Cảnh báo lộ thông tin thẻ VISA từ các trang đặt phòng Agoda, Booking

Cảnh báo lộ thông tin thẻ VISA từ các trang đặt phòng Agoda, Booking
Cảnh báo lộ thông tin thẻ VISA từ các trang đặt phòng Agoda, Booking

Vào tối CN tuần trước, 14/1, tôi có đặt phòng đi nghỉ ở Phú Quốc, Việt Nam qua trang Agoda. Sau khi đặt phòng thì website yêu cầu tôi nhập thông tin thẻ VISA – dù rằng tôi đặt phòng theo kiểu trả tại khách sạn.

Vì tin tưởng Agoda, tin câu xác nhận của Agoda rằng thông tin thẻ VISA của tôi sẽ “Tất cả thông tin thẻ đều được mã hóa, được bảo vệ và đảm bảo an toàn” nên đã cung cấp thông tin mà không đọc “chính sách bảo mật” và “Điều khoản chung”.

Sau đó, tôi nhận được một email với nội dung xác nhận rằng tôi đã đặt phòng trên Agoda, và kèm theo đó là câu:

Lưu ý đến khách sạn: Đặt phòng của booking.com theo mã số 1983089531

Thanh toán cho đặt phòng này sẽ được thu bởi khách sạn.

(Tức là khi này website Agoda đã tự chuyển thông tin đặt phòng của tôi, bao gồm cả thông tin thẻ VISA cho trang booking.com).

Cảnh báo lộ thông tin thẻ VISA từ các trang đặt phòng Agoda, Booking

Lúc đầu, tôi không để ý việc này, nhưng khi đến resort thì tôi nhận được thông tin sau:

1. Thông tin đặt phòng của tôi được cả Agoda và Booking gửi đến. Tốt thôi, dù sao thì tôi cũng không để ý lắm về việc tôi sẽ làm việc với ai để có phòng này, Agoda hay Booking cũng được.

2. Trong một tờ giấy mà nhân viên của resort lấy ra kiểm tra – mà vô tình tôi thấy được – thì CÓ TẤT CẢ THÔNG TIN VỀ THẺ VISA CỦA TÔI, từ tên, số thẻ, SỐ THẺ CVC, ngày hết hạn thẻ. Và theo như resort cung cấp thì thông tin này là do booking.com gửi.

Tôi có hỏi thông tin do AGODA gửi thì nhân viên resort không cho tôi xem vì trên đó có giá phòng, do đó tôi không biết là Agoda có làm điều tương tự – gửi toàn bộ thông tin thẻ VISA của tôi cho resort – hay không.

Vì số tiền thực tế đang tồn trong thẻ không nhiều, nêu tôi chưa thông báo ngay đến resort mà sau khi kết thúc chuyến đi (vào hơn 10h tối thứ 4, 17/1) tôi mới gửi email khiếu nại cho Agoda.

Đến 8h30 sáng ngày thứ 5, 18/1, có email của Agoda gửi lại là vấn đề của tôi đã được chuyển đến bộ phận cấp cao hơn; tuy nhiên chờ đến 6h chiều vẫn không thấy thông tin nào khác nên tôi đã gọi lên Agoda để tìm hiểu.

Khi này, tôi nhận được câu trả lời theo kiểu vòng vo như “yêu cầu này bên em đã chuyển đến cấp cao, em không được phép xử lý mà chỉ có thể giải thích chung cho anh” “agoda với booking là cùng hệ thống nên đặt thông tin trên agoda là tự chuyển sang booking”, “về nguyên tắc là thông tin thẻ sẽ được bảo mật, bên KS chỉ biết thông tin đã được mã hóa” “cấp trên bên em rất bận, nên anh thông cảm chờ” “thời gian giải quyết là 48h” …

(rất tiếc là không có file ghi âm của cuộc gọi này).

Quyết định chờ đợi (vì tạm thời tôi cũng không có cách nào khác), nhưng sự kiên nhẫn của tôi được đáp lại bằng những câu trả lời mà tôi cho là “qua loa”, “vô trách nhiệm”.

Cảnh báo lộ thông tin thẻ VISA từ các trang đặt phòng Agoda, Booking

Ở email đầu tiên, một người tên Peter làm ở “Agoda Customer Satisfaction Team.” giải thích rằng: giữa Agoda và các đối tác có thỏa thuận nội bộ riêng và bọn họ (Agoda và các đối tác) sẽ không cung cấp những thông tin này cho bên thứ ba trái phép. Và sau đó anh ta cung cấp một đoạn “terms of use” để chứng minh về việc này.

