đặt ra chút hoài nghi không nhỏ cho các hình thức mua sắm trực tuyến qua mạng lâu nay khi có sự liên kết và trao đổi dữ liệu với bên thứ ba, chứ không chỉ với riêng mảng dịch vụ đặt phòng online.

Agoda và Booking.com là hai trong số các dịch vụ đặt phòng online được ưa chuộng nhất hiện nay dựa trên mô hình OTA (Online Travel Agency - lữ hành trực tuyến). Theo đó, bạn sẽ chọn điểm đến, khách sạn/resort phù hợp và các dịch vụ này sẽ liên hệ với khách sạn/resort để giữ phòng cho bạn, trong đó có một số dịch vụ sẽ charge (tính tiền) ngay cả trước khi bạn đặt chân đến khách sạn/resort.  

Tờ giấy thông tin khách hàng của resort tiết lộ chi tiết thẻ tín dụng của khách mà họ nhận từ Booking.com - công ty cùng hệ thống với Agoda (ảnh chụp của chủ nhân và đã được chủ nhân khóa thẻ)

Phương thức hoạt động này đòi hỏi phải có sự trao đổi và chia sẻ thông tin giữa ba bên gồm: Khách hàng (chủ thẻ), dịch vụ đặt phòng (Agoda, Booking.com,...) và phía khách sạn/khu nghỉ dưỡng. Do vậy, bất kỳ sự cẩu thả hoặc vô tình nào xảy ra trong ba bên này đều có thể dẫn tới rò rỉ thông tin thẻ.  Hãy cùng VnReview.vn thử phân tích xem trong tình huống của anh Hiền Vũ thì thông tin thẻ bị lộ ở khâu nào và sai sót nằm ở đâu?

Lỗi do ai: Agoda, Booking.com hay resort?

Chị Khánh Hòa, một người hiện đang làm trong ngành kinh doanh dịch vụ khách sạn tại Nha Trang đã 5 năm chia sẻ với VnReview.vn rằng, hiện các hệ thống lớn và cụ thể là Agoda không dùng thông tin thẻ của khách để cung cấp cho khách sạn, mà họ dùng một thẻ tín dụng ảo (virtual credit card) để cung cấp cho khách sạn vì lý do bảo mật – thực ra đây là loại thẻ tín dụng thật nhưng là loại chỉ xài một lần và thường sử dụng làm quà tặng hoặc thanh toán online. Tất nhiên là trước đó họ sẽ lấy thông tin thẻ của khách để tính tiền khi khách lấy phòng rồi quay lại trả cho khách sạn thông qua thẻ virtual credit này.

Tuy nhiên, theo chị thì hiện hệ thống của Booking.com lại đang hoạt động theo hình thức cung cấp trực tiếp thông tin thẻ của khách cho khách sạn/resort để thanh toán, nhưng họ sẽ giám sát để đảm bảo việc thanh toán này chỉ diễn ra một lần (và việc "đọc" thông tin thẻ cũng chỉ diễn ra 1 lần hoặc tối đa 3 lần tùy hệ thống). Một phần do Booking ủy thác việc thanh toán cho khách trực tiếp làm việc với khách sạn, thay vì cách làm như Agoda dù họ cũng là một hệ thống "san sẻ" khách hàng của Agoda và đều ở dưới trướng Priceline Group.

Trong khi đó, phía khách sạn sẽ tiếp nhận thông tin thẻ đã được mã hóa của khách từ các dịch vụ đặt phòng như Booking.com hay thông tin thẻ ảo từ các dịch vụ như Agoda đều thông qua giao thức mã hóa, sau đó lưu trữ trên hệ thống mạng nội bộ (Intranet) và thông tin này chỉ được tiếp nhận và quản lý bởi bộ phận đặt phòng của khách sạn, vì lý do bảo mật nên thường có biên bản ký nhận để quản lý các thông tin này trong các phiên trực. Về nguyên tắc, phiếu xác nhận phòng và các giấy tờ liên quan mà khách sạn in ra để cung cấp cho khách đều không được phép in kèm thông tin chi tiết của thẻ tín dụng, nếu có thì họ bắt buộc phải che bớt thông tin nhạy cảm dưới dạng dấu hoa thị (*).

