khách hàng mở tài khoản của Vietcombank tại TP HCM, sáng 13/5/2017 khi thức dậy thì phát hiện hơn 30 triệu đồng trong tài khoản ngân hàng của mình đã “không cánh mà bay”. (Ảnh minh họa)

Phải chăng lỗ hổng bảo mật không chỉ riêng Vietcombank mà nhiều ngân hàng khác như Agribank, Đông Á Bank mới đây cho thấy lỗ hổng bảo mật trong hệ thống có vấn đề

Nửa đêm...mất tiền

Khách hàng Nguyễn Thành Nam, mở tài khoản tại VCB TP  HCM sở hữu tài khoản Vietcombank số 00710009xxx phản ánh với Báo Giao thông về việc bị mất tiền trong tài khoản.

Theo phản ánh, khách hàng mở tài khoản của Vietcombank tại TP HCM, sáng 13/5/2017 khi thức dậy thì phát hiện hơn 30 triệu đồng trong tài khoản ngân hàng của mình đã “không cánh mà bay”.

Cụ thể, đã có 7 giao dịch rút tiền được thông báo qua điện thoại trong khoảng thời gian từ 3h42’ đến 5h34’ rạng sáng 13/5. Trong đó có 5 giao dịch thành công và 2 giao dịch không thực hiện được vì tài khoản… hết tiền.

Toàn bộ giao dịch đều là thanh toán vé máy bay mua từ website của hãng AirAsia tại các nước Myanmar, Indonesia, Singapore...

Chủ tài khoản cho hay chưa từng giao dịch mua hàng online ở nước ngoài cũng như chưa từng mua vé máy bay của AirAsia. "Khi gọi điện liên hệ với AirAsia thì họ từ chối cung cấp bất cứ thông tin nào nên đành phải đợi làm việc với ngân hàng xem sao" - ông Nam thông tin với PV Báo Giao thông.

Hiện ông Nam đã báo khóa tài khoản và phản ánh với nhân viên ngân hàng. Vì sự việc diễn ra vào ngày cuối tuần nên ông Nam được ngân hàng hẹn làm việc vào ngày đầu tuần này.

Gần đây, tình trạng người dùng thẻ ATM của ngân hàng Vietcombank bị sự cố mất tiền lúc nửa đêm khi đang ngủ xảy ra không chỉ một lần. Hồi tháng 8/2016, dư luận dậy sóng khi một khách hàng của Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam (Vietcombank) chỉ sau một đêm đã “bay mất” 500 triệu đồng trong tài khoản. Các giao dịch này được thực hiện qua Internet banking mà khách hàng không hề nhận được tin nhắn thông báo mã OTP như thường có khi giao dịch. Sau khiếu nại, khách hàng được Vietcombank hoàn trả 300 triệu đồng. Đây là số tiền mà đối tượng lừa đảo chưa kịp chuyển ra khỏi hệ thống mà ngân hàng đã ngăn chặn kịp thời. 

Đa số các vụ việc mất tiền trong tài khoản khách hàng đều được nhận lại toàn bộ hay một phần số tiền đã bị mất nhưng đều phải chờ đợi một quá trình tra soát rất mất thời gian. 

Lỗi từ đâu?

Thực tế đến nay, các trường hợp mất tiền trong tài khoản đã không ít lần xảy ra. Hầu hết các vụ việc đều chưa có kết luận rõ ràng về nguyên nhân hay nếu có, thường được kết luận do lộ thông tin cá nhân khách hàng. 

Tuy vậy, hơn tất cả, điều mà khách hàng quan tâm chính hiện chính là có hay không lỗ hổng trong bảo mật, các thông tin này lộ ra từ đâu, từ thông tin nội bộ ngân hàng bị rò rỉ hay các biện pháp phòng chống tin tặc còn yếu kém.

Theo ý kiến của một chuyên gia về bảo mật ngân hàng, những vụ việc này xảy ra nguyên nhân không chỉ đến từ cả phía người dân mà còn cả do từ phía ngân hàng. Đây có thể là dấu hiệu cho thấy có nhiều lỗ hổng trong việc quản lý thẻ tín dụng nói riêng và lỗ hổng trong bảo mật của hệ thống ngân hàng nói chung, từ đó đặt ra yêu cầu cấp bách về vá lỗ hổng bảo mật trong hệ thống của các ngân hàng hiện nay.

Sau sự cố vào hồi cuối năm ngoái, Vietcombank đã và đang có những biện pháp để khắc phục giảm thiểu những rủi ro cho khách hàng. Tuy nhiên, kế sách chưa được đưa ra thì lại một lần nữa nữa quyền lợi của khách hàng bị ảnh hưởng. Để hạn chế những rủi ro này, mới đây, Vietcombank cũng đã có thông báo về việc điều chỉnh điều kiện và điều khoản sử dụng dịch vụ Ngân hàng điện tử mới đối với các khách hàng cá nhân. Tuy nhiên, những quy định này đã vấp phải phản ứng của dư luận và được cho là những điều khoản vô lí, thoái thác trách nhiệm và đẩy rủi ro về phía khách hàng. Ngay lập tức, Vietcombank đã phải tạm hoãn áp dụng những điều khoản này. 

Theo quy định tại Thông tư 30 được Ngân hàng Nhà nước ban hành cuối năm ngoái cho trong trường hợp khách hàng gặp các sự cố mất tiền trong tài khoản thì, nếu tổn thất không do lỗi chủ thẻ hoặc không thuộc các trường hợp bất khả kháng thoả thuận tại hợp đồng, ngân hàng phải bồi hoàn tối đa trong 5 ngày làm việc kể từ khi có kết quả tra soát. Thời hạn tối đa các tổ chức phát hành thẻ phải thông báo kết quả tra soát là 45 ngày.

Nếu hết thời hạn xử lý đề nghị tra soát, khiếu nại theo thỏa thuận tại hợp đồng mà vẫn chưa xác định được nguyên nhân hay lỗi thuộc bên nào thì trong vòng 15 ngày làm việc tiếp theo, tổ chức phát hành thẻ phải thỏa thuận với chủ thẻ về phương án xử lý hoặc tạm thời bồi hoàn tổn thất cho đến khi có kết luận cuối cùng của cơ quan có thẩm quyền phân định rõ lỗi và trách nhiệm của các bên.

Bên cạnh đó, nhiều ngân hàng lại lựa chọn cách “an toàn” hơn khi liên tục gửi đến khách hàng những cảnh báo về các trường hợp lừa đảo; khuyến khích khách hàng thường xuyên thay đổi mã pin, đăng kí dịch vụ nhận tin nhắn thông báo biến động số dư tài khoản và cập nhật thông tin cá nhân với ngân hàng khi có thay đổi (địa chỉ liên lạc, số điện thoại, email…)

Từ những phân tích trên cho thấy, phải chăng lỗ hổng bảo mật không chỉ riêng Vietcombank mà nhiều ngân hàng khác như Agribank, Đông Á Bank mới đây cho thấy lỗ hổng bảo mật trong hệ thống có vấn đề, cần có chế tài bảo mật và kiểm soát chặt chẽ để không xảy ra nhiều trường hợp mất tiền đáng tiếc như các trường hợp đã nêu trên...