Một tài khoản Facebook mới đây đăng tải trên trang cá nhân cảnh báo mọi người trước nguy cơ lộ thông tin thẻ VISA từ các trang đặt phòng như Agoda, Booking thông qua câu chuyện sử dụng dịch vụ của chính anh vào những ngày giữa tháng 1.
Anh H.Vũ, chủ nhân tài khoản nói trên cho biết, tối ngày 14/1/2018, anh có đặt phòng tại một resort ở Phú Quốc (Việt Nam) thông qua trang Agoda. Sau khi đặt phòng, trang web này yêu cầu anh nhập thông tin thẻ VISA – dù anh cho biết mình đặt phòng theo kiểu trả tiền ngay tại khách sạn.
Vì tin tưởng Agoda, tin câu xác nhận của Agoda rằng “Tất cả thông tin thẻ đều được mã hóa, được bảo vệ và đảm bảo an toàn” nên anh H.Vũ đã cung cấp thông tin mà không đọc chi tiết về “Chính sách bảo mật” và “Điều khoản chung”.
“Sau đó, tôi nhận được một email với nội dung xác nhận rằng tôi đã đặt phòng trên Agoda, và kèm theo đó là câu “Lưu ý đến khách sạn: Đặt phòng của booking.com theo mã số 1983089531”. Thanh toán cho đặt phòng này sẽ được thu bởi khách sạn. Như vậy nghĩa là khi đó website Agoda đã tự chuyển thông tin đặt phòng của tôi, bao gồm cả thông tin thẻ VISA cho trang booking.com”, anh H. Vũ cho biết.
Theo anh H.Vũ, ban đầu anh cũng không để ý việc này, nhưng khi đến resort thì anh đã nhận được thông tin rằng thông tin đặt phòng của anh được cả Agoda và Booking gửi đến. Đáng lưu ý là trong tờ giấy mà nhân viên của resort lấy ra kiểm tra, anh H. Vũ phát hiện có tất cả thông tin về thẻ VISA của anh, từ tên, số thẻ, SỐ THẺ CVC, ngày hết hạn thẻ.
“Theo như nhân viên resort cung cấp thì thông tin này là do booking.com gửi. Tôi có hỏi thông tin do Agoda gửi thì nhân viên resort không cho tôi xem vì trên đó có giá phòng, do đó tôi không biết là Agoda có làm điều tương tự – gửi toàn bộ thông tin thẻ VISA của tôi cho resort – hay không”, anh H. Vũ bức xúc cho hay.
Vì số tiền thực tế đang có trong thẻ không nhiều, nên anh H. Vũ chưa thông báo ngay đến resort mà sau khi kết thúc chuyến đi, vào tối ngày 17/1 anh mới gửi email khiếu nại đến Agoda để chờ câu trả lời.
Đến 8h30 sáng ngày thứ 5, 18/1, anh H. Vũ đã nhận được email phản hồi của Agoda thông báo đã chuyển câu hỏi của anh H. Vũ đến bộ phận cấp cao hơn; tuy nhiên, anh H. Vũ chờ đến 6h chiều cùng ngày vẫn không thấy thông tin nào khác nên anh quyết định gọi lên Agoda để tìm hiểu.
“Lúc này, tôi nhận được câu trả lời vòng vo của nhân viên Agoda, như “yêu cầu này bên em đã chuyển đến cấp cao, em không được phép xử lý mà chỉ có thể giải thích chung cho anh” “Agoda với Booking là cùng hệ thống nên đặt thông tin trên Agoda là tự chuyển sang Booking”, “về nguyên tắc là thông tin thẻ sẽ được bảo mật, bên khách sạn chỉ biết thông tin đã được mã hóa” “cấp trên bên em rất bận, nên anh thông cảm chờ” “thời gian giải quyết là 48h” …
Không còn cách nào khác, anh H. Vũ quyết định chờ đợi. Sau đó, anh H. Vũ đã nhận được email của người tên Peter, cho biết làm ở bộ phận “Agoda Customer Satisfaction Team”, giải thích rằng: giữa Agoda và các đối tác có thỏa thuận nội bộ riêng và họ (Agoda và các đối tác) sẽ không cung cấp những thông tin này cho bên thứ ba trái phép. Người này đã cung cấp một đoạn “terms of use” để chứng minh với anh H. Vũ về việc này.
