[Funland] Cảnh báo lộ thông tin thẻ tín dụng.

phucsminh · 12:35 28/05/2021

cụ gì bảo dân IT thời này còn dùng credit e thấy cực đoan và bảo thủ.
Giờ đơn giản cụ set hạn mức chuyển tiền trong ngày với OTP thì đã yên tâm hơn rất nhiều rồi. Còn đúng thật hiện tại có nhiều bên cổng thanh toán vẫn nhiều lỗ hổng bị khai thác tuy nhiên nghĩ tiêu cực như vậy thì xh làm sao phát triển đc???
Có backbox thì cũng có whitebox, k tạo ra lỗ hổng thì làm sao biết đc mức độ bảo mật ntn mà vá???

luyenok · 12:39 28/05/2021

farevell nói:
cụ bảo làm IT với am hiểu bảo mật mà lại nhận định thế này là chưa tinh tường lắm rồi, các dữ liệu thẻ này đều mã hoá SSL 256bit hết ko thì 512, tiki hoặc trung tâm thanh toán thẻ ko thể nào biết dc số thẻ, exp của cụ. dù có lưu lại thì cũng là các mã hash md5 tức là đã mã hoá thôi.
khả năng cụ lộ thông tin thẻ vì máy cụ có virus keylog, hoặc lộ kiểu rất bình thường là cụ mang đi ăn uống nhà hang quẹ, lúc nv mang thẻ cụ đi nó tiện tay chụp lại cái thẻ, thế là có hết thông tin thôi

Cái này đúng chuyên môn nên E chém với cụ đc, có mã hoá gì đi nữa thì dữ liệu trước khi mã hoá nó là plaintext. Cụ thể là cái thông tin thẻ mình nhập trên form của Tiki kia kìa, từ client mình nhập gì thì backend của nó sẽ nhận đc như vậy, sau đó mới mã hoá để lưu vào db (nếu có). Ngoài ra dù ko lưu vào db (ko lưu thông tin thẻ) thì vẫn có thể có ở đâu đó, ví dụ ở log request/response với payment gateway để phục vụ debug/tracking lỗi,...

IamDragon · 12:42 28/05/2021

fanmu12345 nói:
Bây giờ các app ngân hàng đều cho phép KH đang sử dụng thẻ tín dụn, đăng nhập vào app để khóa chức năng của thẻ tín dụng

MUốn an toàn, thì khi giao dịch online cụ mở chức năng thanh toán online, giao dịch xong thì cụ khóa chức năng giao dịch online.

Tương tự như vậy với chức năng thanh toán qua máy pos.

Chuẩn, em cũng áp dụng phương pháp này chứ ko dám tin tưởng vào cam kết của bất cứ bên nào

HAMATA · 12:43 28/05/2021

luyenok nói:
Tình hình là sáng nay (28/05) thông tin thẻ tín dụng của mình bị lộ và bị dùng để chạy quảng cáo facebook, tuy không có thiệt hại về tiền nhưng mình muốn đăng thông tin cảnh báo để các cụ mợ lưu ý.

- Mình làm về CNTT và sử dụng thẻ tín dụng rất nhiều nên các vấn đề về bảo mật thông tin thẻ này nọ mình nắm tương đối tốt.
- Thẻ của mình dùng đã lâu, chủ yếu dùng cho hình thức quẹt POS, đối với online thì có dùng với Grab (moca), thẻ add vào Moca đã lâu và không có vấn đề gì.
- Gần đây mình có sử dụng 2 lần để thanh toán online, 1 lần là ngày 25/05/2021 để mua hàng trên Tiki (thành công), 1 lần tiếp theo là ngày 26/05/2021 để mua trên Indiegogo (ko thành công).
- Vào lúc 05:37 sáng ngày 28/05 thẻ mình bị add vào facebook để chi trả tiền quảng cáo, sau khi add thành công thì thực hiện 2 lần trừ 6.000.000 nhưng không thành công, ngay sau đó ngân hàng đã tự động khóa thẻ (cái này phải đánh giá rất cao hệ thống của VIB).

