31 000 cartes bancaires divulguées : les clients vont-ils perdre de l'argent ?

Le 7 novembre, des informations sur plus de 31 000 transactions par carte bancaire et plus de 5 millions d'e-mails, supposés appartenir à des clients de Mobile World (TGDĐ), ont été partagées sur Internet par le compte erchowin. Le 8 novembre, des pirates ont continué de publier des informations listant les numéros de cartes de crédit à 16 chiffres de comptes supposés appartenir à des clients de TGDĐ.

Notamment, la liste nouvellement publiée comprend des cartes de paiement internationales (Visa, MasterCard...) ainsi qu'un enregistrement listant les numéros de cartes bancaires.

Avant l'incident, de nombreuses personnes craignaient que leurs informations de carte bancaire soient exploitées par des personnes malintentionnées et que leur argent soit volé. M. T. (habitant le district de Tan Binh, à Hô-Chi-Minh-Ville) a confié : « Je fais souvent mes achats chez TGDĐ. Pour payer, je passe souvent ma carte bancaire. Je me demande donc si ma carte a été piratée. Y a-t-il un risque ? De plus, lorsque je fais des achats en plusieurs fois, je dois fournir des informations importantes comme mon numéro de téléphone, mon adresse e-mail, etc. au commerçant. Cela me met mal à l'aise. »

Les informations de carte de crédit d'un client, supposées provenir de Mobile World, ont été partagées dans la soirée du 7 novembre sur RaidForums.

En particulier, de nombreux utilisateurs ont confirmé n'avoir jamais effectué d'achats chez TGDĐ, mais leurs adresses e-mail figuraient néanmoins sur la liste divulguée. Il est donc fort probable que les pirates aient collecté des adresses e-mail provenant de sources diverses, car cette liste contient de nombreuses adresses e-mail portant des noms de domaine d'entreprises telles qu'Asus, Acer, Bkav…

Lors de discussions, certains dirigeants de banques ont affirmé que même si les pirates disposaient des 16 chiffres de la carte, ils ne pourraient pas récupérer l'argent du déposant. Seuls les numéros de carte, la date d'expiration et les trois chiffres secrets figurant au dos de la carte (code CVV) révélés permettraient aux pirates d'effectuer des transactions en ligne.

Un directeur général adjoint d'une banque a ensuite expliqué : « Le code CVV est une donnée que seule la banque connaît, mais qu'un point d'acceptation de paiement (commerçant) comme TGDĐ ne peut pas détenir. Par conséquent, si ces données avaient été récupérées par des pirates informatiques, comme ils le prétendent, il n'y aurait pas de code CVV. »

En revanche, les informations dont disposent les pirates ne suffisent pas à détourner l'argent des comptes des utilisateurs. Cependant, le dirigeant de la banque a déclaré qu'il attendrait l'évaluation des autorités avant de décider s'il convient de remplacer toutes les cartes de crédit de ses clients.

Selon l'expert bancaire Nguyen Tri Hieu, c'est indirectement possible. En effet, les pirates peuvent utiliser les comptes bancaires pour effectuer des transactions en ligne à partir des informations exploitées. Cependant, les informations divulguées au public, comme les numéros de carte, ne permettent pas aux pirates de voler l'argent des clients. En effet, les cartes de crédit ou de débit présentent de nombreux niveaux de sécurité.

Par exemple, des pirates informatiques prétendent avoir obtenu des numéros de cartes internationales comme Visa, mais sans le code de cryptage à trois chiffres et les solutions comme 3D Secure dont les cartes Visa ont besoin pour renforcer la sécurité des paiements, il n'y a aucun moyen d'obtenir l'argent.

« Même pour les cartes bancaires utilisées par les clients vietnamiens pour effectuer des achats en ligne ou via les systèmes de point de vente, les banques vietnamiennes appliquent plusieurs niveaux de sécurité, tels que l'identifiant, le code PIN, l'OTP et les solutions d'authentification, selon les besoins. Je suis donc convaincu que les clients dont les informations ont été divulguées chez TGDĐ ne subiront aucune perte financière », a affirmé M. Hieu.

Un autre expert bancaire a déclaré que TGDĐ devait résoudre cet incident de manière scientifique et transparente. Elle ne devrait pas expliquer l'incident en rejetant la responsabilité sur la banque, car cela ne suffirait pas à dissiper toutes les inquiétudes des consommateurs et pourrait engendrer des risques incontrôlables.

Les clients craignent que des malfaiteurs profitent des informations divulguées pour voler de l'argent, alors que Mobile World affirme n'avoir révélé aucune information.

Jusqu'à présent, aucune information n'a été communiquée concernant les risques encourus par les titulaires de cartes suite à la divulgation d'informations. Cependant, des représentants de certaines banques ont indiqué avoir examiné toutes les données et analysé les facteurs connexes afin de déterminer l'existence d'un risque. En cas de risque, les clients seront immédiatement avertis.

M. Le Minh Huan, directeur général adjoint de la Saigon Commercial Joint Stock Bank (SCB), a déclaré : Bien que TGDĐ ait confirmé que son système d'information est toujours sûr, pour garder leurs portefeuilles en sécurité et éviter d'éventuels risques, il est préférable pour les clients qui ont effectué des transactions par carte chez TGDĐ de se rendre immédiatement à la banque pour changer de carte.

« Du côté de la SCB Bank, en plus d'attendre une nouvelle vérification des autorités pour déterminer si les données divulguées proviennent de TGDĐ, nous observons en permanence des transactions inhabituelles sur le système grâce à nos systèmes informatiques et à l'observation humaine. Si nous constatons une transaction inhabituelle, nous contactons immédiatement le client pour vérification », a déclaré le directeur général adjoint de la SCB Bank.

Certains experts bancaires recommandent également : Pour garantir la sécurité, il est préférable que les utilisateurs modifient leur mot de passe de messagerie électronique personnel, modifient leur mot de passe de transaction bancaire en ligne ou gèlent temporairement les transactions par carte de crédit en attendant la vérification.