Sự thật thông tin vụ việc: 5 triệu tài khoản khách hàng Thế Giới Di Động bị hacker tấn công.

0
279

Ngày hôm qua, trên nhiều báo chí điện tử đều đồng loạt đưa tin về vụ việc “Hacker tấn công vào server Thế Giới Di Động cướp đi thông tin của hơn 5 triệu tài khoản?”, qua xác minh và tìm hiểu thì BBT Báo Tinh Hoa lại có một cái nhìn khác về vụ việc. Mời các bạn theo dõi bài phân tích mang tính chất kĩ thuật của chúng tôi.

Thứ nhất về phương diện kĩ thuật:

Về vụ việc Server Thế Giới Di Động bị hacker tấn công và bị leak 5 triệu thông tin tài khoản theo như các thông tin nhiều báo chí đã đưa, các bạn hãy cùng chúng tôi tìm hiểu về một hệ thống thanh toán hoạt động như thế nào? Ai có quyền lưu thông tin thẻ?

Nếu server TGDĐ có bị hack thật thì họ chỉ hack được những thông tin khách hàng như tên tuổi, ngày tháng năm sinh, ăn gì, mua cái gì, ngày nào, bao nhiêu tiền, mua ở đâu, ăn với ai, check-in ở đâu… Nói chung là những thông tin liên quan tới “quá trình xử lý order”.

Còn về thông tin thẻ tín dụng thì liên quan đến “quá trình thanh toán” mà “quá trình thanh toán” thì đâu phải Thế giới di động xử lý. Vậy thì làm thế nào mà họ có được trong khi thông tin thẻ lại lưu ở một bên thứ 3. Và bên này muốn được lưu thông tin thẻ thì phải pass các tiêu chí như DCI-PSS và vô vàn các tiêu chuẩn khác.

Nếu bạn đã từng làm việc qua với các hệ thống thẻ thanh toán quốc tế (hiện tại mình đang làm việc với https://stripe.com) thì cái mà hacker có được chỉ là vài số đầu của thẻ và vài số cuối. Còn đoạn ở giữa thì cho bon hacker ngồi đoán mò vì thông tin này sẽ bị censor (ẩn đi). Vì hệ thống của người bán và cổng thanh toán hoạt động dựa token chứ không hoạt động dựa trên thông tin thẻ của khách hàng.

Đây là phần quản lý thẻ tín dụng mình chụp từ backend của hệ thống. Gọi nôm na là vậy nhưng thực ra nói đúng hơn và chính xác hơn đây là nơi quản lý cho phép khách hàng và người bán quản lý thông tin liên quan đến thẻ của phía khách hàng dựa trên token. Khi nhập thông tin thẻ vào mục 1, một dạng form embeded, và sẽ chuyển thông tin đến cổng thanh toán. Cổng thanh toán sẽ trả lại cho người bán 1 dạng token (mục số 2 trong hình). Và người bán (TGDĐ) sẽ làm việc với với cổng thanh toán dựa trên token này chứ không phải bất kì một thông tin nào khác trên thẻ.

Vậy cái form này để nhập thẻ này có lưu thông tin thẻ hay không?
Câu trả lời: Không.

Form này đúng ra là sẽ popup ra 1 trang web liên kết chạy trên domain của đối tác. Và khách hàng sẽ phải nhập thông tin trên trang web của cổng thanh toán (như vậy TGDĐ chẳng lưu gì ở đây cả). Như vậy tới đây coi như là xong. Còn tùy thuộc vào TGDĐ có xử lý một việc khác (next order, customer retention…) hay không.

Việc khác là: “Quý khách có muốn lưu thông tin thẻ để sử dụng cho việc thanh toán nhanh vào các lần tiếp theo hay không?”. Nếu như TGDĐ cung cấp tính năng này và KH chọn có thì có chăng hệ thống cổng thanh toán cũng chỉ trả về thêm cho thegioididong cái token để giao dịch cho các lần tiếp theo là cùng.

Nếu coder xử lý tốt thì thay vì nhập dạng form popup qua web của đối tác thì sẽ chuyển về dạng embeded ngay trên website của mình và hệ thống sẽ xử lý thông qua remote js (javascript) và js script này sẽ do bọn Stripe (cổng thanh toán) cung cấp và control. Như vậy TGDĐ cũng chẳng có gì ở đây ngoài cái token.

Trích: https://docs.whmcs.com/Stripe

1/ Personal card information is submitted directly to Stripe and is never stored in your local WHMCS installation. (Tạm dịch: Thông tin cá nhân của thẻ tín dụng sẽ gửi trực tiếp đến Stripe và sẽ không lưu lại trên hệ thống nội bộ WHMCS)
2/ The stripe.js library is used for payments and card updates.

