Khách hàng tố bị lộ thông tin thẻ VISA khi đặt phòng qua Agoda, Booking.com

Chỉ cung cấp thông tin thẻ VISA khi đặt phòng trực tuyến trên Agoda nhưng một khách hàng lại thấy tất cả thông tin về thẻ tín dụng của mình tại nơi nhận phòng được in ra giấy rất chi tiết.

Thông tin thẻ tín dụng bị in ra giấy ở resort

Để đáp ứng nhu cầu đặt phòng khách sạn của người dân trong nước lẫn nước ngoài, nhiều trang đặt phòng trực tuyến đang ngày càng phát triển. Thế nên, vấn đề bảo mật thông tin cho khách hàng trở nên cần thiết hơn bao giờ hết.

Vậy mà, mới đây một vị khách “tố” bị lộ thông tin thẻ VISA khi đặt phòng khách sạn thông qua trang Agoda, Booking.

Phản ánh đến Báo điện tử Infonet, anh V.T.H (ngụ quận Tân Bình, TP.HCM) cho biết, tối 14/1 anh có đặt phòng nghỉ tại một resort ở Phú Quốc thông qua trang đặt phòng trực tuyến Agoda. Khi đặt phòng, dù chọn phương án thanh toán tại nơi ở nhưng website Agoda vẫn yêu cầu anh H. nhập thông tin thẻ VISA, trong đó có cam kết "Tất cả thông tin thẻ đều được mã hoá, được bảo vệ và đảm bảo an toàn”.

Tuy đặt phòng trên Agoda nhưng sau đó anh H. nhận được mã số đặt phòng từ trang Booking.com qua email. Với mã số đặt phòng này, anh H. đến resort ở Phú Quốc nhận phòng.

Điều đáng nói là khi đến resort, anh H. bất ngờ khi thấy tất cả thông tin về thẻ tín dụng VISA của mình gồm họ tên chủ thẻ, số thẻ, mã xác thực CVC, ngày hết hạn… đều được in rõ ràng ra giấy.

Anh H. thắc mắc thì nhân viên resort trả lời rằng những thông tin về thẻ tín dụng của anh được trang Booking.com cung cấp. Dù lo lắng tiền trong thẻ có khả năng bị đánh cắp nhưng do mang theo ít tiền mặt nên anh H. vẫn không khoá thẻ.

Thông tin chi tiết thẻ tín dụng của anh H. được in ra tại resort ở Phú Quốc.

Cuối chuyến nghỉ, tức vào tối 17/1, anh H. khoá thẻ tín dụng, đồng thời liên hệ với Agoda để hỏi vì sao thông tin thẻ tín dụng của mình lại được in ra giấy một cách chi tiết tại resort?

Theo anh H, khi anh phản ánh thì bộ phận chăm sóc khách hàng của Agoda trả lời rằng, những phản ánh của anh đã được chuyển lên bộ phận cao hơn để giải quyết.

Trong thư điện tử trả lời anh H sau đó, một người tên Peter ở bộ phận Agoda Customer Satisfaction Team giải thích, giữa Agoda và đối tác có thoả thuận nội bộ không cung cấp thông tin này trái phép cho bên thứ ba.

Nội dung điều khoản sử dụng thanh toán đặt phòng bằng thẻ tín dụng trên website của Agoada do Peter cung cấp cũng nói rõ, thông tin thẻ VISA của khách hàng sẽ được Agoda bảo mật bằng công nghệ “Secure Socket Layer (SLL)”.

Booking.com nói gì?

Liên quan đến sự việc “lộ” thông tin thẻ tín dụng của anh H, mới đây đại diện Booking.com đã có phản hồi với một tờ báo. theo đó, Booking.com khẳng định đã xử lý tất cả dữ liệu của khách hàng tuân thủ theo tiêu chuẩn kỹ thuật cao, đảm bảo đối tác nhận được dữ liệu cần thiết để hoạt động kinh doanh an toàn.

Booking.com chuyển toàn bộ thông tin thẻ tín dụng của khách hàng đến đơn vị nhận đặt phòng một cách an toàn thông qua mô hình được bảo vệ bằng mật khẩu, sử dụng xác thực 2 yếu tố (Two-factor authentication). Nhưng sau đó phụ thuộc vào các đơn vị nhận đặt phòng để đảm bảo rằng họ tuân thủ tiêu chuẩn bảo mật cao khi họ có thông tin khách hàng.

“Tất cả các đối tác của Booking.com cũng đồng ý với chính sách yêu cầu các đơn vị nhận đặt phòng được liệt kê với chúng tôi tuân theo các quy trình xử lý dữ liệu nhất định nhằm bảo vệ khách hàng. Một số trường hợp chúng tôi phát hiện được hành vi không đúng của đối tác, chúng tôi sẽ điều tra ngay lập tức như trường hợp của anh H. nói trên”, đại diện Booking nói.

Theo lý giải của đại diện Booking.com, giữa họ và các đối tác nhận đặt phòng có thoả thuận bảo mật thông tin cho khách hàng. Khi chuyển thông tin cho đối tác, Booking.com áp dụng mô hình bảo vệ bằng mật khẩu sử dụng xác thực 2 yếu tố.

Dù vậy, anh H. khẳng định thông tin thẻ VISA của anh ở resort lại không phải dạng mã hoá mà được in ra giấy rất chi tiết như họ tên chủ thẻ, số thẻ, mã xác thực CVC… Như vậy việc thông tin thẻ tín dụng bị lộ đến resort, tức bên thứ ba, chỉ có thể từ Agoda hoặc Booking.

Theo chuyên gia tài chính Nguyễn Tiến Tường, cùng với sự phổ biến thanh toán trực tuyến bằng thẻ tín dụng, không ít người dùng đã bị kẻ gian đánh cắp tiền một cách vô tình hoặc bị lộ thông tin. Bởi khác với thẻ ghi nợ nội địa, khi thanh toán bằng thẻ tín dụng chỉ một số ít ngân hàng và website tại Việt Nam hỗ trợ phương thức hỏi thêm mật khẩu dùng một lần (OTP).

Đối với trường hợp khách tố bị lộ thông tin khi đặt phòng qua Agoda hoặc Booking.com như nói trên, luật sư Nguyễn Đức Chánh (Đoàn Luật sư TP.HCM) cho rằng, việc cung cấp thông tin là một giao dịch dân sự giữa khách hàng và Agoda theo các điều khoản do hai bên thỏa thuận.

Nếu có hành vi vi phạm, cụ thể là việc thực hiện không đúng quy trình bảo mật dẫn đến thông tin tài khoản của khách hàng bị tiết lộ, tài khoản VISA bị sử dụng bất hợp pháp, thì Agoda sẽ phải có trách nhiệm bồi thường thiệt hại theo quy định của Bộ Luật Dân sự.

Theo luật sư Chánh, trong trường hợp này, khi khách hàng cung cấp thông tin là đã chấp nhận “chính sách bảo mật” và “điều khoản sử dụng” của Agoda, trong khi đó công ty này cam kết rằng tất cả các đối tác của họ sẽ phải đảm bảo an toàn và bảo mật cho các thẻ này. Nếu đối tác của Agoda thực hiện không đúng các quy định về bảo đảm an toàn, bảo mật thông tin dẫn đến khách hàng bị thiệt hại thì chính Agoda cũng phải có trách nhiệm liên đới trong việc bồi thường cho khách hàng.

Phương Anh Linh