Thế nhưng, kể cả trong nội dung “terms of use” được nêu ra, cũng có nói rõ là thông tin thẻ VISA sẽ được bảo mật bởi “Secure Socket Layer (SSL)” (tương tự như nội dung cam kết trong trang điền thông tin thẻ VISA). Thế nhưng, điều tôi bắt gặp được là thông tin thẻ VISA của tôi được gửi cho resort một cách nguyên vẹn, đầy đủ theo đúng những gì tôi nhập vào chứ không hề có một sự bảo mật nào.

Khá khó chịu về nội dung trả lời, tôi đã gửi lại một email với đại ý rằng yêu cầu họ xem lại thật kỹ nội dung mà tôi đã gửi, đồng thời gửi cho họ hình chụp tờ giấy mà resort đã in ra (có thông tin thẻ VISA của tôi), với hi vọng rằng họ sẽ xem xét kỹ hơn và ý thức được sự nguy hiểm của vấn đề này.

Tuy nhiên, email thứ hai mà tôi nhận được cũng không tốt hơn email đầu tiên. Agoda tiếp tục bảo vệ quan điểm rằng họ không sai, và không có vấn đề gì về bảo mật xảy ra.

Đầu tiên, email này khẳng định rằng họ cung cấp thông tin thẻ tín dụng cho đối tác bởi vì các bên đã có thỏa thuận chính thức là sẽ không làm rò rỉ thông tin. Và họ khẳng định rằng họ sẽ không làm bất kỳ điều gì dẫn đến sự nguy hiểm cho thẻ VISA của tôi, cũng như là họ không quan tâm đến việc là khách hàng suy nghĩ gì về việc này (we will not make any comment on the way how the guest consider for this senario).

Agoda cũng khẳng định rằng việc họ gửi thông tin này cho đối tác là vấn đề thỏa thuận của bọn họ chứ không phải là rò rỉ thông tin.

Đến đây, thực sự là tôi đã không còn bất kỳ ý định nào để tiếp tục trao đổi với Agoda. Họ hoàn toàn bỏ qua việc rằng thông tin thẻ VISA của tôi bị gửi cho resort và resort đã in thông tin này ra giấy và sử dụng như những thông tin bình thường khác, không hề có một sự bảo mật nào. Họ chỉ chăm chăm một điều rằng: việc họ gửi thông tin này là vấn đề của giao thức kinh doanh, và họ cùng đối tác đã có thỏa thuận bảo mật thông tin (nên họ không chịu trách nhiệm gì về việc này).

Thế nhưng, thỏa thuận kinh doanh này của Agoda là việc của họ và đối tác, tôi (và tất cả các bạn – là khách hàng của họ) không biết và không cần biết đến sự thỏa thuận này mà chỉ cần biết rằng: tôi đã đưa thông tin cá nhân của tôi cho Agoda, vậy thì Agoda phải bảo mật nó, nếu nó rò rỉ ra ngoài mà nguồn gốc thông tin rò rỉ xuất phát từ Agoda (trực tiếp hoặc gián tiếp) thì chính Agoda phải có trách nhiệm.

Còn ở đây, tất cả nội dung mà Agoda trả lời chủ yếu chỉ nhằm vào việc “chối bỏ trách nhiệm”.

Tóm lại

Lời cảnh báo đầu tiên là mọi người nên đọc kỹ những nội quy, quy định, chính sách, điều lệ của website trước khi đồng ý nó; đặc biệt là với những trang yêu cầu bạn phải cung cấp thông tin cá nhân, thông tin thẻ VISA như Agoda, booking.

Thứ hai, mọi người nên cẩn thận khi sử dụng các website đặt phòng như Agoda, booking. Sự việc của tôi (lộ thông tin thẻ VISA) hoàn toàn có thể xảy ra với các bạn. Qua cách trả lời email khiếu nại của tôi, có thể thấy rằng việc gửi thông tin VISA của khách hàng cho những đối tác khác là việc hoàn toàn bình thường với Agoda. Họ không hề tỏ ra lo lắng, nghi ngại gì về việc này ngoài việc khẳng định rằng họ không xem đó là việc rò rỉ thông tin.

Và tốt nhất là – đừng sử dụng dịch vụ đặt phòng của Agoda – nếu họ yêu cầu các bạn cung cấp thông tin cá nhân của mình.

Tôi gửi vào đây hình chụp tờ giấy có thông tin thẻ VISA của tôi mà resort nhận được (cũng là file tôi gửi cho Agoda) và các email mà tôi đã trao đổi với Agoda để mọi người có thể kiểm chứng về thông tin này.

Dear.vnHiền Vũ