Theo anh H. Vũ, kể cả trong nội dung “terms of use” được nêu ra, cũng có nói rõ là thông tin thẻ VISA sẽ được bảo mật bởi “Secure Socket Layer (SSL)” (tương tự như nội dung cam kết trong trang điền thông tin thẻ VISA).
“Nhưng điều tôi bắt gặp được là thông tin thẻ VISA của tôi được gửi cho resort một cách nguyên vẹn, đầy đủ theo đúng những gì tôi nhập vào chứ không hề có một sự bảo mật nào”, anh H. Vũ nói rõ.
Không đồng ý với nội dung trả lời, anh H. Vũ sau đó đã gửi lại một email yêu cầu phía Agoda xem lại thật kỹ nội dung mà anh đã gửi, đồng thời anh cũng gửi cho phía Agoda hình chụp tờ giấy mà resort đã in ra (có thông tin thẻ VISA của anh), để Agoda xem xét kỹ hơn và ý thức được sự nguy hiểm của vấn đề này.
Một lần nữa, Agoda đã phản hồi, khẳng định rằng họ cung cấp thông tin thẻ tín dụng cho đối tác bởi vì các bên đã có thỏa thuận chính thức là sẽ không làm rò rỉ thông tin. Và Agoda cũng khẳng định rằng họ sẽ không làm bất kỳ điều gì dẫn đến sự nguy hiểm cho thẻ VISA của khách hàng, cũng như không quan tâm đến việc là khách hàng suy nghĩ gì về việc này (we will not make any comment on the way how the guest consider for this senario).
Đến lúc này, anh H. Vũ cho biết sẽ không tiếp tục tranh luận với Agoda. “Họ hoàn toàn bỏ qua việc rằng thông tin thẻ VISA của tôi bị gửi cho resort và resort đã in thông tin này ra giấy và sử dụng như những thông tin bình thường khác, không hề có một sự bảo mật nào. Họ chỉ chăm chăm một điều rằng: việc họ gửi thông tin này là vấn đề của giao thức kinh doanh, và họ cùng đối tác đã có thỏa thuận bảo mật thông tin (nên họ không chịu trách nhiệm gì về việc này). Thế nhưng, thỏa thuận kinh doanh này của Agoda là việc của họ và đối tác, tôi (và tất cả các bạn – là khách hàng của họ) không biết và không cần biết đến sự thỏa thuận này mà chỉ cần biết rằng: tôi đã đưa thông tin cá nhân của tôi cho Agoda, vậy thì Agoda phải bảo mật nó, nếu nó rò rỉ ra ngoài mà nguồn gốc thông tin rò rỉ xuất phát từ Agoda (trực tiếp hoặc gián tiếp) thì chính Agoda phải có trách nhiệm. Còn ở đây, tất cả nội dung mà Agoda trả lời chủ yếu chỉ nhằm vào việc “chối bỏ trách nhiệm””, anh H. Vũ chán nản kết luận.
Từ câu chuyện của mình, anh H. Vũ cảnh báo mọi người nên đọc kỹ những nội quy, quy định, chính sách, điều lệ của website trước khi đồng ý nó; đặc biệt là với những trang yêu cầu bạn phải cung cấp thông tin cá nhân, thông tin thẻ VISA như Agoda, Booking. Bên cạnh đó, cần cân nhắc kỹ trước khi quyết định sử dụng dịch vụ của Agoda, Booking vì từ trường hợp của cá nhân anh H. Vũ cho thấy việc Agoda gửi thông tin VISA của khách hàng cho những đối tác khác là việc hoàn toàn bình thường với đơn vị này.
“Họ không hề tỏ ra lo lắng, nghi ngại gì về việc này ngoài việc khẳng định rằng họ không xem đó là việc rò rỉ thông tin. Và tốt nhất là – đừng sử dụng dịch vụ đặt phòng của Agoda – nếu họ yêu cầu các bạn cung cấp thông tin cá nhân của mình”, anh H. Vũ cảnh báo trên trang cá nhân của mình.