Booking.com thừa nhận gửi toàn bộ thông tin thẻ tín dụng cho khách sạn

Agoda và Booking bị tố cáo làm lộ thông tin thẻ tín dụng của người dùng

Với nhu cầu đi lại thường xuyên và sự phát triển của công nghệ, các trang đặt phòng trực tuyến đang ngày càng mọc lên như nấm.

Tuy nhiên, với việc hai ông lớn Agoda và Booking vừa bị tố làm lộ thông tin thẻ tín dụng của người dùng thì điều này đã đặt ra nhiều vấn đề về công tác bảo mật của các trang đặt phòng trực tuyến.

Booking.com cũng đã thừa nhận gửi toàn bộ thông tin thẻ tín dụng của khách đặt phòng qua trang này đến các khách sạn, nhằm “đảm bảo đối tác của chúng tôi nhận được dữ liệu cần thiết để hoạt động kinh doanh một cách an toàn và đáng tin cậy”.

Agoda và Booking bị tố làm lộ thông tin 1
Agoda và Booking bị tố làm lộ thông tin 

Một người làm trong ngành khách sạn cho rằng Booking.com hay Agoda.com gửi toàn bộ thông tin thẻ tín dụng cho khách sạn nhằm khi khách huỷ đặt phòng hay trong các trường hợp khác khách sạn có thể chủ động trừ phí vào thẻ tín dụng của khách.

Trước đó, mạng xã hội xôn xao khi người có tên Hiền Vũ tố cáo toàn bộ thông tin thẻ tín dụng anh đăng ký trên trang Agoda.com đều thể hiện rõ trên một tờ giấy do nhân viên khách sạn in ra. Với thông tin thẻ tín dụng thể hiện như vậy, kẻ xấu hoàn toàn có thể dùng nó để mua hàng mà chủ thẻ không biết, gây tổn thất cho người sở hữu thẻ tín dụng.

Trong vụ khách hàng đặt phòng ở Phú Quốc qua Agoda, trang đặt phòng Booking.com thừa nhận gửi toàn bộ thông tin thẻ tín dụng của khách hàng cho khách sạn.

Anh Hiền Vũ đặt khách sạn ở Phú Quốc thông qua trang Agoda.com nhưng sau đó thông tin đặt phòng được Agoda chuyển sang cho Booking.com.

Trong một bài viết hồi tuần trước trên mạng xã hội, anh Hiền Vũ cho biết đặt phòng ở khách sạn ở Phú Quốc thông qua trang Agoda.com. Tuy nhiên, điều đáng nói là sau đó khi đến resort ở Phú Quốc để nhận phòng với mã số đặt phòng của anh mà trang Agoda tự chuyển cho trang Booking.com thì anh vô tình thấy tờ giấy của nhân viên resort có lưu đầy đủ thông tin về thẻ tín dụng của anh, kể cả họ tên, số thẻ, ngày hết hạn và số bảo mật CVC. Khi anh thắc mắc thì phía resort cho biết thông tin này là do trang Booking.com cung cấp?!

Booking.com xác nhận có chuyển thông tin thẻ tín dụng cho khách sạn, sẽ điều tra nếu làm lộ
Booking.com xác nhận có chuyển thông tin thẻ tín dụng cho khách sạn, sẽ điều tra nếu làm lộ

Sự việc nhận được sự quan tâm rất lớn của cộng đồng, do hầu hết người dùng đều tin rằng thông tin thẻ của họ khi nhập lên các trang uy tín như Agoda.com sẽ được bảo mật, mã hoá, không có chuyện thông tin được gửi đến khách sạn mà nhân viên khách sạn có thể in ra như thế.

Trong thông tin phản hồi về vụ việc, Booking.com cho biết “chuyển toàn bộ thông tin thẻ tín dụng đến đơn vị nhận đặt phòng một cách an toàn thông qua mô hình được bảo vệ bằng mật khẩu, sử dụng Xác thực 2 yếu tố (Two-factor authentication)”, “nhưng sau đó phụ thuộc vào các đơn vị nhận đặt phòng để đảm bảo rằng họ tuân thủ tiêu chuẩn bảo mật cao khi họ có thông tin khách hàng”.

 

Agoda và Booking bị tố làm lộ thông tin 3
Agoda và Booking bị tố làm lộ thông tin

Theo phản hồi này, thông tin thẻ gửi đến các khách sạn đối tác được bảo vệ bằng mật khẩu nhưng không đề cập thông tin thẻ có được mã hoá hay không. Nhiều khả năng thông tin thẻ không được mã hoá nên nhân viên khách sạn mới có đầy đủ chi tiết về thẻ tín dụng của khách đã đăng ký trên các trang đặt phòng. Việc thông tin này bị lộ hay không tuỳ vào tuỳ vào tiêu chuẩn bảo mật của khách sạn.

Người làm trong ngành khách sạn nói trên cho biết tất cả thông tin thẻ tín dụng đều được khách sạn bảo mật. Tuy nhiên, trong trường hợp của anh Vũ Hiền, nhân viên khách sạn hoàn toàn có thể nhìn thấy chi tiết thẻ và in ra.

“Tất cả các đối tác của Booking.com cũng đồng ý với chính sách yêu cầu các đơn vị nhận đặt phòng được liệt kê với chúng tôi tuân theo các quy trình xử lý dữ liệu nhất định nhằm bảo vệ khách hàng trong khi quản lý kinh doanh hiệu quả một cách có trách nhiệm”, Booking phản hồi. Trang đặt phòng cho biết đang điều tra trường hợp này, “trường hợp hiếm hoi mà chúng tôi phát hiện được hành vi không đúng của đối tác”.

Do vậy, rõ ràng việc chuyển thông tin chi tiết cho những đơn vị không tuân thủ nguyên tắc bảo mật như resort ở trường hợp của anh Hiền Vũ là một hành động thiếu trách nhiệm của phía Agoda. Điều này đặt các khách hàng của Agoda, Booking và nhiều dịch vụ đặt phòng online vào tình thế bị động, việc bảo mật thông tin thẻ của họ chỉ dựa vào uy tín và nhận thức bảo mật của khách sạn/khu nghỉ dưỡng mà họ đặt chỗ. Người dùng cần tham khảo kỹ các chính sách bảo mật thông tin và thanh toán của đơn vị đặt phòng và phía nhận đặt phòng, tránh đánh mất thông tin thanh toán vào tay kẻ xấu.

Tại Việt Nam, đã không ít lần các cửa hàng và khách sạn bị tố làm lộ thông tin thẻ của khách. Do vậy, trong buổi gặp gỡ và chia sẻ thông tin với báo chí vào năm 2016 tại Việt Nam, phía VISA đưa ra cảnh báo, để đảm bảo an toàn, các thông tin thẻ của khách hàng buộc phải mã hóa trước khi chuyển cho các đơn vị thứ ba chứ không được chuyển thông tin thô.

Dữ liệu thẻ tín dụng của khách hàng bị lộ của khách sạn Silverland Hotel & Spas tại Việt Nam vào năm 2016

Dữ liệu thẻ tín dụng của khách hàng bị lộ của khách sạn Silverland Hotel & Spas tại Việt Nam vào năm 2016

Leave a Reply

Your email address will not be published. Required fields are marked *