Vietcombank cảnh báo khách hàng về bảo mật, dẫn chứng bằng... Money Lover

Ngày 29/6, website chính thức của ngân hàng Vietcombank đăng tải thông báo mang tên: "Nâng cao cảnh giác và bảo mật khi sử dụng dịch vụ ngân hàng điện tử".

Văn bản này cũng được gửi đến email của người dùng để khuyến cáo về việc bảo vệ thông tin tài khoản cá nhân, tránh mất tài khoản. Trong đó, Vietcombank cảnh báo hiện tượng một số đối tượng lừa đảo, lợi dụng sự sơ hở của khách hàng để ăn cắp thông tin, chiếm đoạt tiền trên tài khoản ngân hàng điện tử.

Đồng thời, ngân hàng nhấn mạnh người dùng cần "3 không", gồm không cung cấp thông tin bảo mật dịch vụ (tên đăng nhập, mật khẩu, OTP...) cho bất cứ ai; không đăng nhập hoặc cung cấp tài khoản Internet Banking, mật khẩu, mã OTP cho bất kỳ ứng dụng và website nào không phải của Vietcombank; không truy cập các trang web/ đường dẫn hoặc tải các ứng dụng không đáng tin cậy. 

Cũng trong thông báo này, Vietcombank cho rằng "việc đăng nhập tài khoản Vietcombank từ bất kỳ website hoặc ứng dụng nào khác (Ví dụ: ứng dụng Money Lover) chính là việc khách hàng cung cấp thông tin bảo mật dịch vụ NHĐT cho người khác và hoàn toàn tiềm ẩn nguy cơ rủi ro mất an toàn cho tài khoản". Ngây lập tức, thông tin này gây ra nhiều cuộc tranh luận cũng như "mổ xẻ" ứng dụng.

Money Lover là ứng dụng đang có hơn 2 triệu người dùng, giúp người dùng quản lý chi tiêu cá nhân, nhưng cho phép người dùng liên kết với các tài khoản ngân hàng hiện có. 

Chuyên gia Lê Nguyên Khang, trưởng phòng An toàn thông tin của VC Corp, đã chỉ ra một số điểm yếu trong mối liên kết giữa Money Lover với các ngân hàng. Theo đó, khi người dùng sử dụng Money Lover để quản lý chi tiêu và các giao dịch trong ngân hàng điện tử, ứng dụng này không gọi trực tiếp đường liên kết đến các trang Internet Banking của các ngân hàng, mà thông qua dịch vụ trung gian mang tên Finsify. Người dùng phải chấp nhận đăng nhập tải khoản ngân hàng vào trang trung gian này để sử dụng. Qua đó, chuyên gia này cũng chỉ ra một số lỗ hổng bảo mật trên dịch vụ này, khiến tin tặc có thể khai thác để phục vụ cho mục đích xấu. 

Phản hồi ý kiến này, CEO và sáng lập Money Lover Ngô Xuân Huy cho rằng lỗi bảo mật này là đúng nhưng hiện máy chủ của Finsify đã sử dụng kết nối SSL an toàn. “Money Lover cam kết mã hóa hoàn toàn thông tin người dùng để các mật khẩu thô không được lưu trữ trên bất kỳ máy chủ nào và không thể can thiệp vào giữa quá trình tổng hợp giao dịch được”, Xuân Huy chia sẻ. 

Về việc "bị nhắc đến" trong thông báo của Vietcombank, CEO của Money Lover cho rằng cảnh báo của ngân hàng này là hợp lý, nhưng việc liệt kê tên ứng dụng Money Lover vào đó gây hiểu lầm cho người dùng. Hiện chưa có trường hợp nào bị mất tải khoản hay bị lừa đảo do dùng Money Lover khi liên kết với tài khoản ngân hàng điện tử. 

Đại diện Vietcombank cho biết đây chỉ là một trong nhiều cảnh báo mà ngân hàng này gửi đến người dùng. Việc liệt kê Money Lover vào danh sách chỉ là ví dụ về ứng dụng của bên thứ ba. Trong thông báo, Vietcombank chỉ nói người dùng chịu hoàn toàn trách nhiệm khi cung cấp thông tin cho các ứng dụng không phải của ngân hàng này. Mặt khác,vị đại diện này cũng cho biết giữa Vietcombank và Money Lover chưa có bất kỳ hợp tác nào.  

Ông Nguyễn Đình Thắng, sáng lập và CEO của Gogox Technologies và Victo Ideas Health & Fitness Lab, cho rằng việc ngân hàng phát đi cảnh báo như vậy là điều bình thường. "Với cam kết mã hoá thông tin người dùng, có nghĩa là ứng dụng đó lưu giữ thông tin tài khoản, mật khẩu của người dùng ở máy chủ của họ và có bảo mật ở một cấp độ nào đó", ông Thắng khẳng định.

Chuyên gia này cho rằng thông tin chỉ có thể bị tấn công khi bảo mật của Finsify (dịch vụ trung gian kết nối giữa Money Lover và các ngân hàng) có vấn đề. Trong quá khứ Finsify từng không dùng https nên rất dễ bị tấn công. "Phần liên kết tài khoản của ngân hàng của Money Lover mới ra mắt được một thời gian, sẽ cần rất nhiều thời gian để hoàn thiện công nghệ và bảo mật", ông Thắng chia sẻ. 

Trả lời về quyền quản lý tài khoản ngân hàng của người dùng Money Lover, Ngô Xuân Huy cho rằng điều này không phạm luật. Ngân hàng chỉ có thể "nhắc nhở" người dùng không cung cấp thông tin đăng nhập cho bên thứ ba, nhưng không thể cấm người dùng uỷ quyền "đăng nhập hộ" cho một dịch vụ khác (ở đây là Money Lover và máy chủ trung gian Finsify). Khi người dùng chấp nhận sử dụng, nghĩa là họ đã đồng ý trao thông tin. 

Nếu như Money Lover là cái tên được biết đến ở Việt Nam, thì Mint là ứng dụng nổi tiếng tại Mỹ và nước phương Tây. Công cụ này cũng giúp người dùng quản lý chi tiêu và cả các giao dịch tài khoản trong ngân hàng. Tại Nhật Bản, người dùng cũng sử dụng tiện ích có tên Money Foward để kiểm soát hầu bao. Những ứng dụng này được gọi chung là các Aggregator.

Theo Reuters, giữa các Aggregator và ngân hàng trên thế giới tồn tại mối quan hệ không mấy tốt đẹp. Hai ngân hàng lớn JPMorgan Chase & Co và Capital One Financial Corp từng đưa ra lời cảnh báo trên trang web của họ rằng khách hàng tự chịu mọi hậu quả nếu cung cấp thông tin tài khoản cho các ứng dụng Aggregator. 

Trong khi đó, nhiều người dùng vẫn tin tưởng vào các Aggregator vì những ứng dụng này đáp ứng được nhu cầu quản lý tài chính cá nhân. Dữ liệu của họ vẫn được các Aggregator bảo mật (cho đến khi nào chúng không còn đứng vững trước các hacker).

Nói với The Wall Street Journal, chuyên gia Bob Sullivan cho rằng nếu bỏ qua các vấn đề bảo mật, các ứng dụng Aggregator có thể giúp người dùng phát hiện ra những món tiền bị "bốc hơi" khỏi tài khoản mà nếu xảy ra với người dùng thông thường, họ sẽ không hề hay biết.