Người dùng Uber đang café ở Tp.HCM bỗng dưng bị thông báo trừ tiền vào thẻ do đi xe uber tại Hà Nội… Lợi dụng sơ hở, kẻ xấu sẽ chiếm đoạt tài khoản Uber và chu du khắp nơi bằng tiền của nạn nhân.
Thời gian vừa qua, có rất nhiều trường hợp người dùng Uber ở Việt Nam bị trừ tiền trong thẻ do đi xe ở một nơi nào đó, thậm chí ở nước ngoài như Nga, Úc, Trung Quốc và nhiều nơi trên thế giới. Kẻ xấu chiếm đoạt tài khoản Uber, sau đó thay đổi số điện thoại, email rồi nghiễm nhiên dùng Uber trên khắp thế giới. Sau đó tiền bị trừ thẳng vào thẻ Visa; Master Card hoặc Amex… tùy theo tùy chọn thanh toán trước đó của người dùng. Lựa chọn duy nhất mà người dùng Uber có thể làm lúc đó là hủy phương thức thanh toán qua thẻ. Có rất nhiều nghi vấn xung quanh vấn đề này, là Uber bị hack hay email của khách hàng bị lộ thông tin.
Đang thưởng thức café với bạn ở quận 4, anh Bùi Thái Sơn, Nhân viên kế toán một công ty bảo hiểm tại Tp.HCM, bất ngờ nhận được thông báo từ email yêu cầu đổi mật khẩu tài khoản Uber. Anh Sơn chia sẻ: Trước đó 2 ngày, anh cùng gia đình có đi xe uber và thanh toán bằng thẻ của ngân hàng Standard Chartered. Ứng dụng yêu cầu nhập số Thẻ và “3 chữ số đuôi” quan trọng để tiến hành thanh toán. “Các thông tin về Thẻ này rất quan trọng. Tôi lo ngại, hacker có thể có được thông tin này từ hệ thống App của Uber để tiến hành đi Uber hay thanh toán mua hàng trên các trang thương mại điện tử”
Anh Sơn, cho biết: đã vào email thay đổi mật khẩu tài khoản uber. Tuy nhiên, vẫn không sử dụng được dịch vụ uber vì ứng dụng thông báo “Tài khoản uber và số điện thoại này đã được thay đổi”. Sau khi tìm hiểu thêm thì anh Sơn biết được số địa chỉ IP của người dùng tại Tp.Hà Nội đang hack vào tài khoản của mình. Anh Sơn liền báo ngay cho Ngân hàng Standard Chartered kiểm tra các giao dịch phát sinh và khóa lại Thẻ thanh toán của mình.
Lời khuyên dành cho hành khách sử dụng Uber hay những nền tảng khác là nên sử dụng mật khẩu mạnh, tránh dùng những mật khẩu dễ đoán hay mặc định, do đó, sẽ dễ bị phát hiện và bị đánh cắp. Người dùng nên sử dụng các mật khẩu khác nhau cho mỗi dịch vụ khác nhau. Kẻ xấu thường tìm cách lấy tên người dùng và mật khẩu của họ từ một ứng dụng hay trang web, và sau đó sẽ sử dụng chúng để cố gắng đăng nhập vào những ứng dụng và trang web khác mà họ có tài khoản khác.
Đại diện Uber Việt Nam khuyến cáo: Khi tham gia hoạt động trên web, người dùng luôn phải thận trong với hành động lừa đảo; kiểm tra các trang web thật kỹ bằng cách luôn phải để ý đến địa chỉ web/đường dẫn, ví dụ như tên chính xác tổ chức doanh nghiệp www.uber.com hay các tổ chức tín dụng/ngân hàng cần kiểm tra có chứng thực trên thanh địa chỉ website; những trang lừa đảo có thể ghi là www.u.ber.com hay có website gần giống với tên tổ chức doanh nghiệp nhưng là giả mạo… Người dùng cũng nên cẩn trọng để không phải bị dẫn vào các màn hình đăng ký/đăng nhập giả, vì đó là nơi mà những tên trộm có thể đánh cắp mật khẩu của họ. Nếu nghi ngờ, người dùng nên đánh lại tên trang web trực tiếp. Một cách an toàn khác là người dùng nên liên tục cập nhật các trình duyệt mà họ sử dụng.
Vài tháng trước, một người dùng Uber Việt Nam tại Hà Nội cũng bị đánh cắp tài khoản để đặt xe tại Moscow (Nga) và bị trừ hơn 3 triệu đồng trong tài khoản thẻ tín dụng. Ngay sau đó, anh gọi đến ngân hàng để yêu cầu khóa thẻ cũng như yêu cầu tra soát dịch vụ. Hacker đã dùng tài khoản Uber của anh thay đổi số di động trong phần thông tin cá nhân sang một số điện thoại của Nga. Hacker đã dùng tài khoản Uber này đi một vòng quanh thủ đô nước Nga với chi phí hơn 3 triệu đồng. Do số điện thoại theo tài khoản đã bị thay đổi nên nạn nhân không thể đăng nhập thông qua điện thoại mà chỉ có thể vào được bằng email. Sau đó, nạn nhân đã thông báo với phía Uber để nhờ hỗ trợ thì được đơn vị này can thiệp khôi phục tài khoản. Số tiền anh này đã bị trừ từ thẻ tín dụng cũng được Uber trả lại vào tài khoản ngân hàng.
Trước đó, nhà nghiên cứu an ninh Anand Prakash đã khám phá ra lỗ hổng này hồi tháng 8 và được Uber cho phép thử nghiệm lỗ hổng tại Mỹ và Ấn Độ. Ông đã khai thác thành công lỗ hổng và kiếm những chuyến xe miễn phí ở cả hai địa điểm trên. Sau khi phát hiện ra, Prakash đã gửi thông tin về lỗ hổng này tới chương trình săn tiền thường của Uber. Nhiều công ty công nghệ khác cũng mở các chương trình săn tiền thưởng như là một cách để tăng cường khả năng bảo mật cho sản phẩm. Hacker có thể nhận được từ 100 USD – 10.000 USD từ Uber tùy thuộc vào độ nghiêm trọng của lỗ hổng và ảnh hưởng của nó đến khách hàng. Uber đã lập tức vá lỗ hổng này ngay khi ngày ông Prakash gửi báo cáo và thưởng cho Anand Prakash 5.000 USD. Chương trình săn tiền thưởng của Uber hợp tác với các nhà nghiên cứu an ninh trên toàn thế giới để khắc phục lỗi, thậm chí khi chúng không trực tiếp ảnh hưởng đến người sử dụng.
