Thẻ quà tặng Apple có an toàn không?

 (daringfireball.net)
1 điểm bởi GN⁺ 2025-12-19 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một người dùng đã gặp sự cố tài khoản Apple bị khóa và mất quyền truy cập vào toàn bộ nội dung sau khi redeem một thẻ quà tặng Apple 500 USD đã bị can thiệp
  • Thẻ này trông như hàng chính hãng được mua tại một chuỗi bán lẻ lớn, nhưng ngay sau khi đổi, tài khoản đã bị vô hiệu hóa và toàn bộ iCloud cùng lịch sử mua trên App Store đều biến mất
  • Adam Engst của TidBITS cho rằng vì những rủi ro như vậy, “thẻ quà tặng Apple về bản chất nên được xem như mã độc kỹ thuật số”, đồng thời kêu gọi tránh mua và sử dụng
  • Đội Executive Relations của Apple đã điều tra vụ việc, nhưng nguyên nhân vô hiệu hóa tài khoản và quy trình khôi phục vẫn mơ hồ; sau đó tài khoản được khôi phục sau một tuần
  • Trường hợp này cho thấy những lo ngại về độ tin cậy của thẻ quà tặng Apple và sự thiếu minh bạch trong hệ thống bảo mật tài khoản

Vụ khóa tài khoản Apple của Paris Butterfield-Addison

  • Butterfield-Addison đã mua một thẻ quà tặng Apple trị giá 500 USD tại một nhà bán lẻ lớn rồi redeem, và ngay sau đó tài khoản Apple bị khóa, toàn bộ lịch sử mua media và quyền truy cập iCloud đều bị chặn
    • Anh đã công khai sự việc trên blog cá nhân, và nhiều trang như Daring Fireball, Michael Tsai, Nick Heer, AppleInsider, The Register đã đưa tin
    • Đội Executive Relations của Apple đã điều tra vụ việc, nhưng ban đầu không có khôi phục tài khoản cũng như giải thích nguyên nhân
  • Gruber đề cập rằng mức 500 USD tương đối lớn có thể là một phần nguyên nhân, nhưng không thể xác nhận vì Apple không công bố lý do chính thức
    • Apple hiện giới hạn giá trị tối đa của thẻ quà tặng ở Mỹ ở mức 2.000 USD, nên bản thân mức 500 USD không phải là bất thường

Tranh cãi về độ an toàn của thẻ quà tặng Apple

  • Adam Engst của TidBITS cho rằng “nếu redeem một thẻ quà tặng đã bị can thiệp thì tài khoản có thể bị khóa”, và nói rằng cần tránh mua thẻ quà tặng Apple cũng như phổ biến rộng rãi rủi ro này
    • Ông ví điều đó như “Russian roulette kỹ thuật số” và cảnh báo rằng ngay cả dùng làm quà tặng cũng có thể nguy hiểm
  • Sau vụ việc này, Gruber nói rằng ông sẽ chỉ dùng thẻ quà tặng trực tiếp tại Apple Store, và không dùng cho các giao dịch gắn với tài khoản Apple
    • Ông chỉ ra rằng các thủ đoạn lừa đảo ngày càng tinh vi, nên ngay cả khi nguồn gốc của thẻ có vẻ đáng tin cậy cũng không thể đảm bảo an toàn tuyệt đối

Sự mờ mịt trong quá trình vô hiệu hóa và khôi phục tài khoản

  • Gruber chỉ ra rằng không rõ quyết định vô hiệu hóa tài khoản của Apple là do con người đưa ra hay do thuật toán phát hiện gian lận tự động
    • Ông nói rằng “có cảm giác như bên trong Apple chỉ cần bật một công tắc là có thể khôi phục tài khoản, nhưng trên thực tế dường như không phải vậy”
  • Ông đề cập rằng nếu không thể khôi phục tài khoản, Apple có thể chọn cách hoàn tiền toàn bộ các khoản mua của người dùng rồi để họ tạo tài khoản mới
    • Quy trình như vậy hàm chứa khả năng mất vĩnh viễn dữ liệu người dùng và lịch sử mua hàng

