Vietcombank cập nhật ứng dụng SmartOTP sau vụ khách hàng mất 500 triệu

Sau vụ việc khách hàng Hoàng Thị Na Hương bị kẻ gian rút 500 triệu đồng từ tài khoản Vietcombank trong ngày 4-5/8, nhiều suy đoán về kịch bản đánh cắp tiền đã được giới bảo mật trong nước đưa ra. Trong số này, khả năng ứng dụng SmartOTP bị lợi dụng được tính đến và chính đại diện của Vietcombank xác nhận điều này.

Trả lời báo chí, ông Đào Minh Tuấn, Phó tổng giám đốc Vietcombank cho biết khách hàng (chị Hương) trước đó đã thay đổi hình thức nhận OTP qua tin nhắn SMS sang ứng dụng "Smart OTP" trên di động.

Bên cạnh đó, một nguồn tin khác từ VCB cũng cho biết kẻ gian sau khi lấy được thông tin của chị Na Hương theo đường link giả mạo đã tự cài đặt và kích hoạt dịch vụ SmartOTP, sau đó thực hiện chuyển tiền trót lọt.

Ngay sau thời điểm vụ việc trên bị phát hiện, ứng dụng SmartOTP của Vietcombank đã tạm dừng kết nối với ngân hàng, khiến nhiều người dùng không thể sử dụng. Đến 13/8, Vietcombank đưa ra bản cập nhật mới cho ứng dụng này và ghi rõ "Update theo quy trình đăng ký sử dụng mới tại Vietcombank".

Nói về ứng dụng smartOTP cũ (phiên bản ở thời điểm diễn ra vụ chuyển 500 triệu), ông Nguyễn Hồng Phúc, chuyên gia bảo mật ở TP HCM cho rằng VCB sử dụng chứng thư số (https/ssl/tsl) tự ký và hết hạn từ 9 tháng trước. Đây là sơ hở dễ dẫn đến rủi ro.

Đồng quan điểm, ông Đặng Nguyên Khôi, một chuyên gia bảo mật ở Hà Nội cũng cho rằng đây là một sơ hở có thể khai thác. Tuy nhiên, nạn nhân cũng có lỗi khi để mất thông tin truy cập vào tay hacker trước đó.

Tuy nhiên, chưa có bằng chứng cho thấy vụ việc chị Hương mất 500 triệu liên quan đến lỗi này trên ứng dụng của Vietcombank. Ứng dụng mới của ngân hàng này đã dùng chứng thư bảo mật mới.

Hiện Vietcombank đã hoàn trả 300 triệu đồng cho chị Hương. Số tiền này được cho là do kẻ gia chưa kịp chuyển sang nên có thể thu hồi lại. Số tiền 200 triệu còn lại đã bị rút từ trụ ATM ở Malaysia. Vụ việc đang được Vietcombank phối hợp với cơ quan điều tra để làm rõ./.

Theo_VOV