Giao password tài khoản ngân hàng cho app bên thứ ba, rủi ro là gì?
Duy Luân
4 nămBình luận: 333
Giao password tài khoản ngân hàng cho app bên thứ ba, rủi ro là gì?
Khoảng cuối tuần rồi ngân hàng Vietcombank (VCB) có phát đi một thông báo cảnh báo người dùng không giao username và password của tài khoản ngân hàng online cho các ứng dụng bên thứ ba. VCB chỉ ra cụ thể một ứng dụng đó là Money Lover, một ứng dụng quản lý tài chính cá nhân được khá nhiều anh em Tinh tế sử dụng. Vậy thông báo này có ý nghĩa như thế nào? Việc bạn dùng Money Lover để thống kê giao dịch ngân hàng có làm bạn mất tiền hay không, và Money Lover có thể làm gì để hệ thống này trở nên an toàn hơn?



Thông báo của Vietcombank


Trước hết là về thông báo của VCB (bạn có thể xem online ở đây). Thông báo này nguyên văn như sau:
Chuyện ngân hàng cảnh báo cho người dùng của mình về việc quản lý chặt username / password là việc hoàn toàn bình thường, đó là trách nhiệm của ngân hàng và VCB đã làm tốt điều đó. Mình có nói chuyện với CEO của Money Lover, ảnh cũng nói điều này là hợp lý và ảnh không hề phản đối việc làm của VCB hay nói đó là chuyện không đúng. Bên Money Lover cũng chia sẻ là Vietcombank đã xác nhận không có tài khoản khách hàng nào bị hack hay mất tiền vì sử dụng app Money Lover.

Về phía Money Lover, trong app quản lý tài chính cá nhân này thường không đụng gì tới tài khoản ngân hàng của bạn, mọi giao dịch thu chi đều do bạn tự nhập tay vào. Nhưng tới tháng 3 năm nay, Money Lover có thêm chức năng link với tài khoản ngân hàng để lấy giao dịch về một cách tự động, mỗi khi bạn chi tiền hay có lương mới thì Money Lover sẽ tự nhận biết và bạn khỏi phải nhập tay nữa. Money Lover hỗ trợ link với một số ngân hàng Việt Nam, trong đó có Vietcombank. Lưu ý là Money Lover chỉ có quyền xem giao dịch của bạn chứ không thể thực hiện giao dịch thay cho bạn.

Money_Lover_link_ngan_hang_2.jpg
Tính năng tự lấy giao dịch thu chi của Money Lover với tài khoản Vietcombank

Những ứng dụng có khả năng tập hợp giao dịch của người dùng giống như Money Lover được gọi là Aggregator, tạm dịch sang tiếng Việt là "tập hợp nội dung". Nghiệp vụ này đã xuất hiện từ khá lâu trong ngành công nghệ tài chính thế giới (FinTech) và ứng dụng aggregator nổi nhất được biết tới là Mint.com. Mint hoạt động chủ yếu ở Mỹ và Canada, nó cũng cung cấp chức năng gần giống như Money Lover là tự động thu thập các giao dịch thu chi của người dùng thông qua nhiều tài khoản ngân hàng, tập trung vào một chỗ rồi tạo thống kê cho bạn dễ xem, dễ quản lý. Tính tới tháng 10 năm 2013, Mint đang có 10 triệu người dùng.

Từ lâu, các ứng dụng aggregator như Mint đã không phải là một thứ mà các ngân hàng ưa. Những ngân hàng lớn ở Mỹ cũng đã từng khuyên người dùng không cung cấp thông tin tài khoản của mình cho các ứng dụng bên thứ ba, nếu có mất mát gì xảy ra thì họ không chịu trách nhiệm. Tính tới lúc này vẫn còn những tranh luận về mặt pháp lý liên quan đến việc khiếu kiện nếu người dùng bị trộm thông tin tài khoản và bị sử dụng thông tin đó để giao dịch trái phép. Nhưng nói gì thì nói, rủi ro đó vẫn là có thực. Tính tới lúc này, Mint vẫn chưa từng thông báo về việc hệ thống của họ bị hack hay trộm.