Trở lại vấn đề thông tin thẻ bị lộ, sau khi đã rà soát lại kỹ lưỡng mình đang nghi ngờ bị lộ từ giao dịch của Tiki ngày 25/05/2021.
- Thứ nhất, đây không phải là lần đầu mình thanh toán bằng thẻ trên Tiki, nhưng nếu như các lần trước đây khi thanh toán thẻ thì đều redirect đến cổng thanh toán và nhập thông tin thẻ trực tiếp trên site của cổng thanh toán, không phải nhập trên site của Tiki. Tuy nhiên hiện tại (không rõ là từ bao giờ) thông tin thẻ lại được nhập trực tiếp trên Tiki. Về nguyên lý thì sau khi nhập trên Tiki và submit thì Tiki sẽ gửi các thông tin đó sang cổng thanh toán để xử lý giao dịch, nhưng không thể biết được ngoài việc gửi sang cho cổng thanh toán thì có còn lưu ở đâu nữa không, cái này người dùng thông thường sẽ không thể nào biết được.
- Thứ hai, thông tin thẻ được add vào Facebook để chạy quảng cáo, mà cái này (chạy quảng cáo bằng thẻ lậu) thì mấy bố VN gần như là trùm, nên càng có cơ sở để nghĩ thẻ bị lộ từ site thanh toán VN chứ không phải Indiegogo. Số tiền trừ là 6tr tròn nên cũng ko thể là từ site quốc tế (ko thể quy xx $ ra 6tr vnd tròn được).

Mình cũng sẽ liên hệ với Tiki để thông tin về vấn đề này, việc thông tin thẻ có thể bị lộ qua Tiki là nghi vấn theo quan điểm cá nhân của mình. Và 1 lần nữa mình cũng đánh giá rất cáo hệ thống nghi ngờ gian lận của VIB, đã tự động khóa thẻ chỉ sau 2 giao dịch trừ tiền thất bại của Facebook, nếu ko mình sẽ rất mất thời gian để làm các thủ tục để được hoàn lại tiền.

Một số hình ảnh minh họa:

- Hiện khi thanh toán bằng thẻ thì sẽ được yêu cầu thêm thẻ mới và nhập trực tiếp trên site của Tiki chứ không phải site của cổng thanh toán.

View attachment 6213874

- Sáng nay thẻ bị add vào facebook để chi trả tiền quảng cáo.

View attachment 6213860

Thêm thông tin thẻ td thì chỗ sàn thương mại điện tử hay app nào cũng phải điền như vậy cả. Chỉ đến bước chọn thẻ thanh toán thì mới sang trang của cổng thanh toán để nhập otp sms thôi.

HAMATA · 12:44 28/05/2021

hung2019 nói:
vãi cụ, quan trọng là thanh toán ở đâu, trang nào. Chứ thời này, lại còn làm CNTT mà còn ko dám thanh toán online bằng thẻ tín dụng thì vứt.

Nói thế thì làm thẻ td để làm gì ko phải để tiêu à, hay để rút tiền =))

luyenok · 12:49 28/05/2021

HAMATA nói:
Thêm thông tin thẻ td thì chỗ sàn thương mại điện tử hay app nào cũng phải điền như vậy cả. Chỉ đến bước chọn thẻ thanh toán thì mới sang trang của cổng thanh toán để nhập otp sms thôi.

Vâng cụ, workflow này E hiểu mà, về bản chất thì như nhau, nó chỉ là bước cung cấp thông tin thẻ cho cổng thanh toán, thay vì user nhập trực tiếp trên cổng thanh toán mỗi khi thanh toán thì có thể cung cấp 1 lần ở site merchant, sau đó merchant mới đẩy sang cổng thanh toán.

farevell · 12:50 28/05/2021

luyenok nói:
Cái này đúng chuyên môn nên E chém với cụ đc, có mã hoá gì đi nữa thì dữ liệu trước khi mã hoá nó là plaintext. Cụ thể là cái thông tin thẻ mình nhập trên form của Tiki kia kìa, từ client mình nhập gì thì backend của nó sẽ nhận đc như vậy, sau đó mới mã hoá để lưu vào db (nếu có). Ngoài ra dù ko lưu vào db (ko lưu thông tin thẻ) thì vẫn có thể có ở đâu đó, ví dụ ở log request/response với payment gateway để phục vụ debug/tracking lỗi,...

thô sơ như vậy từ 20 năm trước thôi cụ nhé, hiện tại tất cả kể cả lưu log thì cũng mã hoá hết

luyenok · 12:56 28/05/2021

farevell nói:
thô sơ như vậy từ 20 năm trước thôi cụ nhé, hiện tại tất cả kể cả lưu log thì cũng mã hoá hết

E đang giải thích về nguyên lý, còn log hay ko, mã hoá như nào nó phụ thuộc vào công nghệ sử dụng cũng như đội dev. Và E khẳng định luôn với những site có lưu thông tin thẻ để cho những lần thanh toán sau thì ko bao giờ là mã hoá 1 chiều đc, vì nó còn phải lấy lại thông tin thẻ cho các lần thanh toán sau (user ko phải nhập lại thông tin thẻ nữa).

