Was sagen VPBank und 9Pay zum Cybersicherheitsvorfall bei CIC?

Am Nachmittag des 12. September veröffentlichte die Vietnam Prosperity Joint Stock Commercial Bank ( VPBank ) eine Mitteilung über einen Cybersicherheitsvorfall, der sich beim Vietnam National Credit Information Center (CIC) ereignet hatte.

Zuvor hatte das vietnamesische Cyber-Notfallzentrum (VNCERT) erste Ergebnisse veröffentlicht, die Anzeichen für Datenschutzverletzungen zeigten.

Laut VPBank erfolgt die Datenübermittlung an die CIC durch Banken, einschließlich VPBank, gemäß den Bestimmungen der Staatsbank. Die Bank bestätigte, dass einige wichtige Kundendaten nicht an das CIC-System übermittelt, sondern bei VPBank vertraulich behandelt werden.

Diese Daten umfassen Anmeldeinformationen für das elektronische Bankwesen (Benutzername, Passwort, biometrische Daten); Debit- und Kreditkarteninformationen (Kartennummer, CVV/CCC-Code).

VPBank gab bekannt, dass ihr E-Banking-System internationale Sicherheitsstandards wie ISO 27001 und PCI DSS erfüllt. Transaktionen sind durch mehrere Sicherheitsebenen geschützt, darunter biometrische Authentifizierung, OTP und SmartOTP.

Laut VPBank handelt es sich bei OTP/SmartOTP-Codes um einmalige Daten, die nicht gespeichert werden und nur dann offengelegt werden können, wenn der Kunde sie direkt weitergibt oder das Gerät übernommen wird.

Derzeit koordiniert die Abteilung für Cybersicherheit und Prävention von Hightech-Kriminalität (A05) gemeinsam mit den Funktionseinheiten der Staatsbank und Cybersicherheitsunternehmen die Umsetzung technischer und fachlicher Maßnahmen zur Reaktion, Überprüfung und Gewährleistung der Systemsicherheit.

VPBank empfiehlt ihren Kunden, sich an offizielle Informationsquellen zu halten, Ruhe zu bewahren und wachsam gegenüber Betrugsversuchen zu sein, die den Vorfall ausnutzen. Die Bank betont, dass Kriminelle zwar nicht direkt auf Vermögenswerte aus diesem Vorfall zugreifen können, die Informationen aber nutzen können, um Schadsoftware zu verbreiten und gefälschte Szenarien zu erstellen.

Deshalb sollten Kunden keine Anwendungen aus inoffiziellen Quellen installieren und OTP/SmartOTP-Codes auf keinen Fall an irgendjemanden weitergeben, auch nicht an Personen, die sich als Bankangestellte ausgeben.

Im Zusammenhang mit diesem Vorfall bestätigte 9Pay außerdem, dass es keinerlei Daten von 9Pay und 9Pay-Kunden an CIC weitergegeben oder übermittelt hat. Daher waren alle persönlichen Daten, Karteninformationen und Transaktionsdaten von Kunden, die 9Pay-Dienste nutzen, von dem Vorfall nicht betroffen.

Diese Einheit bestätigte, dass das 9Pay-System strenge Sicherheitsmaßnahmen anwendet, darunter: die ständige Einhaltung der Datenschutzgesetze und der PCI-DSS-Standards, um die Sicherheit der Karteninformationen gemäß den Vorschriften der Staatsbank zu gewährleisten; die Verschlüsselung aller Zahlungsinformationen und persönlichen Identifikationsdaten; ein vierteljährlicher periodischer Bewertungs- und Überprüfungsprozess; sowie die jährliche unabhängige Bewertung durch internationale Organisationen.

Insbesondere wurde 9Pay die PCI-DSS-Level-1-Zertifizierung verliehen – die höchste und strengste Stufe des Payment Card Industry Data Security Standard. Dies gewährleistet, dass alle Transaktionen über das 9Pay-Zahlungsgateway internationalen Sicherheitsstandards entsprechen. Als Fintech-Unternehmen, das sich auf digitale Zahlungsplattformen spezialisiert hat, betreut 9Pay täglich Hunderttausende von Kunden und Transaktionen. Im Bewusstsein der Bedeutung von Zahlungsdatensicherheit überprüft 9Pay proaktiv alle Aktivitäten im Zusammenhang mit der Speicherung, Übertragung, dem Schutz und der Nutzung personenbezogener Daten während des gesamten Betriebs seiner Produkte und Dienstleistungen.

Quelle: https://www.vietnamplus.vn/vpbank-9pay-noi-gi-ve-su-co-an-ninh-mang-xay-ra-tai-cic-post1061509.vnp