Cách Money Lover lấy thông tin giao dịch từ ngân hàng


Với một số ngân hàng cấp trung, họ có hợp tác chính thức với Money Lover để "mở cửa" cho phép Money Lover truy cập vào dữ liệu khách hàng sau khi được sự đồng ý tứ người dùng. Với phương pháp này, các ngân hàng sẽ cung cấp một bộ hàm API cho Money Lover, trong đó Money Lover sẽ gửi thông tin tài khoản của người dùng về máy chủ của ngân hàng, máy chủ sẽ thực hiện việc xác thực, chứng nhận rồi gửi thông tin giao dịch ngược lại cho Money Lover. Money Lover cũng dùng cách tương tự để biết về các khoản chi bạn đã thực hiện khi đi xe Uber vì Uber có mở API ra.

Nhưng với Vietcombank, ngân hàng này chưa "mở cửa" hệ thống của họ cho Money Lover. Theo mình biết thì Vietcombank chưa mở API là do lo ngại về các vấn đề bảo mật có thể xảy ra. Nói cách khác, Money Lover không thể dùng biện pháp gửi thông tin tài khoản về máy chủ Vietcombank để nhận lại lịch sử giao dịch. Vậy Money Lover đã làm cách nào để lấy được giao dịch thu chi của bạn?

Mình hỏi anh Lê Nguyên Khang, trưởng phòng an toàn thông tin của công ty VCCorp, anh cho rằng Money Lover đang xài một dạng phần mềm gọi là scrapper, hay còn có tên khác là crawler. Phần mềm này chạy trên máy chủ của Money Lover chứ không phải trên app di động mà chúng ta cài vào điện thoại. Crawler sẽ dùng username và password do bạn cung cấp, đăng nhập vào website Vietcombank, sau đó đi vào các trang con dùng để liệt kê giao dịch. Crawler sẽ đọc mã nguồn HTML của những trang này, thu thập các dòng giao dịch mới phát sinh so với lần quét trước, lấy thông tin số dư tài khoản ngân hàng rồi đưa dữ liệu về cho app Money Lover. Crawler có thể được hẹn giờ để chạy, ví dụ như chạy vào 1 giờ đêm mỗi ngày chẳng hạn.

Việc đọc mã nguồn HTML rất đơn giản, tự bạn cũng có thể làm được (vào trang web bất kì, bấm phím phải chuột trên trình duyệt, chọn Inspect Element). Dựa vào các id gán cho từng thẻ HTML, một crawler sẽ dễ dàng biết được những gì nó muốn. Như trong hình bên dưới (chụp thẳng từ web Online Banking của Vietcombank), số dư tài khoản của mình nằm trong thẻ <span> có mã định danh là "lb_soduhientai". Chỉ cần biết nhiêu đó đã đủ để crawler lấy được thông tin.

Ma_nguon_web_site.png

Trong quá trình này, theo như những gì mình nói chuyện với CEO của Money Lover, thì mật khẩu của bạn luôn được mã hóa. Ngay cả mật khẩu lúc được lưu vào cơ sở dữ liệu của Money Lover cũng đã được mã hóa nên theo lý thuyết, hacker không (hoặc khó) dò ra mật khẩu của bạn do nó chỉ được lưu dưới dạng một đống kí tự ngoằn ngèo dạng như %wefwfGFfrgB8rb%b47bv/fwjf.

Ở khâu đăng nhập lần đầu tiên mà bạn cung cấp username password, giao thức truyền đi cũng là HTTPS với nội dung của request được mã hóa hoàn toàn (ở lúc mới ra mắt, Money Lover mắt lỗi chỉ dùng giao thức HTTP truyền thống nhưng điều đó đã được khắc phục sau đó 1 tiếng đồng hồ). Vì nội dung đã được mã hóa, một người nào đó đứng giữa nhìn trộm vào đường truyền cũng không biết được username và password của bạn.

Có thể bạn sẽ thắc mắc: giao dịch ngân hàng đòi mật khẩu một lần (OTP) gửi qua điện thoại hay dùng token, làm sao Money Lover lấy được? OTP chỉ cần khi bạn THỰC HIỆN GIAO DỊCH, ví dụ gửi tiền cho ai đó. Còn crawler này chỉ đọc thông tin, không cần xài OTP làm gì. Còn ở khâu đăng nhập, website Vietcombank có yêu cầu nhập mã captcha, mình vẫn chưa biết Money Lover làm cách nào để vượt mặt khâu bảo mật này, cũng chưa hỏi được người khác.

