Cảnh báo bảo mật cho người dùng Zalo khi thay đổi SIM

Hôm nay mình có gặp một trường hợp khá đặc biệt về vấn đề sử dụng Zalo, nên mình viết bài post này với mong muốn có thể cảnh báo và hướng dẫn các bạn quan tâm hơn về việc sử dụng tài khoản Zalo.

Mình xin đi thẳng vào vấn đề.

Mẹ của mình mới mua 1 SIM mới ở 1 cửa hàng ĐT và gắn SIM vào máy để sử dụng. Vài ngày sau, bà muốn sử dụng Zalo nên mình đăng ký tài khoản Zalo mới bằng SIM vừa mua. Nhưng khi mình nhập số điện thoại vào phần đăng ký thì Zalo báo là số điện thoại này đã được dùng, kèm theo 1 tài khoản lạ và đề nghị mình dùng tính năng Đặt lại mật khẩu. Rất đơn giản là sau 1 cuộc gọi tự động để cung cấp mã xác nhận thì mình reset được pass mới.

Sự việc không có gì đáng nói nếu như Zalo ko hỏi CÓ ĐỒNG BỘ TIN NHẮN hay ko? Vì tò mò nên mình nhấn Có luôn xem sao, và mình đã đọc được toàn bộ lịch sử nhắn tin của tài khoản Zalo đó rất dễ dàng, trong đó không ít nội dung tin nhắn rất nhạy cảm.

Vậy có điều gì đáng nói ở đây?

Về phía người dùng

Zalo là một ứng dụng OTT thuần Việt và là ứng dụng OTT phổ biến nhất ở Việt Nam, theo thông tin của VNG thì Zalo đã vượt mốc 100 triệu người dùng (trong khi dân số của Việt Nam hiện tại chỉ khoảng hơn 90 triệu, kể cả trẻ em và người già). Tức là có rất nhiều người dùng cùng lúc nhiều tài khoản Zalo, trong đó có việc tạo TK Zalo qua SIM rác, sau đó bỏ SIM và mua SIM khác rồi tạo tiếp tài khoản khác.

Điều này dẫn đến sự việc như mình đã nêu ở trên. Họ không nghĩ rằng với những tin nhắn qua Zalo sẽ được giữ lại và đồng bộ (tuy không phải trên nền tảng đám mây như Facebook Messenger), chỉ nghĩ đơn giản là mất hoặc bỏ tài khoản này là có thể tạo lại tài khoản khác; và rồi những thông tin trao đổi qua Zalo lại dễ dàng bị người khác đọc được. Những thông tin bị lộ lọt ấy có thể bị lợi dụng để tống tiền, lừa đảo. Nghiêm trọng hơn khi hiện nay nhiều công ty, tổ chức đang dùng Zalo như một ứng dụng trao đổi nội bộ. Những thông tin lộ lọt ra ngoài lại có cả những thông tin mật hoặc thông tin kinh doanh sẽ rất nguy hiểm.

Về phía Zalo

Mình cho rằng quy trình bảo mật cho khách hàng của Zalo có vấn đề khi chỉ cần SIM là có thể khôi phục toàn bộ lịch sử tin nhắn mà không có sự kiểm tra chéo (như reset pass qua email hoặc qua số dự phòng), nhất là trong tình hình loạn SIM rác như Việt Nam hiện nay.

Như Facebook hoặc Google: muốn reset lại mật khẩu cần phải có yếu tố xác thực thứ ba (qua email, email khác hoặc SĐT dự phòng đã đăng ký), chứ không phải như Zalo chỉ dựa vào tên đăng nhập là số điện thoại và reset pass lại gửi trực tiếp vào SĐT đó. Quá dễ!

Người dùng Zalo cần làm gì?

Một là, khi không còn dùng tài khoản Zalo đó nữa (khi mất SIM, đổi SIM…) thì phải dùng tính năng Xoá tài khoản để xoá toàn bộ lịch sử về tài khoản của mình. Cách thực hiện: Đăng nhập Zalo trên smartphone – vào menu ThêmCài đặtTài khoản và bảo mậtXoá tài khoản.

Hai là, trong trường hợp mình vẫn dùng tài khoản Zalo nhưng không gắn với SIM, bạn nên sao lưu lại tin nhắn, xoá tài khoản đó, sau đó tạo lại tài khoản mới rồi phục hồi tin nhắn lại. Không nên tiếp tục sử dụng tài khoản Zalo không gắn liền với SIM vì rất dễ dàng bị mất tài khoản.

Ba là, các doanh nghiệp, tổ chức cần xem xét lại vấn đề sử dụng Zalo làm ứng dụng nhắn tin nội bộ. Không thể phủ nhận sự tiện dụng và phổ biến của Zalo, nhưng với sự kém an toàn của nó, doanh nghiệp, tổ chức có thể sử dụng các nền tảng khác, đơn cử như Workplace bảo mật hơn.

Kết

Zalo tốt, tiện và phổ biến, điều đó không cần bàn cãi. Nhưng qua bài viết, hi vọng mọi người có ý thức bảo vệ mình tốt hơn để không phải xảy ra những điều đáng tiếc khi sử dụng ứng dụng OTT này.

Bạn thấy bài viết này hay?
Mình còn nhiều bài viết nữa, và sẽ gửi cho bạn qua email những tin bài mới nhất.
I agree to have my personal information transfered to MailChimp ( more information )

Gửi phản hồi