Thông tin order của khách hàng hiển thị trên hệ thống stripe.com (là paygate – cổng thanh toán) cũng giống như đối tác thứ 3 của TGDĐ sử dụng khi chấp nhận thanh toán từ phía khách hàng. Ở đây thông tin thẻ của khách hàng cũng đã được mã hóa. Chưa kể trong trường hợp có login trực tiếp vào dashboard quản lý của cổng thanh toán thì Tôi hay TGDĐ cũng chẳng được phép xem thông tin chi tiết thẻ chứ nói gì bị hack mà có toàn bộ thông tin về thẻ.
Giao dịch qua DBS Bank/ POSB toàn bộ thông tin trong paygate Stripe cũng được mã hóa. Nghĩa là những thông tin này không hề lưu lại khi khách hàng nhập vào thanh toán trên TGDĐ mà được lưu lại tại bên thứ 3 như paygate Stripe này. Trừ khi hacker tấn công thẳng vào hệ thống cổng thanh toán thì may ra có thông tin. Còn lại thì an toàn nhé.
Ví dụ khác một hệ thống thanh toán cũng tương tự TGDĐ. Thông tin có được không hơn không kém là 1 cái token và thông tin thẻ không hoàn thiện đã bị mã hóa.

Thông tin thêm xác minh từ một hacker:

Em test thử thì các thẻ VBKN đều valid nhưng not sure là trong cái đống data của part 1 và 2 kia. Vì ở file demo, thì loại thẻ BNVN là Banknet VN, nhưng trong DB đấy thì loại thẻ được gán là BNVN, còn ở trong file leak số 3 thì là VBKN, không biết bạn kia có chơi kiểu hack đây tí kia tí rồi nối lại với nhau không.

Sau khi check đi check lại vài case thì em khá chắc chắn là thông tin demo 1 (từ transaction DB TGDD) và thông tin demo3 (thông tin thanh toán) là 2 DB khác nhau các bác nhé. 1 cái là để PMGW reconciliate với bank, 1 cái là PMGW đối soát với MWG. Ref code của transactions khác hẳn nhau. Nói chung phê bình bạn này clean file không sạch. File demo của TGDD (file đầu tiên bị leak có số thẻ) là từ 2016, lại có chi nhánh, cửa hàng -> vậy file này là file đối soát với POS provider của TGDD

Ảnh chụp màn hình dữ liệu được cho là hack ra từ TGDĐ nhưng với số thẻ được mã hóa như thế này thì đây như một dạng sao kê các giao dịch trong ngày.

File demo 2, có email (5.4 triệu email) thì chả biết ở đâu ra, mặc dù valid (em check với UID FB rồi) – nhưng em khá chắc chắn TGDD ko thể có 5.4 triệu digital customers, Tiki còn không đến mức đấy, đạt đến từng đó valid email mà lại là khách hàng thật thì chỉ có Lazada. Shopee chưa chắc đến.

File demo 3 thì lấy từ 1 file đối soát bank – PMGW hoặc bank – POS.

Vậy khả năng NẾU cả 3 DB đều là hàng real not fake thì:
1/ bạn ‘hacker’ này làm dev ERP hoặc mảng operation cho TGDĐ năm 2016, sau đó làm cho ecommerce hoặc ecommerce related kiểu affiliate, rồi làm cho 1 cổng thanh toán hoặc đơn vị TGTT có PCI DSS hoặc đơn vị cung cấp POS từ phía bank;
2/ giả thiết thứ 2 là chuyen đi mua bán máy tính cũ nên vô tình có vài file hay ho.
3/ Giả thiết thứ 3 là có bạn bè làm đây làm kia, rồi cũng đi làm dự án này nọ, mỗi nơi down 1 ít file về, giờ post lên cho vui.

Nói chung cá nhân em kết luận là chả có gì trong vụ này cái người post lên có khi còn không biết mình post gì?

Qua hai bài viết trên thì chúng tôi đi đến kết luận: Server của thế giới di động an toàn và toàn bộ thông tin của khách hàng đã không bị mất. Có thể đây là đòn gió của các đối thủ cạnh tranh không lành mạnh nhằm triệt tiêu TGDĐ. Và nhắn gửi luôn với những ai có ý định mua database hơn 5 triệu khách hàng trên các website UG thì tốt nhất đừng mua kẻo bị lừa. Ghi rõ nguồn khi copy lại thông tin từ Báo Tinh Hoa xin chân thành cảm ơn.

BBT Báo Tinh Hoa kết luận server Thế Giới Di Động hoàn toàn an toàn. Không bị hack như các báo chí đã đưa.

N30H4ck3R – BBT Báo Tinh Hoa

Leave a Reply

avatar
  Theo dõi  
Thông báo