Diễn biến sau sự việc

  • Ngay sau khi bài viết được đăng, Butterfield-Addison đã cập nhật rằng tài khoản của anh đã được khôi phục bởi người phụ trách từ đội Executive Relations của Apple
    • Dù đã được khôi phục, vì sao tài khoản bị khóa và vì sao phải mất một tuần để giải quyết vẫn chưa có lời giải
  • Ngay cả sau khi sự việc được xử lý, Gruber vẫn chỉ ra rằng câu hỏi cốt lõi “redeem thẻ quà tặng Apple an toàn đến mức nào” vẫn còn nguyên

Những câu hỏi còn lại và hàm ý

  • Trường hợp này cho thấy điểm yếu của hệ thống thẻ quà tặng Apple và sự thiếu minh bạch trong quy trình quản lý tài khoản
  • Việc ngay cả kênh mua hàng bình thường cũng có thể dẫn tới khóa tài khoản đã được xác nhận, ảnh hưởng đến niềm tin của người dùng
  • Liệu hệ thống bảo mật nội bộ và hỗ trợ khách hàng của Apple có đang phụ thuộc quá mức vào tự động hóa hay không đang nổi lên như một điểm tranh luận chính

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-12-19
Ý kiến trên Hacker News

  • Vụ việc lần này gợi ra nhiều chủ đề. Trong thời đại mà tài khoản Apple/iCloud đã trở thành thứ thiết yếu trong đời sống như hiện nay, việc tài khoản có thể bị đình chỉ dễ dàng như vậy là một vấn đề nghiêm trọng
    Mọi quyền truy cập vào tin nhắn, Apple Wallet, giấy tờ tùy thân kỹ thuật số, gói đăng ký, nội dung media đã mua đều có thể bị chặn chỉ trong chốc lát. Thay vì chỉ khuyên rằng “đừng phụ thuộc vào công nghệ”, tôi nghĩ cần có cơ chế phòng ngừa cho những tình huống như thế này
    Ngoài ra, khi ly hôn hoặc ly thân cũng không có tính năng chia tách lịch sử mua hàng, và cũng không thể tách khỏi tài khoản gia đình hay gán con cái vào nhiều gia đình khác nhau. Apple cần xử lý tốt hơn những kịch bản thực tế như vậy

    • Tôi có cảm giác mức độ dịch vụ hiện nay chẳng khác gì 25 năm trước. Trước kia mất email cũng không phải chuyện lớn, nhưng giờ đây một tài khoản lại gắn với hàng trăm dịch vụ quan trọng
      Tuy nhiên, nhân sự hỗ trợ khách hàng gần như không tăng lên, và chủ yếu vẫn dựa vào các tổng đài thuê ngoài chỉ biết đọc FAQ
    • Tài khoản Apple và Google rất quan trọng, nhưng bọn lừa đảo có thể tạo ra hàng nghìn tài khoản mỗi ngày. Vì vậy, khả năng cao một phần đáng kể trong tổng số tài khoản là tài khoản giả
      Người dùng thật không muốn bị spam, nên Apple phải chặn nhanh các tài khoản gian lận. Nhưng đồng thời cũng phải bảo vệ tài khoản hợp lệ, nên cần có sự cân bằng
      Nếu Apple nới lỏng việc khóa tài khoản, cái giá phải trả sẽ là xác minh danh tính mạnh hơn. Nói cách khác, để giữ tài khoản an toàn hơn thì mức độ giám sát khó tránh khỏi sẽ tăng lên
    • Tôi nghĩ iCloud là một dịch vụ được đánh giá quá cao. Trong thời gian dài, nó thậm chí còn không có mã hóa dữ liệu lưu trữ. Tôi dùng Time Machine và trình quản lý mật khẩu, còn bản sao lưu thì để trong két sắt
    • Phần lớn ảnh của tôi đang ở trên Google Photos nên cũng thấy bất an. Có lẽ tôi nên làm sao lưu kép sang Amazon hoặc iCloud
    • Google cũng kém hiệu quả theo cách tương tự. Không có cách nào để chặn hoàn toàn một người có trong danh bạ. Sau khi chia tay với đồng sáng lập cũ, tôi từng gặp rắc rối khi cộng tác với một người bạn trùng tên, vì tính năng tự động hoàn thành. Trong thế giới thực, kiểu tính năng cắt đứt quan hệ như vậy thực sự cần thiết