Rủi ro vẫn tồn tại


Tất nhiên, hệ thống của Money Lover, và cả những hệ thống của các giải pháp aggregator khác trên thế giới, vẫn tồn tại rủi ro về mặt bảo mật. Ví dụ, nếu hacker có thể đột nhập vào máy chủ của Money Lover thì trên lý thuyết, hắn có thể trộm được danh sách username, password của người dùng, và biết đâu bằng cách nào đó hắn có thể phá mã để ra được username / password nguyên gốc. Đột nhập ở đây không nhất thiết phải là hack từ xa, có thể hắn chui vào được data center và lấy ổ cứng chẳng hạn.

Tất nhiên, kể cả khi đã có password dạng mã hóa trong tay thì hacker vẫn phải giải mã thành password gốc thì mới xài được, và cách mã hóa càng mạnh thì việc giải mã ngược lại càng khó, càng cần nhiều thời gian. Một ví dụ nhỏ: chuẩn mã hóa AES 126-bit sẽ cần nhiều tỉ năm để có thể phá mã theo dạng mò mật khẩu, nếu tăng lên thành AES 256-bit sẽ càng khó hơn. Ngoài ra, để phá đã được mã AES 128-bit thì cần chứa khoảng 38 nghìn tỉ terabyte dữ liệu trước khi password chính xác bị phát hiện, nhiều hơn tất cả dữ liệu chứa trên tất cả máy tính cá nhân trên toàn thế giới trong năm 2016. Do đó, về lý thuyết, việc tấn công và giải mã password kiểu này là không thực tế.
Ma_hoa_password.jpg
Ảnh chụp màn hình một cơ sở dữ liệu lưu username và password, trong đó password đã được mã hóa

Một rủi ro nữa nằm ở chính nhân sự của các aggregator. Giả sử Money Lover hay Mint thuê phải một người quản trị hệ thống không có đạo đức, hắn ta có thể dùng những quyền được trao trong tay để làm lộ danh sách username / password này ra bên ngoài, và một lần nữa, có thể người đó cũng sẽ biết cách giải mã danh sách để lấy được mật khẩu gốc. Đã từng có những vụ việc tương tự xảy ra trên thế giới khi mà người của nội bộ dịch vụ tài chính bán thông tin khách hàng nhằm thu lợi cá nhân (nhưng chưa có thông tin nào về việc aggregator bị hack kiểu này).

Khi username password bị lộ ra, tiền của bạn về lý thuyết vẫn có thể bị trộm nhưng do cơ chế xác thực OTP nên rủi ro sẽ ít hơn. Cái đáng lo hơn đó là hacker sẽ dùng username password này vào web ngân hàng, mò ra điện thoại, email của bạn rồi đem bán cho các công ty quảng cáo để họ hiển thị quảng cáo định hướng (targeted ads).

Đây chỉ là một vài trong nhiều rủi ro có thể xảy ra. Và Money Lover đã nỗ lực ngăn chặn việc này bằng cách áp dụng các biện pháp bảo mật như dùng HTTPS, mã hóa mạnh, lưu thông tin nhạy cảm lên máy chủ của Amazon Web Services chứ không lưu ở server tự quản (giả định máy chủ Amazon Web Services rất rất khó để bị can thiệp). Nhưng các hacker mũ đen luôn đi trước một bước, và không ai có thể đảm bảo rằng hệ thống của họ an toàn 100% không bao giờ có lỗ hổng.

Chung quy lại, rủi ro khi bạn cung cấp username, password cho Money Lover hay các ứng dụng bên thứ ba nói chung đó là thông tin đăng nhập của bạn có thể bị đánh cắp và thực hiện giao dịch trái phép. Bản thân Money Lover không thể tự chi tiền nên bạn không mất tiền vì app này, mà bạn mất tiền vì những hacker ăn trộm tài khoản của bạn.

Một số giải pháp


Mình có tham khảo một vài giải pháp để tăng tính bảo mật cho những ứng dụng aggregator như Money Lover. Lấy chính ví dụ của Mint, để tránh việc mật khẩu của người dùng có thể bị giải mã trái phép, Mint tách chía khóa giải mã (key) thành 5 phần, chứa trên 5 chiếc thẻ Smart Card khác nhau. Các thẻ này được 5 nhân viên cấp cao của Mint giữ trong người, vậy nên hacker muốn giải mã thì phải có trong tay đủ cả 5 Smart Card này. Mình chưa rõ Money Lover có dùng cách tương tự hay chưa.

