Tiềm ẩn rủi ro lộ thông tin cá nhân khi chuyển tiền qua số điện thoại.
Thông tin cá nhân đang đề cập là họ tên, hình ảnh, số điện thoại, là tất cả những thông tin gắn liền với một cá nhân nào đó. Đây là thông tin mà người dùng đăng tải và sử dụng Momo.
Tìm kiếm một số điện thoại để chuyển tiền từ số điện thoại bất kỳ, thì có thể thấy thông tin cá nhân người đó. Tính năng này hữu ích, nó người chuyển tiền xác nhận thông tin người, làm tăng độ tin cậy trong giao dịch chuyển tiền, tuy nhiên tiềm ẩn rủi ro lộ thông tin cá nhân khi chuyển tiền qua số điện thoại.
Thử tìm kiếm một người lạ bất kỳ, từ số điện thoại ngày, có thể là một số điện thoại được dán ở cột điện chẳng hạng, kết quả là có thể xem thông tin cá nhân người này, bao gồm tên, hình ảnh. Đặc biệt là trang cá nhân có tick xanh, tức là thông tin đã được Momo xác thực, càng chứng tỏ thông tin cá nhân đó là chính xác.
Minh hoạ bằng ảnh bên dưới:
Thực hiện thao tác này với ứng dụng Zalo, thông qua tính năng bạn bè chẳng hạn có cơ chế tương tự Momo, tuy nhiên Zalo có cơ chế cho phép/không cho phép kết bạn từ các nguồn như số điện thoại ,QR Code …
Nếu người dùng Zalo A, không cho phép kết bạn từ số điện thoại, thì cá nhân B không thể xem thông tin của A. Nếu cá nhân B, thực hiện tính năng kết bạn qua số điện thoại của A, thì Zalo hiển thị thông tin: “Số điện thoại chưa đăng ký tài khoản hoặc không cho phép tìm kiếm”.
Ảnh minh họa trên ứng dụng Zalo:
Đây là cơ chế bảo vệ thông tin cá nhân mà MoMo còn thiếu. Từ phần cài đặt thông tin cá nhân và riêng tư, không có cách nào để ngăn người khác xem thông tin cá nhân của mình
Ảnh minh họa trên ứng dụng Momo:
Bên cạnh đó, QR nhận tiền của Momo không được mã hóa, người dùng có thể dùng các dụng scan QR bất kỳ nào để đọc thông tin này, nó là chuỗi có định dạng:
2|99|số điện thoại|họ và tên||0|0|số tiền muốn nhận||transfer_myqr
hoặc
2|99|số điện thoại|họ và tên|email|0|0|số tiền muốn nhận
Từ đây, nếu QR nhận tiền cá nhân của Momo được hiển thị công khai trên internet thì các thông tin như số điện thoại, họ và tên, email của người dùng có thể bị lộ. QR nhận tiền của Momo, nên được mã hóa bởi Momo và chỉ ứng dụng Momo mới có thể scan và thực hiện các thao tác tiếp theo trong ứng dụng.
Momo không có cơ chế cài đặt cho phép/không cho phép hiển thị thông tin cá nhân, cho phép/không cho phép người khác tìm thấy thông tin bản thân trên Momo qua số điện thoại.
Một số đối tượng xấu sử dụng cơ chế chuyển tiền qua số điện thoại của Momo, để thu thập thông tin cá nhân của người khác và sử dụng vào mục đích vụ lợi, gây hại, trái pháp luật.
Momo cần có cơ chế cài đặt cho phép/không cho phép hiển thị thông tin cá nhân, cho phép/không cho phép người khác tìm thấy thông tin bản thân trên Momo qua số điện thoại.
Cho phép/không cho phép chuyển tiền qua định danh cá nhân như Momo ID (Momo token), user ID, với người dùng cá nhân hơn là dùng số điện thoại.