[Funland] Cảnh báo lộ thông tin thẻ tín dụng.

phucsminh

Xe tăng
Biển số
OF-350817
Ngày cấp bằng
14/1/15
Số km
1,012
Động cơ
276,727 Mã lực
cụ gì bảo dân IT thời này còn dùng credit e thấy cực đoan và bảo thủ.
Giờ đơn giản cụ set hạn mức chuyển tiền trong ngày với OTP thì đã yên tâm hơn rất nhiều rồi. Còn đúng thật hiện tại có nhiều bên cổng thanh toán vẫn nhiều lỗ hổng bị khai thác tuy nhiên nghĩ tiêu cực như vậy thì xh làm sao phát triển đc???
Có backbox thì cũng có whitebox, k tạo ra lỗ hổng thì làm sao biết đc mức độ bảo mật ntn mà vá???
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
3,900
Động cơ
771,163 Mã lực
cụ bảo làm IT với am hiểu bảo mật mà lại nhận định thế này là chưa tinh tường lắm rồi, các dữ liệu thẻ này đều mã hoá SSL 256bit hết ko thì 512, tiki hoặc trung tâm thanh toán thẻ ko thể nào biết dc số thẻ, exp của cụ. dù có lưu lại thì cũng là các mã hash md5 tức là đã mã hoá thôi.
khả năng cụ lộ thông tin thẻ vì máy cụ có virus keylog, hoặc lộ kiểu rất bình thường là cụ mang đi ăn uống nhà hang quẹ, lúc nv mang thẻ cụ đi nó tiện tay chụp lại cái thẻ, thế là có hết thông tin thôi
Cái này đúng chuyên môn nên E chém với cụ đc, có mã hoá gì đi nữa thì dữ liệu trước khi mã hoá nó là plaintext. Cụ thể là cái thông tin thẻ mình nhập trên form của Tiki kia kìa, từ client mình nhập gì thì backend của nó sẽ nhận đc như vậy, sau đó mới mã hoá để lưu vào db (nếu có). Ngoài ra dù ko lưu vào db (ko lưu thông tin thẻ) thì vẫn có thể có ở đâu đó, ví dụ ở log request/response với payment gateway để phục vụ debug/tracking lỗi,...
 

IamDragon

Xe buýt
Biển số
OF-82238
Ngày cấp bằng
8/1/11
Số km
512
Động cơ
515,090 Mã lực
Bây giờ các app ngân hàng đều cho phép KH đang sử dụng thẻ tín dụn, đăng nhập vào app để khóa chức năng của thẻ tín dụng

MUốn an toàn, thì khi giao dịch online cụ mở chức năng thanh toán online, giao dịch xong thì cụ khóa chức năng giao dịch online.

Tương tự như vậy với chức năng thanh toán qua máy pos.
Chuẩn, em cũng áp dụng phương pháp này chứ ko dám tin tưởng vào cam kết của bất cứ bên nào
 

HAMATA

Xe tải
Biển số
OF-131546
Ngày cấp bằng
19/2/12
Số km
406
Động cơ
377,122 Mã lực
Tình hình là sáng nay (28/05) thông tin thẻ tín dụng của mình bị lộ và bị dùng để chạy quảng cáo facebook, tuy không có thiệt hại về tiền nhưng mình muốn đăng thông tin cảnh báo để các cụ mợ lưu ý.

- Mình làm về CNTT và sử dụng thẻ tín dụng rất nhiều nên các vấn đề về bảo mật thông tin thẻ này nọ mình nắm tương đối tốt.
- Thẻ của mình dùng đã lâu, chủ yếu dùng cho hình thức quẹt POS, đối với online thì có dùng với Grab (moca), thẻ add vào Moca đã lâu và không có vấn đề gì.
- Gần đây mình có sử dụng 2 lần để thanh toán online, 1 lần là ngày 25/05/2021 để mua hàng trên Tiki (thành công), 1 lần tiếp theo là ngày 26/05/2021 để mua trên Indiegogo (ko thành công).
- Vào lúc 05:37 sáng ngày 28/05 thẻ mình bị add vào facebook để chi trả tiền quảng cáo, sau khi add thành công thì thực hiện 2 lần trừ 6.000.000 nhưng không thành công, ngay sau đó ngân hàng đã tự động khóa thẻ (cái này phải đánh giá rất cao hệ thống của VIB).

