VPBank: Thông tin đăng nhập, password, sinh trắc học và CVV của khách hàng không được gửi vào hệ thống CIC

Ngân hàng TMCP Việt Nam Thịnh Vượng (VPBank) vừa phát đi thông báo liên quan đến sự cố an ninh mạng xảy ra tại Trung tâm Thông tin tín dụng quốc gia Việt Nam (CIC). Trước đó, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) công bố kết quả ban đầu cho thấy có dấu hiệu vi phạm dữ liệu cá nhân.

Theo VPBank, việc báo cáo dữ liệu lên CIC được các ngân hàng, trong đó có VPBank, thực hiện theo đúng quy định của Ngân hàng Nhà nước. Ngân hàng khẳng định một số thông tin quan trọng của khách hàng không được gửi sang hệ thống CIC mà chỉ được bảo mật tại VPBank.

Các dữ liệu này gồm thông tin đăng nhập hệ thống ngân hàng điện tử (tên đăng nhập, mật khẩu, dữ liệu sinh trắc học); thông tin thẻ ghi nợ và thẻ tín dụng (số thẻ, mã CVV/CCC).

Thông báo của VPBank cho biết hệ thống ngân hàng điện tử của ngân hàng đáp ứng tiêu chuẩn bảo mật quốc tế như ISO 27001 và PCI DSS. Các giao dịch được bảo vệ qua nhiều lớp, gồm xác thực sinh trắc học, OTP và SmartOTP. Theo VPBank, mã OTP/SmartOTP là dữ liệu dùng một lần, không được lưu trữ và chỉ có thể lộ lọt trong trường hợp khách hàng trực tiếp chia sẻ hoặc thiết bị bị chiếm quyền kiểm soát.

Hiện Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) cùng các đơn vị chức năng thuộc NHNN và doanh nghiệp an ninh mạng đang phối hợp triển khai biện pháp kỹ thuật và nghiệp vụ để ứng phó, xác minh và bảo đảm an toàn hệ thống.

VPBank đồng thời khuyến cáo khách hàng theo dõi thông tin từ nguồn chính thống, tránh tâm lý hoang mang và cảnh giác với các hình thức lừa đảo lợi dụng sự cố. Ngân hàng nhấn mạnh: kẻ gian không thể trực tiếp chiếm đoạt tài sản từ sự cố này, nhưng có thể sử dụng thông tin để phát tán mã độc, tạo kịch bản giả mạo. Do đó, khách hàng không nên cài đặt ứng dụng từ nguồn không chính thống và tuyệt đối không cung cấp mã OTP/SmartOTP cho bất kỳ ai, kể cả người tự xưng là nhân viên ngân hàng.

Thảo Vân