Mint cũng xài các giải pháp bảo mật như HTTPS, dùng các chứng chỉ bảo mật từ các cơ quan lớn trên thế giới, cũng như mã hóa mạnh cả phần mềm lẫn phần cứng của mình để tránh bị hack. Có lẽ vì mức độ mã hóa mạnh như vậy mà đến nay Mint vẫn chưa có lần nào để lộ thông tin của người dùng ra ngoài. Thêm vào đó là các chức năng bảo mật hai lớp của Mint cũng giúp hạn chế việc bị lấy trộm thông tin tài khoản.

Về yếu tố con người, những việc mà một công ty aggregator có thể làm để đảm bảo không bị chính nhân sự của mình lấy trộm tài khoản khách hàng đó là:
  • Tuyển dụng các nhân sự có đạo đức tốt
  • Đưa ra những điều khoản ràng buộc nếu để lộ thông tin
  • Thiết lập các hệ thống theo dõi để biết khi nào thì người quản trị hệ thống đăng nhập, người ta làm gì trên đó
  • Thiết lập cơ sở dữ liệu ở mức người quản trị hệ thống vẫn có khả năng làm tốt công việc của mình mà không bao giờ thấy được dữ liệu thô của khách hàng (việc này khó, nhưng không phải là không làm được).
Cũng có ý kiến nói rằng Money Lover không cần lưu mật khẩu lên máy chủ của họ mà vẫn lấy được thông tin tài khoản. Điều này hoàn toàn có thể, khi đó username và password sẽ được chứa trong điện thoại di động của người dùng với mức độ mã hóa cực kì cao. Mỗi khi chạy app và lấy giao dịch mới, app sẽ dùng username password này để trích xuất thông tin tài khoản ra. Nhưng điểm hạn chế đó là bạn buộc phải chạy app thì mới có được thông tin giao dịch, không thể tự động hóa và phục vụ cho mục đích thống kê của Money Lover.

Mình có tham khảo ý kiến của anh Thai Duong đang công tác tại Google, ảnh có chia sẻ là nếu ảnh làm hệ thống cho Money Lover, ảnh sẽ dùng một server riêng biệt để lưu thông tin username password tài khoản ngân hàng của người dùng. Máy chủ này chỉ và chỉ có thể được truy cập từ máy chủ chính nơi đặt crawler. Các server Amazon Web Services mà Money Lover đang sử dụng hoàn toàn làm được điều này thông qua cách chặn IP, các lớp tường lửa, chặn địa chỉ MAC...

server_arch_money_lover.png

Anh ấy cũng gợi ý máy chủ lưu mật khẩu nên xài dịch vụ Amazon KMS. Dịch vụ này sẽ quản trị các key dùng mã hóa mật khẩu tài khoản ngân hàng. Mỗi khi crawler hoạt động và lấy mật khẩu người dùng để trích xuất giao dịch mới, nó sẽ phải gửi yêu cầu tới cho Amazon KMS. Nếu hacker chui vào được, sẽ có những yêu cầu lạ và Amazon KMS có thể cảnh báo cho Money Lover về điều đó.

Cuối cùng, anh này gợi ý các máy chủ cần phải tách biệt nhau. Ở trên chúng ta đã có máy chủ lưu username và password của người dùng nằm riêng, giờ tách luôn máy chủ của Money Lover, máy chủ của crawler cũng như máy chủ lưu thông tin giao dịch. Bằng cách này, Money Lover có thể hạn chế quyền truy cập của chính nhân viên mình: đội ngũ làm crawler chỉ có quyền truy cập vào server crawler, đội làm app chỉ vô được server app, tương tự như thế. Quá trình đưa ứng dụng, trên cả server lẫn mobile, cũng cần được tự động hóa để hạn chế tối đa sự can thiệp từ con người.

Tất nhiên, những giải pháp này đều cần chi phí lớn, thiết kế phức tạp, cần tối ưu nhiều nếu không sẽ làm chậm quá trình truyền thông tin giữa các máy chủ. Money Lover có thể đi tìm các tư vấn, giám sát và kiểm toán để giúp họ triển khai hệ thống bảo mật tốt hơn.

