Nỗi lo bảo mật

Thanh toán trực tuyến: Canh cánh nỗi lo bảo mật

Chuyên gia đã trình diễn cách mua hàng online không... mất tiền do lỗ hổng an ninh của một số hệ thống thanh toán trực tuyến tại VN.
Với hơn 31 triệu người dùng Internet, thương mại điện tử ở Việt Nam ngày càng phát triển. Cùng đó, nhu cầu thanh toán trực tuyến cũng gia tăng và trở thành một trong những loại hình dịch vụ phát triển mạnh mẽ thời gian vừa qua.

Trong một lần trao đổi với phóng viên Vietnam+, ông Nguyễn Hòa Bình, Tổng Giám đốc PeaceSoft (đơn vị sở hữu sàn giao dịch trực tuyến Chodientu.vn) dự đoán, đến năm 2015 tổng sản lượng giao dịch hàng hóa trực tuyến tại Việt Nam ước đạt 6 tỷ USD, trong đó có 2 tỷ USD giao dịch thanh toán trực tuyến.

Thực tế cho thấy, cổng thanh toán trực tuyến đóng vai trò quan trọng trong việc đem đến sự giao dịch thuận tiện giữa người mua và người bán. Bên cạnh đó, việc đảm bảo an toàn cho các giao dịch này là một yêu cầu bắt buộc.

Tuy nhiên, bên cạnh sự tiện lợi, một số hệ thống thanh toán trực tuyến phổ biến ở Việt Nam đang gặp phải lỗ hổng an ninh nghiêm trọng.

Tại Hội thảo an toàn thông tin cho sản phẩm và doanh nghiệp diễn ra ngày 13/1, chuyên gia Nhâm Xuân Nam (từng tốt nghiệp chương trình Thạc sĩ khoa học máy tính tại Đại học quốc gia Singapore) đã trình diễn cách mua hàng không... mất tiền.

Theo ông Nam, sau khi người mua vào website của người bán chọn lựa mặt hàng cần mua và đồng ý thực hiện việc thanh toán. Sau đó, trình duyệt của người mua hàng sẽ gửi yêu cầu thanh toán về máy chủ trang web bán hàng. Thông tin được gởi về có thể gồm mã đơn hàng, danh sách các mặt hàng, tổng số tiền cần thanh toán...

Tiếp theo, ứng dụng web của người bán hàng sẽ xử lý đơn hàng và sẽ trả kết quả về cho người mua hàng dưới dạng một yêu cầu chuyển hướng HTTP. Đích đến của yêu cầu chuyển hướng này là địa chỉ của cổng thanh toán... Để đảm bảo cho cổng thanh toán xác định được yêu cầu gửi đến này được tạo ra từ ứng dụng của người bán hàng, dữ liệu được gửi đi bao gồm một chữ ký của bên bán hàng trên các thông tin còn lại.

Sau khi nhận được yêu cầu chuyển hướng từ phía người bán, trình duyệt của người mua hàng sẽ tự động chuyển đến trang web của cổng thanh toán. Ứng dụng web của cổng thanh toán sẽ tiếp nhận yêu cầu này và bắt buộc người mua hàng phải thực hiện các thao tác trên cổng thanh toán như đăng nhập, điền thông tin thẻ tín dụng hoặc ATM, xác nhận đơn hàng...

Khi người mua hàng thực hiện thành công các bước theo đúng quy trình, phía cổng thanh toán sẽ trả về kết quả cho người mua hàng dưới dạng một yêu cầu chuyển hướng HTTP. Đích đến của yêu cầu chuyển hướng này là địa chỉ máy chủ của trang web bán hàng. Thông tin đi kèm trong yêu cầu chuyển hướng này dùng để xác nhận với trang web bán hàng rằng người mua đã thanh toán thành công. Các thông tin này cũng được đi kèm với một chữ ký.

Tiếp theo, trình duyệt của người mua hàng sẽ tự động chuyển hướng trang web bán hàng sau khi nhận yêu cầu chuyển hướng từ cổng thanh toán.

Cuối cùng, trang web bán hàng sẽ kiểm tra thông tin được gửi đến. Nếu thông tin này có nội dung mô tả đúng như khi khách hàng đã thanh toán đơn hàng và có chữ ký hợp lệ thì giao dịch được thực hiện thành công.

Ông Nam cho hay, ưu điểm của quy trình này là ngắn gọn và đơn giản. Tuy nhiên, nếu thực hiện không đúng có thể tạo ra một lỗ hổng nghiêm trọng giúp cho một người có thể thực hiện mua hàng mà không cần phải thanh toán tiền.

Từ chối nêu tên cũng như chi tiết về cơ chế hoạt động của các cổng thanh toán có những lỗ hổng nói trên, ông Nam cho hay các lỗ hổng nói trên đã được biết đến từ rất lâu trong cộng đồng làm về mật mã học, tuy nhiên sau nhiều năm vẫn còn rất nhiều website gặp phải.

Rõ ràng, đã đến lúc các đơn vị thanh toán trực tuyến cần phải có cái nhìn cẩn trọng hơn trong việc bảo mật để đem lại dịch vụ tốt nhất cho khách hàng. Có như vậy, thương mại điện tử ở Việt Nam mới có được sự phát triển bền vững./.

Trung Hiền (Vietnam+)

Tin cùng chuyên mục