Vietcombank và lỗ hổng trong bảo mật thông tin khách hàng

Tại Ngân hàng Vietcombank đang gặp một số vấn đề như nhiều khoản tiền trong tài khoản bị biến mất không lý do, nhiều thẻ visa của khách bị hack một cách dễ dàng khiến cho nhiều khách hàng bức xúc và mất lòng tin.

Việc cấp quyền không gắn với chức danh tác nghiệp, cho mượn tài khoản truy cập, có thể xảy ra trường hợp các tài khoản này thực hiện các giao dịch nghiệp vụ không được phép tại Vietcombank.

Nhiều lần tiền khách hàng bị “bốc hơi”

Liên tiếp các vụ việc mất tiền trong tài khoản ngân hàng Vietcombank

Liên tiếp các vụ việc mất tiền trong tài khoản Ngân hàng Vietcombank đã được đăng tải trên báo chí. Cho đến nay, đa số các vụ mất tiền Ngân hàng Vietcombank này chưa có kết luận rõ ràng về nguyên nhân. Điều đó khiến không ít người đang gửi những đồng tiền tiết kiệm của mình tại ngân hàng phải giật mình, lo lắng liệu có hay không lỗ hổng bảo mật trong giao dịch của ngân hàng này?

Tuy nhiên, điều khiến nhiều khách hàng của Vietcombank băn khoăn hơn cả đấy là đã nhiều lần Vietcombank để xảy ra sự cố tương tự. Trong đó, tháng 8/2016, hàng loạt chủ thẻ Vietcombank thông báo mất tiền oan.

Ngày 4/8/2016, chị H. T. N. H. thông báo mất 500 triệu đồng; ngày 16/8/2016 anh V. T. P. thông báo mất 17 triệu đồng; ngày 19/8/2016, chị L. T. Q. N. thông báo mất gần 600 đô la Singapore; ngày 24/8/2016, anh N. T. H. thông báo mất hơn 7 triệu đồng…

Ngày 13/5/2017, anh N. T. N. (TP.HCM) bị mất 30 triệu đồng dù anh N., khẳng định không hề giao dịch và thẻ vẫn ở trong ví.

Ngày 04/7/2019, N. D.A. (Hà Nội), đã nhận được 2 tin nhắn thông báo giao dịch rút tiền từ tài khoản Vietcombank với tổng số tiền gần 10 triệu đồng. Anh Duy Anh kiểm tra lại ví và phát hiện thẻ visa của mình vẫn còn, nhưng tiền trong tài khoản tự dưng “biến mất”.

Ngày 22/9/2019, chị T.H. ở Hà Nội cho biết, chị dùng thẻ Amex của Ngân hàng Vietcombank, cách đây khoảng 1 năm, bỗng dưng chị nhận được tin nhắn báo trừ tài khoản mua hàng từ châu Âu (trong khi thẻ vẫn nằm trong túi và chị thì vẫn ở Việt Nam).

Mới đây nhất là hàng loạt khách hàng tố Vietcombank dính lỗi bảo mật hàng loạt, như: Ngày 28/1/2020 một tài khoản Facebook L.H.K cho biết: Khi anh đang lái xe thì nhận được hàng loạt tin nhắn trừ tiền vì giao dịch qua thẻ VISA của Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank).

Cũng trong tình trạng tương tự, Facebook của N.Đ.T cũng bị mất tiền trong ngày 28/1 giống hệt như anh K., nhưng ở lần này anh T., chỉ mất một số tiền nhỏ, sau đó  anh T., đã gọi đến 1900545413 để tự khóa thẻ visa của mình.

Những nguyên nhân có thể gây lộ thông tin bảo mật?

Năm 2017, Kiểm toán Nhà nước đã chỉ ra một số tồn tại tại Ngân hàng Vietcombank, trong đó có trường hợp phân quyền không đúng chức danh tác nghiệp, cụ thể: 2 chức danh tác nghiệp được phân quyền cho 63 cán bộ trên phần mềm HOST không đúng theo chức danh tác nghiệp thực tế; 06 tài khoản truy cập trên phần mềm HOST không được quản lý phân quyền gắn với phòng nghiệp vụ; 09 tài khoản truy cập trên phần mềm CR cấp cho 01 cán bộ có 2 chức danh tác nghiệp (vừa là thanh toán viên, vừa là kiểm soát viên); nhiều trường hợp cấp quyền cho một cán bộ có nhiều tài khoản cùng tác nghiệp trên phần mềm CR…

Việc kiểm soát hoạt động cấp quyền truy cập đối với các hoạt động thử nghiệm phần mềm còn một số trường hợp thực hiện chưa đúng quy định tại Quyết định số 273/QĐ –NHNT.TCCB-ĐT về yêu cầu tách bạch giữa môi trường kiểm thử và môi trường vận hành thực tế, kết quả kiểm toán cho thấy còn tồn tại các tài khoản kiểm thử trong môi trường thực tế, chưa đảm bảo quy định an toàn theo quy định tại Quyết định số 273/QĐ-NHNT.TCCB.ĐT.ĐACN và Quyết định số 379/QĐ-VCB.TTCNTT, Quyết định số 380/QĐ- VCB.TTCNTT về việc phân quyền trên phần mềm trong môi trường kiểm thử và môi trường chạy thực.

Việc kiểm soát cấp và đóng mở trạng thái quyền truy cập trên hệ thống các phần mềm còn một số trường hợp chưa đúng quy định quản trị quyền truy cập của VCB tại Quyết định số 377/QĐ-VC.TTCNTT, cụ thể: Vẫn có nhiều trường hợp cán bộ được chấm nghỉ phép 2 ngày trở lên vẫn chưa được đóng quyền truy cập. Nhiều trường hợp nhân viên mượn tài khoản truy cập để thực hiện các giao dịch, phát hiện 819 trường hợp (439 cán bộ) truy cập thực hiện 1.147 thao tác nghiệp vụ không đúng tài khoản quyền được cấp (kết quả tại 87 chi nhánh, ở phân hệ nghiệp vụ, các cấp độ quản lý khác).

Các lỗi về quản lý quản trị phân quyền truy cập dẫn đến một số tác nghiệp không thực hiện được kiểm soát theo nguyên tác “4 mắt” (các cán bộ được cấp quyền truy cập với 2 chức danh cùng lúc là thanh toán viên và kiểm soát viên); việc cấp quyền không gắn với chức danh tác nghiệp, cho mượn tài khoản truy cập, không đóng góp quyền khi có thông báo nghỉ là hạn chế trong kiểm soát bảo mật, có thể xảy ra trường hợp các tài khoản này thực hiện các giao dịch nghiệp vụ không được phép.

Trước hàng loạt các sự cố mất tiền trên tài khoản mà không rõ nguyên nhân thực sự, liệu hệ thống bảo mật của Vietcombank có an toàn? Có hay không là do Vietcombank cung cấp nhiều tài khoản truy cập cho một người, cho người khác mượn tài khoản để truy cập vào để thực hiện giao dịch? Khách hàng có nên cân nhắc khi trao niềm tin vào ngân hàng Vietcombank?

Hoàng Tâm

Theo Tài chính Doanh nghiệp

https://taichinhdoanhnghiep.net.vn/vietcombank-va-lo-hong-trong-bao-mat-thong-tin-khach-hang-d10514.html