đội mũ_ lái xe · 13:10 28/05/2021

oquera nói:
Vãi cụ thớt, làm về CNTT, am hiểu bảo mật mà lại đi dùng thẻ tín dụng thanh toán online qua Tiki.
Nhà em quên mấy chuyện thanh toán online bằng thẻ tín dụng đi, chỉ dùng thẻ ATM xác thực 2 lớp online còn tạm tin được vì phải xác thực OTP qua điện thoại.
Thẻ tín dụng chỉ dùng trực tiếp trên các máy post của bank tại các cửa hàng uy tín.
Thanh toán thẻ tín dụng trên dịch vụ của Amazon em còn cóc tin nữa là.

Bên em phát triển phần mềm cho bank và chính phủ của bọn tư bản, yêu cầu bảo mật rất cao và thường xuyên dùng dịch vụ bên thứ 3 để quét lỗ hổng bảo mật đối với mã nguồn và 3rd lib mà vẫn luôn phải trầy trật đi vá lỗ hổng thường xuyên nữa là bọn tiki.

Em có một quan điểm là cái gì đã gõ lên internet rồi thì nó không còn là của mình nữa.

Chốt cuối chuẩn này

tony tí · 13:14 28/05/2021

Ne0_Njcky nói:
Một cách rất đơn giản là khống chế hạn mức. Em khống chế 300k/lượt, 500k/ngày đủ dùng em đi chợ với thanh toán linh tinh thôi.
Còn nếu mua gì to tiền sẽ mở ra và sau khi thanh toán xong sẽ khóa lại luôn.

vậy thì khổ zam quá

cadan · 13:19 28/05/2021

luyenok nói:
Tình hình là sáng nay (28/05) thông tin thẻ tín dụng của mình bị lộ và bị dùng để chạy quảng cáo facebook, tuy không có thiệt hại về tiền nhưng mình muốn đăng thông tin cảnh báo để các cụ mợ lưu ý.

- Mình làm về CNTT và sử dụng thẻ tín dụng rất nhiều nên các vấn đề về bảo mật thông tin thẻ này nọ mình nắm tương đối tốt.
- Thẻ của mình dùng đã lâu, chủ yếu dùng cho hình thức quẹt POS, đối với online thì có dùng với Grab (moca), thẻ add vào Moca đã lâu và không có vấn đề gì.
- Gần đây mình có sử dụng 2 lần để thanh toán online, 1 lần là ngày 25/05/2021 để mua hàng trên Tiki (thành công), 1 lần tiếp theo là ngày 26/05/2021 để mua trên Indiegogo (ko thành công).
- Vào lúc 05:37 sáng ngày 28/05 thẻ mình bị add vào facebook để chi trả tiền quảng cáo, sau khi add thành công thì thực hiện 2 lần trừ 6.000.000 nhưng không thành công, ngay sau đó ngân hàng đã tự động khóa thẻ (cái này phải đánh giá rất cao hệ thống của VIB).

Trở lại vấn đề thông tin thẻ bị lộ, sau khi đã rà soát lại kỹ lưỡng mình đang nghi ngờ bị lộ từ giao dịch của Tiki ngày 25/05/2021.
- Thứ nhất, đây không phải là lần đầu mình thanh toán bằng thẻ trên Tiki, nhưng nếu như các lần trước đây khi thanh toán thẻ thì đều redirect đến cổng thanh toán và nhập thông tin thẻ trực tiếp trên site của cổng thanh toán, không phải nhập trên site của Tiki. Tuy nhiên hiện tại (không rõ là từ bao giờ) thông tin thẻ lại được nhập trực tiếp trên Tiki. Về nguyên lý thì sau khi nhập trên Tiki và submit thì Tiki sẽ gửi các thông tin đó sang cổng thanh toán để xử lý giao dịch, nhưng không thể biết được ngoài việc gửi sang cho cổng thanh toán thì có còn lưu ở đâu nữa không, cái này người dùng thông thường sẽ không thể nào biết được.
- Thứ hai, thông tin thẻ được add vào Facebook để chạy quảng cáo, mà cái này (chạy quảng cáo bằng thẻ lậu) thì mấy bố VN gần như là trùm, nên càng có cơ sở để nghĩ thẻ bị lộ từ site thanh toán VN chứ không phải Indiegogo. Số tiền trừ là 6tr tròn nên cũng ko thể là từ site quốc tế (ko thể quy xx $ ra 6tr vnd tròn được).

