Chuyện "hack" database Thế giới di động

Uchiha_Madara

Nghỉ hưu

Định không viết về cái này, vì nó nhạt quá. Với lại nói nhiều thì thành múa rìu qua mắt thợ.


25a023f091b678e821a7.jpg

Cụ thể những vấn đề lên đồng như sau: số thẻ bị lộ và email bị lộ.

- Chuyện số thẻ: Thegioididong đã chính thức lên tiếng rằng họ không có quyền lưu những thông tin này. Khi quẹt thẻ bằng máy POS tại cửa hàng, máy là của ngân hàng, dữ liệu đưa về ngân hàng, bên thu tiền chỉ nhận được token gửi về, không thể nhận được thông tin thẻ. Đây là nguyên tắc bảo mật cơ bản mà mua hàng ở đâu trên toàn thế giới này cũng vậy, cửa hàng mà được lưu toàn bộ thông tin thẻ của khách khi thanh toán thì loạn à, ai kiểm soát cho nổi. Nếu có lưu để đối chiếu thì chỉ lưu dạng số đầu số cuối, ở giữa thành ****

Khi mua hàng online, sau khi chọn mua, sẽ được chuyển sang trang khác là cổng thanh toán, ở đây cụ thể là 123pay, ai không tin vô mua thử và xem địa chỉ trên trình duyệt web là biết. Nên dữ liệu thẻ khi nhập vào là cổng thanh toán xử lý với ngân hàng, khớp thì mới tiến hành thanh toán, thế giới di động cũng chẳng thể biết được nội dung nhập vào của người dùng.

Có nghĩa là nếu số thẻ bị hack hoặc bị lộ thì nhiều khả năng nằm ở nơi lưu trữ nó, trong đó không có thế giới di động (như tuyên bố chính thức của tập đoàn này).

- Chuyện email: database email là thứ được mua bán và sưu tầm từ những công ty cá nhân và tổ chức lớn, khi cần thì đem bán cho những đơn vị cần, quảng cáo hoặc liên hệ công tác làm ăn. Cái đống database email được tung ra không khớp với thegioididong. Cụ thể là sao, nhiều email có tên miền công ty, như asus, acer, bkav ... này nọ xuất hiện trong list, nhưng chính những người sở hữu email này đã lên tiếng xác nhận chưa từng dùng nó để mua hàng trên thế giới di động, vì hiếm ai dùng email công ty cho việc cá nhân, nhất là mua hàng online. Nghĩa là đống email đó, bao gồm cả những email chưa từng mua ở thegioididong, chưa mua thì làm sao có trong database?

Vậy thì email bị lộ là thật, nhưng có thật sự từ thế giới di động không thì chưa xác định, vì đã lộ ra kẽ hở của việc tung email nửa thật nửa hư, pha trộn email từ nhiều nguồn khác nhau, có vẻ giả vờ như là lấy database từ thế giới di động. Nếu thực sự toàn bộ lấy được từ nguồn thế giới di động, hacker chả việc gì phải đi lấy thêm nơi khác bỏ vào cho nhiều cả.

Với số thẻ đã bị lộ thì sao, chả sao cả, vì còn cần tên, ngày hết hạn và 3 số CVV, nên đến giờ này, với đống dữ liệu từ năm 2016 được tung ra kia, các bạn chưa việc gì cả. Nếu ăn ngon thì hacker nó để dành nó ăn rồi, chả đem tung ra bán cho toàn thế giới đâu. Tuy nhiên, nếu e ngại thì cứ khóa lập thẻ mới, cũng chẳng phiền hà gì.

Với email bị lộ thì sao, cũng chả sao cả, cùng lắm nhận spam quảng cáo thôi, đôi khi nhận quảng cáo thuốc cường dương này nọ cũng tốt, biết đâu cần. Đằng nào email (và cả số đt cá nhân) cũng đang được rao bán khắp nơi rồi. Chặn spam email cũng nhanh chóng, một cái click chuột là xong.

Nói chung vụ tung thông tin bị hack này đang có khá nhiều nghi vấn. Ai bị thiệt hại thì nên làm đơn báo công an, lúc đó thanh tra máy chủ của thegioididong là rõ trắng đen ngay. Chứ ngồi cãi nhau dựa trên lý thuyết thì sáng mai cũng chưa xong.
 

LyLy1995

New Member
Bác Bùi phán chuẩn quá. Chắc không phải lấy từ TGDD rồi vì không có email của mình :):)
 

takahina

Active Member
Nếu thegioididong bằng cách nào đó họ lưu được thông tin (số thẻ,email,...) - Cái này có cho vàng cũng ko dám công bố là "teo có thu thập thông tin của KH" ==> Nếu data thật thì không loại trừ nhân viên từ thegioididong dump ra và tung lên.

Còn việc hacker xâm nhập thì có thể check từ hệ thống của thegioididong mà. Cơ bản là họ có dám công bố hay không?

Những vụ việc này dù thật, dù giả thì ở VN luôn phải DẤU - DIẾM - DÌM (âm thầm khắc phục và chờ time cho qua)
 
Nếu thegioididong bằng cách nào đó họ lưu được thông tin (số thẻ,email,...) - Cái này có cho vàng cũng ko dám công bố là "teo có thu thập thông tin của KH" ==> Nếu data thật thì không loại trừ nhân viên từ thegioididong dump ra và tung lên.

Còn việc hacker xâm nhập thì có thể check từ hệ thống của thegioididong mà. Cơ bản là họ có dám công bố hay không?

Những vụ việc này dù thật, dù giả thì ở VN luôn phải DẤU - DIẾM - DÌM (âm thầm khắc phục và chờ time cho qua)
Trong giao dịch với TGDD, KH ko hề nhập thông tin thẻ trên TGDD mà là qua các cổng thanh toán, hoặc ví điện tử nên TGDD ko thể lưu lại được.

Email thì như abif viết nói, có rất nhiều trên mạng. Còn muosn tọa ra email @thegioididong.com thì chỉ cần vài câu lệnh là có thể tạo ra được 1 list dài, vì email công ty thường đặt theo 1 format giống nhau nên dễ dàng tạo email fake.
 
Bên trên