Trở lại vấn đề thông tin thẻ bị lộ, sau khi đã rà soát lại kỹ lưỡng mình đang nghi ngờ bị lộ từ giao dịch của Tiki ngày 25/05/2021.
- Thứ nhất, đây không phải là lần đầu mình thanh toán bằng thẻ trên Tiki, nhưng nếu như các lần trước đây khi thanh toán thẻ thì đều redirect đến cổng thanh toán và nhập thông tin thẻ trực tiếp trên site của cổng thanh toán, không phải nhập trên site của Tiki. Tuy nhiên hiện tại (không rõ là từ bao giờ) thông tin thẻ lại được nhập trực tiếp trên Tiki. Về nguyên lý thì sau khi nhập trên Tiki và submit thì Tiki sẽ gửi các thông tin đó sang cổng thanh toán để xử lý giao dịch, nhưng không thể biết được ngoài việc gửi sang cho cổng thanh toán thì có còn lưu ở đâu nữa không, cái này người dùng thông thường sẽ không thể nào biết được.
- Thứ hai, thông tin thẻ được add vào Facebook để chạy quảng cáo, mà cái này (chạy quảng cáo bằng thẻ lậu) thì mấy bố VN gần như là trùm, nên càng có cơ sở để nghĩ thẻ bị lộ từ site thanh toán VN chứ không phải Indiegogo. Số tiền trừ là 6tr tròn nên cũng ko thể là từ site quốc tế (ko thể quy xx $ ra 6tr vnd tròn được).

Mình cũng sẽ liên hệ với Tiki để thông tin về vấn đề này, việc thông tin thẻ có thể bị lộ qua Tiki là nghi vấn theo quan điểm cá nhân của mình. Và 1 lần nữa mình cũng đánh giá rất cáo hệ thống nghi ngờ gian lận của VIB, đã tự động khóa thẻ chỉ sau 2 giao dịch trừ tiền thất bại của Facebook, nếu ko mình sẽ rất mất thời gian để làm các thủ tục để được hoàn lại tiền.

Một số hình ảnh minh họa:

- Hiện khi thanh toán bằng thẻ thì sẽ được yêu cầu thêm thẻ mới và nhập trực tiếp trên site của Tiki chứ không phải site của cổng thanh toán.

View attachment 6213874


- Sáng nay thẻ bị add vào facebook để chi trả tiền quảng cáo.


View attachment 6213860
Thêm thông tin thẻ td thì chỗ sàn thương mại điện tử hay app nào cũng phải điền như vậy cả. Chỉ đến bước chọn thẻ thanh toán thì mới sang trang của cổng thanh toán để nhập otp sms thôi.
 

HAMATA

Xe tải
Biển số
OF-131546
Ngày cấp bằng
19/2/12
Số km
406
Động cơ
377,122 Mã lực
vãi cụ, quan trọng là thanh toán ở đâu, trang nào. Chứ thời này, lại còn làm CNTT mà còn ko dám thanh toán online bằng thẻ tín dụng thì vứt.
Nói thế thì làm thẻ td để làm gì ko phải để tiêu à, hay để rút tiền =))
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
3,900
Động cơ
771,163 Mã lực
Thêm thông tin thẻ td thì chỗ sàn thương mại điện tử hay app nào cũng phải điền như vậy cả. Chỉ đến bước chọn thẻ thanh toán thì mới sang trang của cổng thanh toán để nhập otp sms thôi.
Vâng cụ, workflow này E hiểu mà, về bản chất thì như nhau, nó chỉ là bước cung cấp thông tin thẻ cho cổng thanh toán, thay vì user nhập trực tiếp trên cổng thanh toán mỗi khi thanh toán thì có thể cung cấp 1 lần ở site merchant, sau đó merchant mới đẩy sang cổng thanh toán.
 

farevell

Xe buýt
Biển số
OF-306717
Ngày cấp bằng
6/2/14
Số km
882
Động cơ
303,424 Mã lực
Cái này đúng chuyên môn nên E chém với cụ đc, có mã hoá gì đi nữa thì dữ liệu trước khi mã hoá nó là plaintext. Cụ thể là cái thông tin thẻ mình nhập trên form của Tiki kia kìa, từ client mình nhập gì thì backend của nó sẽ nhận đc như vậy, sau đó mới mã hoá để lưu vào db (nếu có). Ngoài ra dù ko lưu vào db (ko lưu thông tin thẻ) thì vẫn có thể có ở đâu đó, ví dụ ở log request/response với payment gateway để phục vụ debug/tracking lỗi,...
thô sơ như vậy từ 20 năm trước thôi cụ nhé, hiện tại tất cả kể cả lưu log thì cũng mã hoá hết
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
3,900
Động cơ
771,163 Mã lực
thô sơ như vậy từ 20 năm trước thôi cụ nhé, hiện tại tất cả kể cả lưu log thì cũng mã hoá hết
E đang giải thích về nguyên lý, còn log hay ko, mã hoá như nào nó phụ thuộc vào công nghệ sử dụng cũng như đội dev. Và E khẳng định luôn với những site có lưu thông tin thẻ để cho những lần thanh toán sau thì ko bao giờ là mã hoá 1 chiều đc, vì nó còn phải lấy lại thông tin thẻ cho các lần thanh toán sau (user ko phải nhập lại thông tin thẻ nữa).
 