Trước khi hết bài viết, có thể bạn sẽ hỏi: vậy có nên xài Money Lover hay các ứng dụng aggregator hay không? Do không có hệ thống nào an toàn 100% nên quyết định này nằm ở cá nhân bạn, và nó cũng còn phụ thuộc nhiều vào yếu tố niềm tin của bạn dành cho aggregator. Nếu tin thì dùng, không không đủ tin thì không yêu.

Nếu quyết định có sử dụng, bạn nên hạn chế rủi ro cho mình bằng cách chỉ link các tài khoản chi tiêu vào Money Lover hay aggregator nói chung, còn tài khoản tiết kiệm hay tài khoản có nhiều tiền thì không nên link vào. Bạn cũng nên thường xuyên thay đổi mật khẩu tài khoản ngân hàng như khuyến cáo của họ, có thể là 3-6 tháng thay đổi một lần để lỡ như tài khoản có bị hack âm thầm thì cũng giảm thiểu số tiền có khả năng bị mất. Ngoài ra, như vài anh em Tinh tế có nói vui: nếu tài khoản của bạn là "quỹ đen", không muốn cho ai biết giao dịch thì cũng không link vào.

Sẵn chia sẻ luôn cho anh em: tài khoản chi tiêu, nhận lương chỉ nên để lại một ít tiền vừa đủ xài trong đó, có bao nhiêu tiền còn lại hãy chuyển sang tài khoản tiết kiệm. Bạn vừa nhận được lãi suất cao hơn, vừa an toàn hơn trong trường hợp thẻ tín dụng bị ăn cắp hay username, password online bị trộm (muốn rút tài khoản tiết kiệm phải đến ngân hàng, không làm được online nếu chưa tới ngày đáo hạn).

Ngày mai bạn lập trình viên của Tinh tế, Đào Hoàng Sơn (@mrpaint), sẽ chia sẻ với các bạn kĩ hơn về những thử nghiệm của bạn này liên quan tới tính bảo mật của các trang web và ứng dụng của một số ngân hàng Việt Nam. Các bạn hãy chờ xem nhé!