Mình cũng sẽ liên hệ với Tiki để thông tin về vấn đề này, việc thông tin thẻ có thể bị lộ qua Tiki là nghi vấn theo quan điểm cá nhân của mình. Và 1 lần nữa mình cũng đánh giá rất cáo hệ thống nghi ngờ gian lận của VIB, đã tự động khóa thẻ chỉ sau 2 giao dịch trừ tiền thất bại của Facebook, nếu ko mình sẽ rất mất thời gian để làm các thủ tục để được hoàn lại tiền.

Một số hình ảnh minh họa:

- Hiện khi thanh toán bằng thẻ thì sẽ được yêu cầu thêm thẻ mới và nhập trực tiếp trên site của Tiki chứ không phải site của cổng thanh toán.

View attachment 6213874

- Sáng nay thẻ bị add vào facebook để chi trả tiền quảng cáo.

View attachment 6213860

oquera nói:
Vãi cụ thớt, làm về CNTT, am hiểu bảo mật mà lại đi dùng thẻ tín dụng thanh toán online qua Tiki.
Nhà em quên mấy chuyện thanh toán online bằng thẻ tín dụng đi, chỉ dùng thẻ ATM xác thực 2 lớp online còn tạm tin được vì phải xác thực OTP qua điện thoại.
Thẻ tín dụng chỉ dùng trực tiếp trên các máy post của bank tại các cửa hàng uy tín.
Thanh toán thẻ tín dụng trên dịch vụ của Amazon em còn cóc tin nữa là.

Bên em phát triển phần mềm cho bank và chính phủ của bọn tư bản, yêu cầu bảo mật rất cao và thường xuyên dùng dịch vụ bên thứ 3 để quét lỗ hổng bảo mật đối với mã nguồn và 3rd lib mà vẫn luôn phải trầy trật đi vá lỗ hổng thường xuyên nữa là bọn tiki.

Em có một quan điểm là cái gì đã gõ lên internet rồi thì nó không còn là của mình nữa.

Em đang băn khoăn là làm sao Tiki có thể để lộ thông tin khách hàng.

ngay cả có lộ thì còn vấn đề bảo mật thông qua OTP mà thẻ tín dụng đã kết nối với số ĐT được đăng ký khi chấp nhận thanh toán online.

Nếu không nhập mấy số OTP này thì không có khoản thanh toán nào được thực hiện. Hầu như các trang thanh toán điện tử đều như thế. Hình như lazada mới có chuyện nhập đầy đủ thông tin thẻ, hoặc nếu thẻ đó đã được lưu trong tài khoản người mua tại lazada thì mới bỏ qua được khâu xac nhận OTP.

beetle90 · 13:23 28/05/2021

Thớt:

Mình cũng sẽ liên hệ với Tiki để thông tin về vấn đề này, việc thông tin thẻ có thể bị lộ qua Tiki là nghi vấn theo quan điểm cá nhân của mình. Và 1 lần nữa mình cũng đánh giá rất cáo hệ thống nghi ngờ gian lận của VIB, đã tự động khóa thẻ chỉ sau 2 giao dịch trừ tiền thất bại của Facebook, nếu ko mình sẽ rất mất thời gian để làm các thủ tục để được hoàn lại tiền.

Rồi vừa vào thì thấy trên báo như này --> Có vẻ chả phải cảnh báo như tiêu đề thớt gì cả đâu, đơn giản là VIB chạy quảng cáo Thẻ :))

Thớt này nên được bốc sang khu Quảng cáo

luyenok · 13:27 28/05/2021

cadan nói:
Em đang băn khoăn là làm sao Tiki có thể để lộ thông tin khách hàng.

ngay cả có lộ thì còn vấn đề bảo mật thông qua OTP mà thẻ tín dụng đã kết nối với số ĐT được đăng ký khi chấp nhận thanh toán online.