Biển số
OF-155238
Ngày cấp bằng
4/9/12
Số km
27,904
Động cơ
655,689 Mã lực
Nơi ở
Sắp chuyển
Vãi cụ thớt, làm về CNTT, am hiểu bảo mật mà lại đi dùng thẻ tín dụng thanh toán online qua Tiki.
Nhà em quên mấy chuyện thanh toán online bằng thẻ tín dụng đi, chỉ dùng thẻ ATM xác thực 2 lớp online còn tạm tin được vì phải xác thực OTP qua điện thoại.
Thẻ tín dụng chỉ dùng trực tiếp trên các máy post của bank tại các cửa hàng uy tín.
Thanh toán thẻ tín dụng trên dịch vụ của Amazon em còn cóc tin nữa là.

Bên em phát triển phần mềm cho bank và chính phủ của bọn tư bản, yêu cầu bảo mật rất cao và thường xuyên dùng dịch vụ bên thứ 3 để quét lỗ hổng bảo mật đối với mã nguồn và 3rd lib mà vẫn luôn phải trầy trật đi vá lỗ hổng thường xuyên nữa là bọn tiki.

Em có một quan điểm là cái gì đã gõ lên internet rồi thì nó không còn là của mình nữa.
Chốt cuối chuẩn này
 

tony tí

[Tịch thu bằng lái]
Biển số
OF-587202
Ngày cấp bằng
28/8/18
Số km
4,204
Động cơ
178,899 Mã lực
Nơi ở
Phía Đông nước Lào
Một cách rất đơn giản là khống chế hạn mức. Em khống chế 300k/lượt, 500k/ngày đủ dùng em đi chợ với thanh toán linh tinh thôi.
Còn nếu mua gì to tiền sẽ mở ra và sau khi thanh toán xong sẽ khóa lại luôn.
vậy thì khổ zam quá
 

cadan

Xe lăn
Biển số
OF-151495
Ngày cấp bằng
3/8/12
Số km
10,080
Động cơ
458,494 Mã lực
Tình hình là sáng nay (28/05) thông tin thẻ tín dụng của mình bị lộ và bị dùng để chạy quảng cáo facebook, tuy không có thiệt hại về tiền nhưng mình muốn đăng thông tin cảnh báo để các cụ mợ lưu ý.

- Mình làm về CNTT và sử dụng thẻ tín dụng rất nhiều nên các vấn đề về bảo mật thông tin thẻ này nọ mình nắm tương đối tốt.
- Thẻ của mình dùng đã lâu, chủ yếu dùng cho hình thức quẹt POS, đối với online thì có dùng với Grab (moca), thẻ add vào Moca đã lâu và không có vấn đề gì.
- Gần đây mình có sử dụng 2 lần để thanh toán online, 1 lần là ngày 25/05/2021 để mua hàng trên Tiki (thành công), 1 lần tiếp theo là ngày 26/05/2021 để mua trên Indiegogo (ko thành công).
- Vào lúc 05:37 sáng ngày 28/05 thẻ mình bị add vào facebook để chi trả tiền quảng cáo, sau khi add thành công thì thực hiện 2 lần trừ 6.000.000 nhưng không thành công, ngay sau đó ngân hàng đã tự động khóa thẻ (cái này phải đánh giá rất cao hệ thống của VIB).