Tham khảo: Reuteurs, Time, New York Time, Amazon
cv.jpg
em nghĩ là ko có gì là tuyệt đối cả, nhập tay cho an toàn
@Hoàng Đức Tân KEYLOG
@Hybrid Gs ý là nhập các khoản ra vào bằng tay ý ạ
vanthaopham
ĐẠI BÀNG
4 năm
thôi xong. money love của em. ... gỡ ngay
xxTKZ
TÍCH CỰC
4 năm
@traind Người ta ko xài thì có quyền remove , ai cấm ko cho remove gì ko bạn ?
traind
CAO CẤP
4 năm
@xxTKZ Cái vấn đề giao acc và mk cho 1 1 bên thứ 3 chả cần có mấy bài báo viết thì cũng phải biết có nguy hiểm rình rập. Quan trọng bên thứ 3 có uy tín và làm tốt vụ bảo mật hay ko thôi? Bao nhiêu hãng nổi tiếng còn bị đánh cắp nữa nói gì đến money lover này.
Sợ mất acc thì đừng có nhập nữa acc vs pass ngân hàng vào nữa. Mà vn toàn dùng thẻ ATM nội địa ko phải vísa hay mastercard, muốn giao dịch dc thì phải có mã OTP cung chưa đến lỗi phải quan ngại như vậy
@vanthaopham gỡ hay không không quan trọng, quan trọng là đã cung cấp user/pwd chưa, cung cấp rồi thì gỡ cũng thế
@summerrain_90 Gỡ và đổi pass sẽ an toàn, sao "cũng thế" được!
mrford105
TÍCH CỰC
4 năm
giao dịch vcb online cần code nhắn vào đt nữa, không sao đâu, mình giữ điện thoại nên dù có viết id và password thì cũng không giao địch
@mrford105 ATM nội địa còn có OTP, chứ thẻ Visa giao nó: số thẻ, ngày hết hạn và 3 con số CVC là xong phim.
@Duy Luân: đồng ý vụ mã hóa password 256 là an toàn, khó bị giải mã, nhưng có trời mới biết trước khi lưu vô database chính, nó có lưu ở 1 nơi nào đó ko được mã hóa ko??? Còn vụ qua mặt Captcha thì rõ ràng Money Lover có hành động hack, cần làm rõ. Chưa có vụ án nào xảy ra cho người dùng ML, tất nhiên ko ai hack mà chường mặt ra cho người ta nghi ngờ, mà thay vào đó tuyên bố sever ML bị hack, xin lỗi ỉ ôi là thoát trách nhiệm cho mọi hành động gây thiệt hại về sau. Đừng so với Mint, uy tín ML còn lâu mới bằng họ.
@duongtunglam Mình không nói chất lượng dịch vụ ngang nhau, mình chỉ nói về mô hi2h, cách hoạt động.
duhd
ĐẠI BÀNG
4 năm
@mrford105 Với lỗi bảo mật không bao giờ fixed (SS7) thì gửi mã xác thực qua mạng di động chưa bao giờ là an toàn.
saimoto
ĐẠI BÀNG
4 năm
@mrford105 Lúc trước ACB bị vài tình trạng là 1 hacker ở Thanh Hóa ra trung tâm viettel đòi nhân viên này cấp lại sim, quy trình cấp sim khá dễ chỉ cần 5 số thường gọi là xong, như thế thì biết password và cả số đt thì hacker đó đã hack đc mấy chục triệu. Vụ này có lên báo đó bạn
Cam giac tinhte đang bảo vệ app money lover
@kevin2210 Không bảo vệ nhé, chẳng việc gì phải bảo vệ cả. Mình chỉ muốn mọi người hiểu rõ hơn về những gì đang diễn ra thôi à.
@Duy Luân Rất thích chia sẻ sẻ của Duy Luân, mình đọc bài không thấy có một từ nào gọi là bênh Money lover, không hiểu bạn ấy nghĩ gì?
vanthaopham
ĐẠI BÀNG
4 năm
AD cho hỏi: vậy mình có liên kết acc bank với viettel ( bank plus), Vnpay có sao không ?. tại ham km chiết khấu 😁 Không thấy phát đi thông tin gì cả 😆. ad làm mình tự dưng lo lo
@vanthaopham Mình không rành :D nhưng có vẻ như BankPlus và các ngân hàng có làm khá chặt với nhau. Cái này phải QA với chính BankPlus mới có câu trả lời chính xác về cách họ lấy dữ liệu
@vanthaopham Mình nghĩ với bankplus thì ok, tại chưa thấy ai hay thông tin nói bị gì liên quan đến nó cả.
@hung_hy88 Đang muốn thử BankPlus quá mà không có sim viettel
@Duy Luân Công ty mình có mấy người dùng sim vina và mobi cũng phải mua thêm 1 sim viettel để dùng bankplus vì tính tiện dụng của nó, chứ dùng qua mạng nhiều khi cũng ko an tâm lắm, dùng wifi ko cẩn thận lại mất tiền oan.
@hung_hy88 Bank plus là ứng dụng của viettel và có hợp tác với Vietcombank nên mình tin tưởng và sài không sao cả. Mình đương sài rất tốt!
xe360.vn
TÍCH CỰC
4 năm
Mod thông thái nhỉ
@xe360.vn Không dám nhận. Mình chỉ đơn giản là chia sẻ những gì mình biết thôi
xe360.vn
TÍCH CỰC
4 năm
@Duy Luân Thì Mod biết nhiều nên em khen Mod thông thái.. đúng mà
hennaotoko
TÍCH CỰC
4 năm
@Duy Luân Chia sẻ của mod có tính định hướng cao lắm đấy.
@Duy Luân Bài này Bạn @Duy Luân đã tìm hiểu kỹ từ các bên để viết bài, không ủng hộ cũng không chống ai cả. Khác hẳn bài đầu tiên giới thiệu về ML có hơi hướng quảng cáo và chưa tìm hiểu về cơ chế link tài khoản cùng các nguy cơ từ việc link đó. Ủng hộ bạn viết những bài như thế này để người dùng tự quyết định lựa chọn của mình 😃.