Nếu không nhập mấy số OTP này thì không có khoản thanh toán nào được thực hiện. Hầu như các trang thanh toán điện tử đều như thế. Hình như lazada mới có chuyện nhập đầy đủ thông tin thẻ, hoặc nếu thẻ đó đã được lưu trong tài khoản người mua tại lazada thì mới bỏ qua được khâu xac nhận OTP.

đang là nghi vấn của cá nhân E thôi cụ ơi. Vẫn có 1 số cổng thanh toán không cần phải thực hiện bước xác thực thứ 2 (VBV, 3D Security,...) cụ ạ, kể cả thẻ đó đã kích hoạt. Ví dụ đơn giản như dù thẻ Em có bật 3D Security code nhưng mỗi lần đi grab hệ thống cũng tự trừ. Để an toàn thì đại đa số các cổng thanh toán sẽ yêu cầu code nếu đơn vị phát hành thẻ có hỗ trợ.

luyenok · 13:28 28/05/2021

beetle90 nói:
Thớt:

Rồi vừa vào thì thấy trên báo như này --> Có vẻ chả phải cảnh báo như tiêu đề thớt gì cả đâu, đơn giản là VIB chạy quảng cáo Thẻ
Thớt này nên được bốc sang khu Quảng cáo

cụ nhạy cảm quá rồi

Ne0_Njcky · 13:52 28/05/2021

tony tí nói:
vậy thì khổ zam quá

An toàn là trên hết cụ à. Chả mất bao thời gian mà risk giảm xuống rõ rệt.
Với lại em chả có nhu cầu tiêu nhiều từ tín dụng.

minhmo · 14:00 28/05/2021

keyon nói:
Giờ fb chạy quảng cáo phải trả tiền trước à cụ, em tưởng vẫn trả sau chứ nhỉ,

Có cả trả trước và trả sau cụ nhé.
Những tài khoản Fb có uy tín: được lập lâu rồi, tương tác thường xuyên, chạy những fanpage uy tín thì sẽ được trả sau.
Những tài khoản mới lập, ít tương tác hoặc chạy những fanpage đã tình dính phốt thì FB hay bắt trả trước.
Việc trả trước hay trả sau chỉ được xác định khi xác định phương thức thanh toán.

mig_vn · 14:04 28/05/2021

oquera nói:
Em có một quan điểm là cái gì đã gõ lên internet rồi thì nó không còn là của mình nữa.

LIKE cầu này của cụ quá cơ.

oquera · 14:10 28/05/2021

luyenok nói:
Thì thẻ tín dụng cũng có xác thực 2 lớp mà (Visa hay gọi là 3D security), cụ tưởng chỉ thẻ ATM mới có à

Ngày xưa em dùng một lần thấy nhập mỗi mã thẻ với CVV code nên từ đó em cạch luôn đến giờ, chắc out of date

luyenok · 14:13 28/05/2021

oquera nói:
Ngày xưa em dùng một lần thấy nhập mỗi mã thẻ với CVV code nên từ đó em cạch luôn đến giờ, chắc out of date

à nó tùy cụ ạ, bank phát hành thẻ đó có hỗ trợ (hầu như giờ bank nào cũng hỗ trợ) và cổng thanh toán có sử dụng. Đúng là ngày xưa thì ít đc hỗ trợ hơn, càng ngày gian lận càng nhiều nên yêu cầu bảo mật cũng tăng theo.

luyenok · 14:14 28/05/2021

minhmo nói:
Có cả trả trước và trả sau cụ nhé.
Những tài khoản Fb có uy tín: được lập lâu rồi, tương tác thường xuyên, chạy những fanpage uy tín thì sẽ được trả sau.
Những tài khoản mới lập, ít tương tác hoặc chạy những fanpage đã tình dính phốt thì FB hay bắt trả trước.
Việc trả trước hay trả sau chỉ được xác định khi xác định phương thức thanh toán.

Như cái nó đang định trừ 6.000.000 của em kia là trả trước à cụ, trả sau thì chắc ko thể tròn số thế đc nhỉ vì nó theo lượng đã sử dụng?

[Funland] Cảnh báo lộ thông tin thẻ tín dụng.

Xe tăng

Xe điện

Xe buýt

Xe tải

Xe tải

Xe điện

Xe buýt

Xe điện

Xe ba gác

[Tịch thu bằng lái]

Xe container

Xe máy

Xe điện

Xe điện

Xe tải

Xe cút kít

Xe tải

Xe buýt

Xe điện

Xe điện

Thông tin thớt