  • Tôi nghĩ ranh giới giữa việc dùng thẻ quà tặng hợp pháp và dùng cho lừa đảo là rất mong manh. Trước đây tôi từng thử “manufactured spend” để tích điểm thẻ tín dụng, và nó trông gần như rửa tiền
    Có thể tích điểm hai lần với một số thẻ quà tặng nhất định rồi đổi ra tiền mặt ngay. Cuối cùng lỗ hổng đó bị bịt rất nhanh

    • Tôi cũng từng tích dặm bay theo cách tương tự và đi du lịch châu Âu. Tôi mua money order bằng thẻ Visa trả trước rồi nộp lại, xoay vòng điểm vô hạn. Tôi còn nhớ nhân viên thu ngân đã nhìn tôi rất khả nghi
    • Về bản chất thì gần như không khác gì rửa tiền. Chỉ khác ở chỗ đó không phải tiền bất hợp pháp. Tính hợp pháp hay bất hợp pháp chỉ bị phân định bởi ý đồ mà thôi
    • Hơn nữa, ngay cả thẻ quà tặng trông có vẻ hợp pháp cũng có thể đã dính tới gian lận ở đâu đó trong quá trình lưu thông. Nếu nạn nhân báo cáo, ngay cả người dùng hoàn toàn vô tội cũng sẽ bị liên lụy

  • May là vụ việc đã được giải quyết, nhưng vẫn còn rất nhiều câu hỏi

    1. Tại sao chỉ vì đăng ký một thẻ quà tặng lỗi mà toàn bộ tài khoản lại bị đình chỉ
    2. Tại sao nếu không có sự chú ý của báo chí thì lại không thể nhận được hỗ trợ
    3. Có nên giới hạn việc doanh nghiệp phát triển quá lớn đến mức không thể hỗ trợ khách hàng hay không
      Ngân hàng xử lý các vấn đề như thế này theo từng bước, còn các nền tảng như Facebook thì đôi khi lại khóa vĩnh viễn tài khoản chỉ sau một ngày
    • Về mặt pháp lý, ngân hàng không thể đóng băng vĩnh viễn tiền của khách hàng, và quy trình xác minh danh tính cũng rõ ràng. Trong khi đó, tài khoản trực tuyến thì gần như không bị ràng buộc pháp lý, mà cũng không thu thập nhiều thông tin định danh
    • Nhưng ngân hàng đôi khi cũng đóng băng tài khoản mà không có lý do rõ ràng. Chỉ là bạn may mắn thôi, chuyện này có thể xảy ra với bất kỳ ai
    • Khả năng cao là Apple đã nhầm người dùng thành tội phạm. Nhưng vì sao họ lại nghi ngờ nạn nhân thay vì thủ phạm thật sự thì tôi không thể hiểu nổi. Tôi nghĩ vấn đề không nằm ở quy mô mà là ở văn hóa phớt lờ khách hàng
    • Cũng có thể tên người đó có từ như “Butt” nên bị thuật toán lọc tự động chặn lại. Dù vậy, vẫn không có câu trả lời gốc rễ nào

  • Bài liên quan: Apple has locked my Apple ID, and I have no recourse — 1730 điểm, 1045 bình luận

  • Cốt lõi ở đây là ảo tưởng về quyền sở hữu. Mọi người nghĩ rằng họ sở hữu tài khoản và dữ liệu của mình, nhưng thực tế không phải vậy. Bản thân từ “mua” đã gây hiểu lầm. Về mặt pháp lý, lẽ ra phải gọi là “thuê” hoặc “được cấp quyền sử dụng có giới hạn”