Theo chia sẻ của anh Hiền Vũ với VnReview.vn, "mình đặt ở Agoda theo phương thức trả tiền ở khách sạn, Agoda cung cấp tùy chọn này nhưng lại không hề ghi chú rằng những "đơn hàng" theo phương thức này sẽ được chuyển qua cho Booking.com. Sau đó Agoda chuyển thông tin của mình cho phía Booking, bao gồm cả thông tin thẻ". Anh cũng cho biết, lúc đặt phòng qua Agoda thì thẻ của anh vẫn còn tiền nhưng không đủ thanh toán toàn bộ đơn đặt phòng nên anh chuyển qua hình thức thanh toán tại khách sạn. 

Như vậy, về cơ bản thông tin thẻ của anh đã được Agoda chuyển cho phía Booking.com và phía Booking tiếp tục chuyển tới khách sạn. Việc anh Hiền Vũ nhận được giấy xác nhận đặt phòng có kèm thông tin chi tiết thẻ của anh ở dạng không mã hóa là sai sót đầu tiên nằm ở phía resort/khách sạn, đơn vị này đã không tuân thủ các quy định về bảo mật thông tin khách hàng. Ngoài ra cũng có khả năng thông tin Booking.com cung cấp cho phía resort bị sai sót và không được mã hóa nên khi in thông tin booking (đặt phòng) ra thì vô tình bị lộ hết như trường hợp của anh Hiền Vũ, trong cả hai tình huống này thì dù là sử dụng mạng Intranet của khách sạn nhưng nguy cơ rò rỉ thông tin thẻ sẽ rất cao. 

Lời cảnh tỉnh về thanh toán online

Cách rũ bỏ trách nhiệm của Agoda trong trường hợp của anh Hiền Vũ là một tiền lệ xấu cho dịch vụ này (Ảnh chụp màn hình)

Như phân tích ở trên, lỗi chủ yếu có lẽ nằm ở Booking và trực tiếp là phía resort ở Phú Quốc, nơi anh Hiền Vũ đặt phòng đã để lộ thông tin nhạy cảm của chủ thẻ. Tuy nhiên, điều đáng nói ở đây là sự cam kết và trách nhiệm của các dịch vụ liên đới mà đầu tiên trong tình huống này là Agoda, đây cũng chính là điều khiến nạn nhân như anh Hiền Vũ bức xúc nhất.

Theo điều khoản bảo mật của Agoda có cam kết rằng, nếu họ chuyển thông tin thẻ của khách hàng cho người khác thì người tiếp nhận thông tin đó cũng phải đảm bảo giữ bảo mật thông tin (theo yêu cầu của Agoda) cho khách hàng, như vậy dù là sai sót của Booking hay khách sạn thì phía Agoda phải chịu trách nhiệm liên đới và có thái độ cầu thị khi tiếp nhận phản hồi của khách, thay vì giải thích xã giao và chối bỏ trách nhiệm như vụ của anh Hiền Vũ.

Đây chỉ là một trường hợp trong vô số tình huống mà những người đặt phòng online hay các dịch vụ tương tự sẽ gặp phải, và với cách tiếp nhận xử lý sự cố của Agoda chúng ta có thể thấy nguy cơ bị chối bỏ trách nhiệm rất cao. Do vậy, người dùng cần thận trọng trong việc cung cấp thông tin thẻ cho các dịch vụ thanh toán online cũng như luôn để ý tới biến động số dư của thẻ để giảm thiểu tổn thất từ các nguy cơ rò rỉ trực tuyến. Nếu ít mua sắm online hoặc chưa đủ an tâm, bạn nên chuyển qua dùng thẻ trả trước (debit) thay vì thẻ trả sau (credit), sử dụng thêm lớp bảo mật thứ tư là xác nhận giao dịch qua SMS, nhất là trong bối cảnh nền tảng thanh toán online tại Việt Nam vẫn còn khá hỗn độn.

Tất nhiên, chính phủ và các dịch vụ thanh toán trong nước đều đang khuyến khích hình thức thanh toán thẻ cũng như sử dụng thanh toán online vì tính tiện dụng của nó, nên đừng vì rủi ro mà chối bỏ thanh toán online cũng như đi ngược với xu hướng chung của thế giới. Tuy nhiên, bạn nên tìm hiểu kỹ thông tin các dịch vụ mà bạn tham gia thanh toán cũng như các điều khoản bảo mật và uy tín của họ trước khi "cà thẻ", kẻo mất tiền oan.

TM