Trở lại vấn đề thông tin thẻ bị lộ, sau khi đã rà soát lại kỹ lưỡng mình đang nghi ngờ bị lộ từ giao dịch của Tiki ngày 25/05/2021.
- Thứ nhất, đây không phải là lần đầu mình thanh toán bằng thẻ trên Tiki, nhưng nếu như các lần trước đây khi thanh toán thẻ thì đều redirect đến cổng thanh toán và nhập thông tin thẻ trực tiếp trên site của cổng thanh toán, không phải nhập trên site của Tiki. Tuy nhiên hiện tại (không rõ là từ bao giờ) thông tin thẻ lại được nhập trực tiếp trên Tiki. Về nguyên lý thì sau khi nhập trên Tiki và submit thì Tiki sẽ gửi các thông tin đó sang cổng thanh toán để xử lý giao dịch, nhưng không thể biết được ngoài việc gửi sang cho cổng thanh toán thì có còn lưu ở đâu nữa không, cái này người dùng thông thường sẽ không thể nào biết được.
- Thứ hai, thông tin thẻ được add vào Facebook để chạy quảng cáo, mà cái này (chạy quảng cáo bằng thẻ lậu) thì mấy bố VN gần như là trùm, nên càng có cơ sở để nghĩ thẻ bị lộ từ site thanh toán VN chứ không phải Indiegogo. Số tiền trừ là 6tr tròn nên cũng ko thể là từ site quốc tế (ko thể quy xx $ ra 6tr vnd tròn được).

Mình cũng sẽ liên hệ với Tiki để thông tin về vấn đề này, việc thông tin thẻ có thể bị lộ qua Tiki là nghi vấn theo quan điểm cá nhân của mình. Và 1 lần nữa mình cũng đánh giá rất cáo hệ thống nghi ngờ gian lận của VIB, đã tự động khóa thẻ chỉ sau 2 giao dịch trừ tiền thất bại của Facebook, nếu ko mình sẽ rất mất thời gian để làm các thủ tục để được hoàn lại tiền.

Một số hình ảnh minh họa:

- Hiện khi thanh toán bằng thẻ thì sẽ được yêu cầu thêm thẻ mới và nhập trực tiếp trên site của Tiki chứ không phải site của cổng thanh toán.

View attachment 6213874


- Sáng nay thẻ bị add vào facebook để chi trả tiền quảng cáo.


View attachment 6213860
Vãi cụ thớt, làm về CNTT, am hiểu bảo mật mà lại đi dùng thẻ tín dụng thanh toán online qua Tiki.
Nhà em quên mấy chuyện thanh toán online bằng thẻ tín dụng đi, chỉ dùng thẻ ATM xác thực 2 lớp online còn tạm tin được vì phải xác thực OTP qua điện thoại.
Thẻ tín dụng chỉ dùng trực tiếp trên các máy post của bank tại các cửa hàng uy tín.
Thanh toán thẻ tín dụng trên dịch vụ của Amazon em còn cóc tin nữa là.

Bên em phát triển phần mềm cho bank và chính phủ của bọn tư bản, yêu cầu bảo mật rất cao và thường xuyên dùng dịch vụ bên thứ 3 để quét lỗ hổng bảo mật đối với mã nguồn và 3rd lib mà vẫn luôn phải trầy trật đi vá lỗ hổng thường xuyên nữa là bọn tiki.

Em có một quan điểm là cái gì đã gõ lên internet rồi thì nó không còn là của mình nữa.
Em đang băn khoăn là làm sao Tiki có thể để lộ thông tin khách hàng.

ngay cả có lộ thì còn vấn đề bảo mật thông qua OTP mà thẻ tín dụng đã kết nối với số ĐT được đăng ký khi chấp nhận thanh toán online.

Nếu không nhập mấy số OTP này thì không có khoản thanh toán nào được thực hiện. Hầu như các trang thanh toán điện tử đều như thế. Hình như lazada mới có chuyện nhập đầy đủ thông tin thẻ, hoặc nếu thẻ đó đã được lưu trong tài khoản người mua tại lazada thì mới bỏ qua được khâu xac nhận OTP.
 

beetle90

Xe máy
Biển số
OF-762209
Ngày cấp bằng
8/3/21
Số km
87
Động cơ
43,437 Mã lực
Tuổi
34
Thớt:
Mình cũng sẽ liên hệ với Tiki để thông tin về vấn đề này, việc thông tin thẻ có thể bị lộ qua Tiki là nghi vấn theo quan điểm cá nhân của mình. Và 1 lần nữa mình cũng đánh giá rất cáo hệ thống nghi ngờ gian lận của VIB, đã tự động khóa thẻ chỉ sau 2 giao dịch trừ tiền thất bại của Facebook, nếu ko mình sẽ rất mất thời gian để làm các thủ tục để được hoàn lại tiền.
Rồi vừa vào thì thấy trên báo như này --> Có vẻ chả phải cảnh báo như tiêu đề thớt gì cả đâu, đơn giản là VIB chạy quảng cáo Thẻ :))
Thớt này nên được bốc sang khu Quảng cáo

1622182829630.png
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
3,900
Động cơ
771,163 Mã lực
Em đang băn khoăn là làm sao Tiki có thể để lộ thông tin khách hàng.

ngay cả có lộ thì còn vấn đề bảo mật thông qua OTP mà thẻ tín dụng đã kết nối với số ĐT được đăng ký khi chấp nhận thanh toán online.

