Agoda, Booking bị tố để lộ số thẻ ngân hàng của khách ở Việt Nam

Ngày 25/1, anh Hiền Vũ ở TP.HCM đăng lên trang cá nhân chia sẻ về việc khách hàng hàng này phát hiện ra thông tin thẻ ngân hàng của mình không được bảo mật khi đặt phòng thông qua Agoda và Booking.com.

Theo đó, anh Hiền đặt phòng tại một resort ở Phú Quốc qua trang Agoda. Sau đó, anh nhận mail thông báo phòng đã được đặt thông qua Booking.com, một đối tác trung gian của Agoda. Khi đến resort, anh Hiền phát hiện ra toàn bộ thông tin thẻ thanh toán mà Booking.com gửi cho nơi nghỉ dưỡng đều được in chi tiết ra và không bảo mật.

"Trong một tờ giấy mà nhân viên của resort lấy ra kiểm tra mà vô tình tôi thấy được thì có tất cả thông tin thẻ của tôi, từ tên, số thẻ, mã CVC, ngày hết hạn thẻ. Và theo như resort cung cấp thì thông tin này là do trang Booking.com gửi đến".

Sau khi phát hiện vụ việc, anh Hiền đã gửi email đến Agoda để khiếu nại, nhận được hai phản hồi từ Agoda. Theo nội dung email từ dịch vụ này, Agoda cho rằng công ty có hợp tác với một công ty "chị em" khác là Booking.com. Do đó, giữa hai công ty này có cam kết chia sẻ thông tin khách hàng và luôn bảo mật thông tin đó. 

Cùng với đó, email từ Agoda cũng cho biết công ty này sẽ gửi thông tin thẻ của khách hàng cho phía khách sạn/resort nếu khách đặt phòng trả sau. Tùy nơi mà chủ khách sạn có thể áp dụng chính sách "charge" (thu) tiền đặt cọc, hoặc thu 100% chi phí khi nhận phòng. Khi chuyển thông tin cho phía khách sạn/ resort, Agoda dùng giao thức SSL (Secure Socket Layer) để mã hóa thông tin, tránh rủi ro. Phía Agoda và các đối tác cam kết không rò rỉ thông tin khách hàng ra bên ngoài. 

Lời giải thích trên được anh Hiền cho là chưa thỏa đáng, bởi nó chỉ mới xét đến công đoạn gửi thông tin từ Agoda hay Booking.com đến khách sạn/resort. Thông tin có thể được bảo mật khi chuyển qua Internet. Nhưng trong trường hợp của anh Hiền, những dữ liệu cá nhân quá chi tiết này được phía khách sạn in ra giấy, đặt trong nguy cơ bất cứ ai cũng có thể chiếm được thông tin đó và sử dụng trái phép để mua sắm, thanh toán tại nơi khác.

Lời giải thích từ Agoda cũng gián tiếp chỉ ra lỗi làm lộ thông tin là của phía resort/khách sạn (vì in ra giấy và bảo mật kém), không nhận trách nhiệm gì về việc gửi số thẻ tín dụng của khách hàng cho đối tác.

Trong email hồi đáp sau đó, Agoda cũng cho rằng "là một dịch vụ đặt phòng trực truyến, chúng tôi không thể đưa ra bình luận hay phán xét nào về việc thông tin tài khoản của người dùng được sử dụng ở nơi khác". 

Nói với Zing.vn, một chuyên gia làm nhiều năm trong lĩnh vực nhà hàng khách sạn cho biết Agoda và Booking.com thường sử dụng virtual card (một loại thẻ ảo) có số tiền tương đương với số tiền cần thanh toán trên thẻ của khách hàng để chuyển cho phía resort/khách sạn. Nhưng do đặc thù tại một số nơi cần thanh toán linh hoạt các phụ phí, có khoảng 30% số thẻ gửi đến là thẻ thật. 

Anh Hoàng Phương, chủ một Homestay ở Đà Lạt cho biết khi Agoda gửi thông tin cho mình thường chỉ cho phép hiện thông tin thẻ ngân hàng của khách 3 lần. Căn cứ vào ảnh chụp của a Hiền, nhiều khả năng phía resort ở Phú Quốc đã chụp màn hình khi hiện thẻ tín dụng để in ra đầy đủ. 

Sau chia sẻ của anh Hiền, nhiều người dùng Facebook đã đăng nhập trở lại vào các trang web đặt phòng để hủy thông tin thẻ tín dụng. "Từ nay tôi sẽ chỉ dùng thẻ debit có sẵn tiền trong đó và chọn hình thức trả trước chứ không dùng thẻ credit nữa", Phạm Thành Khoa, một designer ở TP.HCM cho biết. 

Hiện trên giao diện của Agoda, khi khách hàng điền thông tin thẻ, vẫn có tùy chọn để Agoda không lưu trữ thông những thông tin này trong hồ sơ. Zing.vn đang liên hệ với Agoda để có thêm thông tin về vụ việc.

Theo Duy Nguyễn (Tri Thức Trực Tuyến)