Khách tố bị lộ thông tin thẻ khi đặt phòng trên Booking, Agoda
Đặt phòng qua trang Booking hay Agoda, những tưởng thông tin thẻ VISA của khách hàng được giữ kín, nhưng hóa ra không phải.
Anh Hiền Vũ, ngụ TP.HCM, có đặt phòng đi nghỉ ở Phú Quốc hồi giữa tháng 1-2018 qua trang Agoda.
Sau khi đặt phòng thì website yêu cầu anh Hiền nhập thông tin thẻ VISA - dù rằng anh đặt phòng theo kiểu trả tại khách sạn.
Vì tin tưởng Agoda và tin câu xác nhận của Agoda rằng thông tin thẻ VISA của khách "đều được mã hóa, được bảo vệ và đảm bảo an toàn" nên anh Hiền Vũ đã làm theo.
Sau đó, anh nhận được mã phòng đặt khách qua email.
"Lúc đó tôi vẫn chưa bị thu tiền do tôi chọn trả khi đến nhận phòng, và thực tế thẻ cũng không đủ tiền để chi hết số ngày nghỉ", anh Hiền nói.
Tuy nhiên, khi làm thủ tục tại resort anh Hiền đã vô tình thấy được tờ giấy mà nhân viên của resort lấy ra kiểm tra, trong đó có tất cả các thông tin về thẻ VISA của anh, từ tên số thẻ đến cả số thẻ CVC, ngày hết hạn… và phía resort cho biết toàn bộ thông tin cho phía Booking cung cấp.
Theo anh Hiền, với những thông tin như vậy, lại được in ra giấy, bất kỳ ai cũng có thể đọc được, nguy cơ thẻ bị lộ và bị kẻ xấu lợi dụng là rất lớn, nếu có rủi ro xảy ra cũng khó xác định được là lỗi của ai.
"Tôi không có nhiều kiến thức về thẻ VISA nhưng đủ biết rằng với 4 thông tin mà khách sạn đã in ra thì bất kỳ ai cũng có thể sử dụng thẻ VISA của mình để thanh toán cho các giao dịch online nếu thẻ đó không bị khóa chức năng giao dịch online", anh Hiền nói.
Từng sử dụng thẻ để giao dịch đặt phòng nhiều lần nên anh Hiền hiểu khai thông tin thẻ là bước bắt buộc mọi người phải thực hiện lúc đặt phòng, một phần cũng là để "làm tin" cho việc đặt phòng.
Tuy nhiên, vấn đề là đáng lý chỉ Agoda bí mật cho khách thì lại gửi đầy đủ thông tin đi thay cho một đoạn thông tin mã hóa mà qua đó khách sạn có thể lấy đúng số tiền đặt phòng.
Phản hồi tới Agoda, anh Hiền được đại diện trang đặt phòng cho rằng "Về nguyên tắc là thông tin thẻ sẽ được bảo mật, bên khách sạn chỉ biết thông tin đã được mã hóa".
Tuy nhiên khi anh Hiền đưa các bằng chứng cho thấy không như vậy thì phía Agoda tiếp tục bảo vệ quan điểm rằng họ không sai, và không có vấn đề gì về bảo mật xảy ra.
Theo đại diện Booking.com thì giữa Agoda (Booking và Agoda cùng một chủ sở hữu) và các đối tác các đối tác có thỏa thuận nội bộ riêng và cam kết sẽ không cung cấp những thông tin này cho bên thứ ba trái phép cũng như làm nguy hiểm đến thẻ VISA của khách!
Giám đốc một doanh nghiệp lữ hành cho biết quy trình diễn ra với khách hàng Hiền Vũ là thực tế đang diễn ra với loại hình đặt phòng trả sau tại khách sạn do các trang đại lý trực tuyến (OTA) chỉ là trung gian giới thiệu khách và bán phòng cho khách sạn.
Trang OTA sẽ phải cung cấp thông tin thẻ cho khách sạn để đảm bảo đây không là booking ảo. Nếu khách không tới hay không có tiền mặt để trả thì khách sạn sẽ thanh toán vào thẻ này.
Booking "đổ lỗi" cho đối tác
Anh Hiền Vũ cho rằng phía Booking hay Agoda cung cấp thẻ của khách cho đối tác của họ mà không mã hóa là khả năng lộ thông tin thẻ của khách cực kỳ cao.
Trao đổi với Tuổi Trẻ Online, đại diện Booking.com cho biết toàn bộ thông tin thẻ tín dụng được Booking.com chuyển đến đơn vị nhận đặt phòng một cách an toàn thông qua mô hình được bảo vệ bằng mật khẩu, sử dụng xác thực 2 yếu tố (Two-factor authentication).
Tuy nhiên, Booking.com cho rằng sau đó phụ thuộc vào các đơn vị nhận đặt phòng để đảm bảo rằng họ tuân thủ tiêu chuẩn bảo mật cao khi họ có thông tin khách hàng, đồng thời cho biết các đối tác của trang này cũng đồng ý với chính sách này.
"Trong trường hợp hiếm hoi mà chúng tôi phát hiện được hành vi không đúng của đối tác, chúng tôi sẽ điều tra ngay lập tức, như chúng tôi đang làm trong trường hợp này", đại diện Booking.com cho biết.