Tuy nhiên cũng nên đề cập đến trường hợp các thông tin khách hàng mà ML thu thập được rất đáng giá, không cần phải dùng tiền của khách hàng, chỉ cần sử dụng thông tin chi tiêu khách hàng rồi bán ra bên ngoài sẽ kiếm được rất rất nhiều tiền từ những thông tin giá trị này. Bạn nên bổ sung vào bài viết điều này. Thậm chí thói quen đặt user/pass của khách hàng cũng có thể được thống kê để bán cho các bên cần dùng thông tin này.
tonion
TÍCH CỰC
4 năm
Giờ tài khoản tiết kiệm có kì hạn online có thể gửi và rút trực tuyến được rồi nhé. Ít nhất là ở BIDV
Vinhhm
ĐẠI BÀNG
4 năm
@Duy Luân Khi hacker Có pass và usename thì vào online tất toán trước hạn rồi xử lý tiếp thôi, sao lại phải chờ đến hạn? 😁
Vmemory
CAO CẤP
4 năm
@Duy Luân
Có 1 điều cuối mod ghi chưa chính xác: Mình đã dùng qua gửi tiền tiết kiệm của TPbank, không cần ra ngân hàng khi chưa đến hạn, cứ thế mà rút về thôi (mình gửi điện tử, khi rút về tài khoản thẻ cũng qua mobile luôn). Các ngân hàng khác như thế nào thì mọi người test nhé
Khanh Rô
ĐẠI BÀNG
4 năm
@Duy Luân VCB cũng có tài khoản tiết kiệm online có thể tất toán trước hạn không lấy lãi suất bị lấy mất user pass thêm cái vụ làm lại sim mới với 5 số đt thường gọi thì rủi ro mất tiền rất là cao. Một người bạn của bạn mình đã bị mất tự nhiên có 5 số điện thoại lạ gọi vào bắt máy không ai trả lời bữa sau sim mất sóng tưởng hư sim sau khi làm lại thì bị chuyển tiền ngân hàng mất tiêu
tonion
TÍCH CỰC
4 năm
@dragon961 😁 PR có nghề thì phải để lại liên hệ gì đó chứ, đúng là mình làm bên BIDV thật và mình chỉ chia sẻ thế thôi :D
Phuongkak
TÍCH CỰC
4 năm
ghi ra sổ tay cho an toàn nhất :v, về thời đồ đá
mới đọc bài Thái làm google xong đã có video trên này luôn òi mod quá nhanh. mình nghĩ có thêm xác thực 2 bước nên ko lo lắm, app củng chỉ lấy dữ liệu bẳng crawler nên ko thể tự động giao dịch được.
duhd
ĐẠI BÀNG
4 năm
@ngo Nhut Truong Với lỗi bảo mật không bao giờ fixed (SS7) thì gửi mã xác thực qua mạng di động chưa bao giờ là an toàn.
@duhd lậy hồn lại đọc lỗi ss7. bạn biết cách khai thác nó chua, điều kiện đẻ khai thác lỗi, hay lại đọc bọn lều báo genk
Đã đọc hết bài. VCB không cung cấp api cho bên thứ 3, nên nếu khách hàng mất tiền xuất phát từ những bên này thì VCB sẽ không có trách nhiệm. Tốt nhất là các ứng dụng như thế này nên đàm phán hợp tác lấy api để cho khách hàng yên tâm.
Việc rò rỉ password, cho dù có OTP vẫn rất nguy hiểm vì từ đó có thêm hàng tá cách để tấn công
@cheetah_fast Nếu mở API thì khi đăng nhập b sẽ đc chuyển sang đn trên trình duyệt, đăng nhập ở chính hệ thống của vcb luôn. Sau khi đn vcb sẽ hỏi b có đồng ý cấp quyền abc xyz cho ML ko. Mà việc b đăng nhập ở hệ thống của VCB mà bị lộ pass mình chả thấy nó liên quan gì tới ML cả
lonelydra
TÍCH CỰC
4 năm
@If you dont mind Việc giao tài khoản và mật khẩu cho 1 bên thứ 3 mình vẫn thấy rủi ro cao dù VCB có cung cấp API hay không.
Mình có đọc nhiều bài viết chỉ cần biết địa chỉ email đăng ký mà hacker có được tài khoản ngân hàng đầy đủ, kể cả sim điện thoại để nhận OTP nữa. Như vậy mới biết nó rủi ro thế nào.