Nếu không nhập mấy số OTP này thì không có khoản thanh toán nào được thực hiện. Hầu như các trang thanh toán điện tử đều như thế. Hình như lazada mới có chuyện nhập đầy đủ thông tin thẻ, hoặc nếu thẻ đó đã được lưu trong tài khoản người mua tại lazada thì mới bỏ qua được khâu xac nhận OTP.
đang là nghi vấn của cá nhân E thôi cụ ơi. Vẫn có 1 số cổng thanh toán không cần phải thực hiện bước xác thực thứ 2 (VBV, 3D Security,...) cụ ạ, kể cả thẻ đó đã kích hoạt. Ví dụ đơn giản như dù thẻ Em có bật 3D Security code nhưng mỗi lần đi grab hệ thống cũng tự trừ. Để an toàn thì đại đa số các cổng thanh toán sẽ yêu cầu code nếu đơn vị phát hành thẻ có hỗ trợ.
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
3,900
Động cơ
771,163 Mã lực
Thớt:


Rồi vừa vào thì thấy trên báo như này --> Có vẻ chả phải cảnh báo như tiêu đề thớt gì cả đâu, đơn giản là VIB chạy quảng cáo Thẻ :))
Thớt này nên được bốc sang khu Quảng cáo
cụ nhạy cảm quá rồi :)
 

Ne0_Njcky

Xe tải
Biển số
OF-36071
Ngày cấp bằng
27/5/09
Số km
274
Động cơ
472,536 Mã lực
Nơi ở
Far away from you

minhmo

Xe cút kít
Biển số
OF-81131
Ngày cấp bằng
25/12/10
Số km
19,257
Động cơ
3,564,403 Mã lực
Nơi ở
chuồng sư tử
Giờ fb chạy quảng cáo phải trả tiền trước à cụ, em tưởng vẫn trả sau chứ nhỉ,
Có cả trả trước và trả sau cụ nhé.
Những tài khoản Fb có uy tín: được lập lâu rồi, tương tác thường xuyên, chạy những fanpage uy tín thì sẽ được trả sau.
Những tài khoản mới lập, ít tương tác hoặc chạy những fanpage đã tình dính phốt thì FB hay bắt trả trước.
Việc trả trước hay trả sau chỉ được xác định khi xác định phương thức thanh toán.
 

oquera

Xe buýt
Biển số
OF-191606
Ngày cấp bằng
26/4/13
Số km
891
Động cơ
802,006 Mã lực
Nơi ở
Kẻ Chợ
Thì thẻ tín dụng cũng có xác thực 2 lớp mà (Visa hay gọi là 3D security), cụ tưởng chỉ thẻ ATM mới có à :)
Ngày xưa em dùng một lần thấy nhập mỗi mã thẻ với CVV code nên từ đó em cạch luôn đến giờ, chắc out of date :D
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
3,900
Động cơ
771,163 Mã lực
Ngày xưa em dùng một lần thấy nhập mỗi mã thẻ với CVV code nên từ đó em cạch luôn đến giờ, chắc out of date :D
à nó tùy cụ ạ, bank phát hành thẻ đó có hỗ trợ (hầu như giờ bank nào cũng hỗ trợ) và cổng thanh toán có sử dụng. Đúng là ngày xưa thì ít đc hỗ trợ hơn, càng ngày gian lận càng nhiều nên yêu cầu bảo mật cũng tăng theo.
 

luyenok

Xe điện
Biển số
OF-60057
Ngày cấp bằng
26/3/10
Số km
3,900
Động cơ
771,163 Mã lực
Có cả trả trước và trả sau cụ nhé.
Những tài khoản Fb có uy tín: được lập lâu rồi, tương tác thường xuyên, chạy những fanpage uy tín thì sẽ được trả sau.
Những tài khoản mới lập, ít tương tác hoặc chạy những fanpage đã tình dính phốt thì FB hay bắt trả trước.
Việc trả trước hay trả sau chỉ được xác định khi xác định phương thức thanh toán.
Như cái nó đang định trừ 6.000.000 của em kia là trả trước à cụ, trả sau thì chắc ko thể tròn số thế đc nhỉ vì nó theo lượng đã sử dụng?
 
Thông tin thớt
Đang tải

Bài viết mới

Top