Mất 5 tỉ đồng trong tài khoản KienlongBank: Lỗ hổng sinh trắc học động gây tranh cãi
Ông N.C.S (trú tại Hà Nội) vừa chia sẻ câu chuyện gây sốc khi số tiền 5 tỉ đồng trong tài khoản Ngân hàng TMCP Kiên Long (KienlongBank, KLB) bốc hơi cách đây gần 4 tháng. Điều đáng nói là giao dịch này hoàn toàn không qua lớp bảo mật an toàn bắt buộc là sinh trắc học khuôn mặt động, làm dấy lên lo ngại về an ninh hệ thống ngân hàng.
Diễn biến sự việc: Từ mở tài khoản đến mất tiền chóng vánh
Theo ông N.C.S, vào khoảng 13 giờ 5 đến 13 giờ 20 ngày 12.12.2025, ông đã mở tài khoản thanh toán tại KienlongBank thông qua hình thức định danh điện tử (eKYC). Chỉ 3 tiếng sau, ông trực tiếp đến quầy giao dịch để gửi 50 triệu đồng vào tài khoản và kiểm tra số dư trên ứng dụng Kienlongbankplus qua thiết bị di động đầu tiên. Mọi thứ đều hiển thị bình thường, và ông không nhận được bất kỳ cảnh báo nào về việc có thiết bị thứ hai được gắn vào tài khoản.
Sau đó, ông N.C.S tiếp tục chuyển tiền từ tài khoản HDBank sang KLB bằng hình thức trực tuyến, với tổng số tiền lên đến 5,45 tỉ đồng, nâng tổng dư lên 5 tỉ đồng. Tuy nhiên, đến 1 giờ 19 phút rạng sáng ngày 13.12.2025, tài khoản của ông bất ngờ bị rút đi toàn bộ 5 tỉ đồng mà không phải do ông thực hiện. Ông khẳng định chưa từng dùng thiết bị thứ hai để rút tiền.
Phản ứng từ ngân hàng và những điểm bất thường
Ngay khi sự việc xảy ra, ông N.C.S đã gửi văn bản khiếu nại đến KienlongBank, nhưng phải đợi đến 2 tuần sau (ngày 16.12.2025) ngân hàng mới có phản hồi chính thức kèm theo tài liệu kỹ thuật. KLB xác nhận rằng tài khoản bị mất tiền do sử dụng 2 thiết bị, và thiết bị thứ hai chính là nguồn thực hiện các giao dịch rút tiền.
Ông N.C.S cho biết: "Đại diện KLB đã đề xuất bồi hoàn 50% số tiền bị mất, nhưng tôi thấy đây là bất hợp lý vì tôi không hề có ý chí rút tiền. Sau khi nghiên cứu kỹ tài liệu từ ngân hàng, tôi phát hiện nhiều điểm bất thường, từ khi mở tài khoản eKYC đến lúc 5 tỉ đồng bị rút đi."
Nghi vấn về sinh trắc học tĩnh và lỗ hổng hệ thống
Ông N.C.S đặt ra hàng loạt câu hỏi: Tại sao không có sinh trắc học khuôn mặt động mà số tiền lớn vẫn bị chuyển đi? Ông chỉ ra rằng ngay khi mở tài khoản, đã có một thiết bị lạ (thiết bị 2) được gắn vào, điều này là bất khả thi về mặt vật lý vì không ai có thể khởi tạo tài khoản trên hai thiết bị trùng khớp đến từng phần triệu giây.
Theo ông, dữ liệu sinh trắc học mà KLB cung cấp cho thiết bị thứ hai chỉ gồm 4 ảnh tĩnh, trong đó có 3 ảnh từ lúc mở eKYC và một ảnh ông mặc vest đen ngồi trên ô tô. Điều này cho thấy dữ liệu có thể đã bị sao chép hoặc nhân bản, vi phạm Quyết định 2345 của Ngân hàng Nhà nước yêu cầu sinh trắc học động cho giao dịch đầu tiên trên thiết bị mới.
Ông nhận định: "Hệ thống đã cấp quyền và xử lý giao dịch mà không có dữ liệu xác thực hợp lệ, chứng tỏ trách nhiệm thuộc về đơn vị vận hành. Cần có sự kiểm tra, giám định kỹ thuật để ngăn ngừa rủi ro tương tự."
Phía ngân hàng và ý kiến chuyên gia
Cuối tuần qua, KienlongBank lên tiếng khẳng định hệ thống của họ vận hành chặt chẽ theo các lớp bảo mật của Ngân hàng Nhà nước. Ngân hàng nghi ngờ tài khoản bị lộ lọt mã OTP, dẫn đến việc đối tượng xấu chiếm quyền kiểm soát. Họ cho biết đã phối hợp với ngân hàng liên kết để phong tỏa một phần dòng tiền và chuyển hồ sơ sang cơ quan công an.
Ông Võ Đỗ Thắng, Giám đốc Trung tâm đào tạo An ninh mạng Athena, nhấn mạnh: "Có nhiều vấn đề cần làm rõ, như việc sử dụng ảnh tĩnh để vượt qua sinh trắc học động là điều lạ. Hơn nữa, 11 giao dịch vào lúc 1-2 giờ sáng mà hệ thống giám sát không phát hiện bất thường cũng đáng lo ngại." Ông kêu gọi cơ quan chức năng vào cuộc để xác định trách nhiệm giữa khách hàng và ngân hàng.
Sự việc này làm nổi bật những thách thức trong bảo mật ngân hàng số, đặc biệt là việc tuân thủ các quy định về sinh trắc học động và giám sát giao dịch. Cộng đồng đang chờ đợi kết quả điều tra từ cơ quan có thẩm quyền để có câu trả lời rõ ràng.