trongtan7411
ĐẠI BÀNG
4 năm
@Duy Luân Vcb là ngân hàng có máu mặt ở vn, thị phần cũng cao nên người ta có quyền chảnh mà. Chơi mấy app này thấy phê quá, tiện lợi thì có mà rủi ro cũng tăng theo.
Hồi trước em xài vcb online thấy có gửi rút tiết kiệm trực tuyến mà . H lại k cho khi chưa tới hạn hả ad?
KevinBui1111
ĐẠI BÀNG
4 năm
@tomyqx Dịch vụ của VCB nói chung là đi chậm hơn so với các ngân hàng khác vài năm. Mình vào phòng giao dịch của ACB hay sacombank 3,4 năm trước đều có người đứng ở cổng hướng dẫn lấy số và phục vụ rất chuyên nghiệp, còn vào PGD của VCB thì chả có số gì cả, chỉ nộp cmnd vô và ngồi chờ cả tiếng gọi tên, nhiều khi vô cũng không biết nên vào quầy nào. Chỉ vài tháng gần đây mới có.
Không có gì là tuyệt đối cả.
Hiện tại thì Money Lover có thể khá an toàn nhưng làm sao biết được trong tương lai sẽ thế nào. Có thể họ bán thông tin hoặc bị tin tặc xâm nhập. Tốt nhất là đừng quá tin mà giao túi tiền của mình cho người khác.
@#JK Thật ra thì chẳng có ai khá an toàn đâu bạn, chỉ là khi nào mới bị hack thôi. Công nghệ luôn thay đổi hàng phút mà 😁 . Theo mình nên nhập tay, đừng link acc bank vào làm gì cả :p
Để tăng lòng tin cho khách hàng, những ứng dụng như Money Lover phải có 1 cam kết với người sử dụng là không làm lộ thông tin và gây phát sinh giao dịch trái phép. Ngoài ra nếu có thể mua bảo hiểm luôn cho khách hàng thì càng tin cậy hơn.
@sskkb Vụ cam kết và term & condition có rồi đó bạn. Bảo hiểm thì chưa thấy =))
@Duy Luân Bảo hiểm rất rẻ, mà thường chỉ mua cho khoảng <1% số khách hàng thôi, hoặc mua đại diện 10-20 suất, sau đó ngồi cầu khấn và lập trình bảo mật cho tốt để hệ thống ko bị hack.
xyzmen
CAO CẤP
4 năm
Sắm một em thư ký xinh đẹp ghi chép... Một công "đôi" việc...
hoasua800
TÍCH CỰC
4 năm
Muốn đọc nhưng dài quá.
@hoasua800 Coi video di 😁
Ghê quá. Đang dùng cái này. A Vịt teo mà bị hack thì mất sạch. Hix
ImageUploadedByTinhte.vn1469369864.742941.jpg
vit123456
ĐẠI BÀNG
4 năm
@hackieuhoang theo mình nghĩ tool này chỉ là việc họ làm cái giao diện cho việc bạn phải ấn *123# thôi. khi bạn xác nhận thanh toán thì là bạn nhập tay mà ^^
Funnyclock
TÍCH CỰC
4 năm
BACK TO BASIC :go:
dùng thẻ tín dụng thì dùng dạng Vísa debit hay tương tự. Muốn chi hơn cũng chả có mà chi 😃
Cách bảo mật của mình là xài thoải mái bằng thẻ tín dụng và nợ đầm đìa, thế là khỏi lo bị hack mất tiền 😁
@SuzukiAxeloHPcity rùi cuối tháng nhận sao ke xong ra cầu sài gòn giải quyết :D:D:D
hiepps
TÍCH CỰC
4 năm
@SuzukiAxeloHPcity Nó xài chung cho nợ hơn.
Cá nhân
Bạn
Hi bạn!
Điểm Reward Store: 
Tuổi Tinh tế: 
Cấp độ thành viên Tinh Tế


Tải app Tinh tế

Tải app Tinhte - Theo dõi thông tin mà bạn yêu thích

Tải app TinhteTải app Tinhte
Tải app Tinh tế cho Android trên Google PlayTải app Tinh tế cho iPhone, iPad trên App Store



Cộng đồng nổi bật




  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2020 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: 209 Đường Nam Kỳ Khởi Nghĩa, Phường 7, Quận 3, TP.HCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019