Với nhu cầu đi lại thường xuyên và sự phát triển của công nghệ, các trang đặt phòng trực tuyến đang ngày càng mọc lên như nấm. Tuy nhiên, với việc hai ông lớn Agoda và Booking vừa bị tố làm lộ thông tin thẻ tín dụng của người dùng thì điều này đã đặt ra nhiều vấn đề về công tác bảo mật của các trang đặt phòng trực tuyến.
Cụ thể, trong một status chia sẻ trên Facebook cá nhân của Facebooker Hiền Vũ, anh thuật lại: Vào tối chủ nhật ngày 14/1, anh có đặt phòng nghỉ ở Phú Quốc thông qua trang Agoda. Sau khi đặt phòng, website Agoda yêu cầu anh nhập thông tin thẻ VISA dù đã đặt theo kiểu trả tiền ở khách sạn. Sau khi đọc cam kết: “Tất cả thông tin thẻ đều được mã hóa, được bảo vệ và đảm bảo an toàn” và tin tưởng rằng Agoda là dịch vụ đặt phòng lớn và uy tín nên anh đã chấp nhận điền thông tin để đặt phòng.
Tuy nhiên, điều đáng nói là sau đó khi đến resort ở Phú Quốc để nhận phòng với mã số đặt phòng của anh mà trang Agoda tự chuyển cho trang Booking.com thì anh vô tình thấy tờ giấy của nhân viên resort có lưu đầy đủ thông tin về thẻ tín dụng của anh, kể cả họ tên, số thẻ, ngày hết hạn và số bảo mật CVC. Khi anh thắc mắc thì phía resort cho biết thông tin này là do trang Booking.com cung cấp?!
Do không cất nhiều tiền trong thẻ nên cuối chuyến đi (10h tối thứ 4 ngày 17/1) anh mới liên hệ với Agoda thì phía dịch vụ đặt phòng này đã né tránh đủ kiểu. Theo đó phía Agoda cho rằng, “Agoda với Booking là cùng hệ thống nên đặt thông tin trên Agoda là tự chuyển sang Booking” và “về nguyên tắc là thông tin thẻ sẽ được bảo mật, nên phía khách sạn sẽ chỉ biết thông tin đã được mã hóa”.
Thậm chí, một nhân viên tên là Peter làm ở bộ phận Agoda Customer Satisfaction Team giải thích rằng, giữa Agoda và các đối tác có thỏa thuận nội bộ riêng, họ sẽ không cung cấp những thông tin này trái phép cho bên thứ ba. Tuy nhiên, điều đáng nói là trong nội dung thỏa thuận “terms of use” do Peter cung cấp cũng nêu rõ rằng thông tin thẻ VISA sẽ được bảo mật bởi “Secure Socket Layer (SSL)” tương tự như nội dung cam kết trong trang điền thông tin thẻ VISA. Trong khi thực tế thông tin mà phía resort nhận được lại ở dạng đầy đủ, không hề bảo mật hay mã hóa gì?!
Điều này đặt ra nguy cơ lộ thông tin thẻ qua các dịch vụ đặt phòng là rất cao và hoàn toàn có thể xảy ra khi mà thông tin đầu ra là thông tin thô, trong khi cam kết và trách nhiệm của họ vẫn đang là dấu hỏi.
Nguy cơ lộ hàng loạt thông tin thẻ của người dùng
Thực chất, đây là một nguy cơ đáng lưu tâm khi bạn sử dụng đặt phòng qua các trang trực tuyến. Theo chị Hương Giang, từng làm lễ tân ở khách sạn và hay nhận book qua hai dịch vụ Agoda và Booking cho biết, gần như 90% các suất đặt chỗ đều có thông tin thẻ để phòng khi khách không tới thì phía khách sạn có thể căn cứ thông tin để tính phí (charge) cho phòng đã đặt trước đó theo quy định.
Khi đặt phòng, phía Agoda sẽ yêu cầu cung cấp thông tin chi tiết của thẻ tín dụng (ảnh chụp màn hình)
Theo chị Giang, việc đơn vị đặt phòng phải chuyển thông tin cho khách sạn là bình thường, “còn vụ lộ thông tin thẻ thì rất có thể vì rất nhiều trường hợp khách đặt phòng trước vài tháng rồi hủy. Đáng nói là trong quá trình này phía khách sạn sẽ lưu thông tin và cất vào một file riêng (và rồi cũng sẽ vứt đi), hoặc quá trình đặt phòng có thể in ra nhưng không dùng tới hay chưa đúng lúc thì sẽ vứt vào sọt rác để hủy, quá trình này rất dễ làm lộ thông tin khách hàng”.
Chị Thảo Vu hiện đang làm ở Four Seasons Resort The Nam Hai ở Hội An cho biết, bên chị hằng ngày có rất nhiều khách đặt phòng thông qua dịch vụ Agoda hoặc Booking, tất cả đều có đầy đủ thông tin thẻ tín dụng VISA hoặc Master hay American Express, tất nhiên mục đích là để charge (trả tiền) cho resort thôi. Theo chị, ở các resort lớn mỗi lần tính phí là cả ngàn USD nên thông tin khách hàng đều phải bảo mật tuyện đối với bên ngoài, để không lọt số thẻ hay mã CVC vào tay kẻ xấu.
Dữ liệu thẻ tín dụng của khách hàng bị lộ của khách sạn Silverland Hotel & Spas tại Việt Nam vào năm 2016 (Ảnh chụp màn hình)
Tại Việt Nam, đã không ít lần các cửa hàng và khách sạn bị tố làm lộ thông tin thẻ của khách. Do vậy, trong buổi gặp gỡ và chia sẻ thông tin với báo chí vào năm 2016 tại Việt Nam, phía VISA đưa ra cảnh báo, để đảm bảo an toàn, các thông tin thẻ của khách hàng buộc phải mã hóa trước khi chuyển cho các đơn vị thứ ba chứ không được chuyển thông tin thô.
Do vậy, rõ ràng việc chuyển thông tin chi tiết cho những đơn vị không tuân thủ nguyên tắc bảo mật như resort ở trường hợp của anh Hiền Vũ là một hành động thiếu trách nhiệm của phía Agoda. Điều này đặt các khách hàng của Agoda, Booking và nhiều dịch vụ đặt phòng online vào tình thế bị động, việc bảo mật thông tin thẻ của họ chỉ dựa vào uy tín và nhận thức bảo mật của khách sạn/khu nghỉ dưỡng mà họ đặt chỗ. Người dùng cần tham khảo kỹ các chính sách bảo mật thông tin và thanh toán của đơn vị đặt phòng và phía nhận đặt phòng, tránh đánh mất thông tin thanh toán vào tay kẻ xấu.
