Trước sự cố nửa tỷ đồng bị “bốc hơi” trong tài khoản, Vietcombank cho rằng lỗi do khách hàng đăng nhập trang web giả mạo. Tuy nhiên, theo chuyên gia, lý giải trên của Vietcombank chưa thuyết phục.
|
Vụ việc chủ thẻ Vietcombank bỗng dưng mất 500 triệu đồng chỉ qua một đêm đến nay vẫn chưa ngã ngũ (ảnh minh họa) - Ảnh: Ngô Vinh |
Lý giải chưa thuyết phục
Sáng 14/8, trao đổi với PV Báo Giao thông, chị Hoàng Na Hương (chủ tài khoản Vietcombank bị mất 500 triệu đồng trong đêm 3/8) cho biết, vẫn chưa nhận được văn bản trả lời vụ việc của Ngân hàng (NH) Vietcombank. Trước đó, tại buổi làm việc với lãnh đạo NH chiều 11/8, chị Hương cho rằng chưa nhận được lời giải thích thỏa đáng. “Họ nói vòng vo rất khó hiểu nên tôi đã yêu cầu phải có văn bản chính thức giải thích sự cố của tôi”, chị Hương nói.
Trước đó, thông tin với báo chí, Vietcombank lý giải vụ việc của chị Hương là do khách hàng đã truy cập vào một trang web giả mạo qua điện thoại cá nhân. Từ việc truy cập này, thông tin và mật khẩu của khách hàng đã bị đánh cắp. Sau đó tài khoản khách hàng đã bị lợi dụng vào đêm mùng 3, rạng sáng 4/8. Về nguyên nhân chị Hương không nhận được mã xác nhận OTP trong lần giao dịch bất thường này, phía NH cho biết khách hàng trước đó đã được chuyển đổi từ dạng nhận OTP qua tin nhắn SMS sang “Smart OTP”. Vì thế, hacker sau khi lấy được thông tin của chị Hương theo đường link giả mạo đã tự cài đặt dịch vụ Smart OTP của chị Hương, đồng thời tự kích hoạt dịch vụ này.
Tuy nhiên, tới thời điểm hiện tại, chị Hương vẫn khẳng định mình không cài đặt bất cứ ứng dụng nào liên quan đến việc giao dịch ngân hàng, trong đó có dịch vụ Smart OTP trên điện thoại. Trước câu hỏi đã bao giờ click vào đường link giả mạo và thông báo xác nhận mã OTP hay chưa, chị Hương cho biết: “Không thể nhớ vì rất ít khi tôi giao dịch online trên điện thoại”. Mặt khác, chị Hương cũng cho hay, nếu Vietcombank tiếp tục im lặng trong tuần này, chị sẽ viết tiếp đơn thư yêu cầu NH giải thích rõ hơn các giao dịch bất thường rạng sáng 4/8 vừa qua.
Ông Ngô Tuấn Anh, Phó chủ tịch phụ trách An ninh mạng của Bkav nhận định: “Thông tin lý giải của Vietcombank tới thời điểm này chưa thực sự thuyết phục nên không đủ cơ sở để chứng minh sự cố “bốc hơi” nửa tỷ đồng trong tài khoản là do lỗi của khách hàng”. Theo ông Tuấn Anh, sự việc chỉ được làm rõ khi Vietcombank công khai chi tiết về cách thức, hành trình hacker xâm nhập. “Lỗi từ phía nào chỉ có Vietcombank mới biết chính xác nhất”, ông Tuấn Anh nhấn mạnh.
Lỗ hổng từ quy trình?
Về sự cố “bốc hơi” nửa tỷ đồng trong tài khoản, dư luận đặt ra hàng loạt nghi vấn cần Vietcombank làm rõ: Làm sao hacker có thể đọc được mã kích hoạt App OTP ở máy điện thoại chị Hương? Nếu chị Hương không tải App OTP ở máy điện thoại thì chuyện gì đã xảy ra?
Khách hàng một Ngân hàng khác cũng bị mất sạch tiền
Trên trang web cá nhân của mình, chị T. mới đây cũng phát đi lời cảnh báo: “Bị lừa một cú ngoạn mục vào lúc nửa đêm. Một người chị ở Mỹ chat facebook nhờ mình giúp nhận tiền dùm cho người thân, kêu mình vào trang web đó để làm thủ tục nhận tiền. Thế là làm theo hướng dẫn và kết quả là sáng nay tài khoản sạch sẽ không còn một đồng…”. Tại đây, chị T. còn đưa ra hình ảnh tin nhắn tên chủ tài khoản gửi và tài khoản người nhận, kèm theo đường link truy cập để xác nhận nhận tiền vào tài khoản http://onlinemoneygram7.webnode.vn. Trao đổi với ngân hàng nơi phát hành thẻ cho chị T., người đại diện cho biết đang xác minh sự việc.
Trong khi đó, facebooker Nguyễn Ngọc Long chỉ ra rằng, hệ thống OTP của Vietcombank có lỗi nghiêm trọng về mặt quy trình chứ không phải bảo mật. Cụ thể, khách hàng có thể tự thêm số điện thoại của mình vào danh sách số điện thoại đăng ký một cách dễ dàng, mà không cần tìm cách đọc trộm mã OTP trên điện thoại của chủ tài khoản. Để chứng minh, anh Long cho biết từng có 2 số điện thoại đăng ký trực tiếp với Vietcombank. Thời điểm NH tung ra App OTP trên điện thoại, thấy tiện lợi, anh Long đã cài vào iPhone để tiện sử dụng. Tuy nhiên, số điện thoại mà anh Long sử dụng chưa được đăng ký với NH nhưng vẫn được chấp nhận.
Về trách nhiệm của các bên trong vụ tài khoản “bốc hơi”, luật sư Đặng Văn Cường, Trưởng văn phòng Luật sư Chính Pháp (Đoàn Luật sư TP Hà Nội) cho rằng, đây là một sự cố đáng tiếc trong quan hệ dân sự giữa chị Hương với Vietcombank. “Xét dưới góc độ pháp lý, quan hệ giữa chị Hương và NH Vietcombank trong vụ việc này là quan hệ dân sự, là hợp đồng vay tài sản. Nếu các bên không thương lượng được chỉ còn cách khởi kiện tới tòa án để yêu cầu tòa án giải quyết tranh chấp theo quy định pháp luật. Tòa án sẽ căn cứ vào các chứng cứ do hai bên xuất trình và chứng cứ mà tòa án thu thập được để giải quyết tranh chấp”, luật sư Cường phân tích.
Trong sự việc trên, luật sư Cường đặt ra hai giả thuyết: Nếu khách hàng tự ý cung cấp mật khẩu tài khoản cá nhân cho bên thứ ba và bên thứ ba thực hiện hoạt động rút tiền trong tài khoản của khách hàng đó thì rủi ro thuộc về khách hàng. Nếu khách hàng không cung cấp tài khoản, mật khẩu tài khoản cá nhân cho bên thứ ba, việc lộ thông tin tài khoản là do chế độ bảo mật của NH không đảm bảo thì NH phải chịu rủi ro trong trường hợp này, có nghĩa là NH phải bồi hoàn số tiền bị mất cho khách hàng.
“Tuy nhiên, ngay cả trong trường hợp lỗi thuộc về chị Hương, NH Vietcombank cũng nên có chính sách hỗ trợ để đảm bảo quyền lợi khách hàng và uy tín của NH”, luật sư Cường nói.