    • Khi tạo tài khoản Apple, theo điều khoản sử dụng thì tài khoản đó vốn đã có thể bị đóng bất cứ lúc nào. Thay vì khái niệm “sở hữu”, cần có thứ như bộ luật quyền người tiêu dùng. Người dùng hợp pháp phải có quyền kháng nghị khi tài khoản bị đóng
    • Thậm chí tôi còn nghĩ pháp luật nên bảo đảm việc “mua” theo đúng nghĩa thực sự. Đi theo hướng làm suy yếu quyền công dân là không đúng

  • Giờ tôi định sẽ báo với người nhà rằng thẻ quà tặng Apple rất rủi ro, đừng dùng nữa. Cũng khó mà giải thích nguồn tin, nên cấm hoàn toàn có lẽ là an toàn nhất

  • Rõ ràng đây là một loại thẻ quà tặng không an toàn. Vụ việc lần này cho thấy chúng ta bị trói buộc vào hệ sinh thái số đến mức nào. Trước đây tôi từng bấm “Login with Google/Apple” mà không cần suy nghĩ, nhưng giờ thì sẽ phải nghĩ lại

    • Một nhân viên Apple đã khuyên rằng “thẻ quà tặng phải được mua trực tiếp từ Apple”. Đây có lẽ là giải pháp thực tế nhất
      Rốt cuộc, thẻ quà tặng bán ở cửa hàng bán lẻ chỉ là mồi nhử của kẻ lừa đảo. Tôi còn nghĩ có thể kiện tòa án khiếu kiện nhỏ đối với nhà bán lẻ đã bán loại sản phẩm này
    • Tôi tuyệt đối không dùng nút đăng nhập mạng xã hội cho các tài khoản quan trọng. Chỉ dùng cho tài khoản dùng một lần

  • Ngay cả từ phía nhà bán lẻ, tôi nghĩ vấn đề này cũng rất khó xử. Vì thẻ quà tặng là phương tiện số một cho gian lận thanh toán. Chúng có thể được dùng như tiền mặt bằng thẻ bị đánh cắp, nên hệ thống quản trị rủi ro phản ứng rất nhạy
    Nhưng như thế cũng không có nghĩa là có thể phớt lờ thiệt hại của khách hàng

    • Vậy thì cứ ngừng bán thẻ quà tặng là xong
    • Một số cửa hàng chỉ cho mua thẻ quà tặng bằng tiền mặt. Không phải giải pháp hoàn hảo, nhưng cũng là một kiểu giảm thiểu rủi ro
    • Tôi không đồng ý với logic đó. Như Patrick McKenzie từng nói, có một khái niệm rằng “mức gian lận tối ưu không phải là 0”. Cố chặn toàn bộ gian lận mà khiến thiệt hại của khách hàng còn lớn hơn thì là sai
      Doanh nghiệp nên chấp nhận một mức gian lận nhất định như chi phí kinh doanh. Bài viết liên quan
    • Apple có thể theo dõi cả thẻ dùng để mua lẫn người dùng. Vấn đề là thuật toán phát hiện nhầm đang chặn cả người dùng bình thường

  • Vì là người nổi tiếng nên vụ này mới được giải quyết, còn người bình thường thì không có cách nào để xử lý những vấn đề như thế này. Cấu trúc hiện nay là chỉ khi xác định được nguyên nhân kỹ thuật, viết bài, lan truyền qua truyền thông và có PR can thiệp thì mới giải quyết được
    Cuối cùng thì Apple và Google không phải nơi đáng tin để giao dữ liệu

    • Tôi cũng từng gặp chuyện tương tự với Steam. Tài khoản bị đình chỉ vì vấn đề thanh toán, và tôi suýt mất số game trị giá hàng nghìn đô la. Tôi phải nộp giấy tờ ngân hàng mới khôi phục được, nhưng cách họ phản hồi kiểu như “chỉ bỏ qua cho lần này”
    • Nói đùa thôi, nhưng có lẽ muốn giải quyết kiểu vấn đề này thì phải tự tổ chức hội nghị nhà phát triển Apple mất.
      Về mặt kỹ thuật, hệ thống thẻ quà tặng có thể giảm gian lận nếu bổ sung tính năng phát hiện kích hoạt trùng lặp
    • Mỗi khi nhìn những vụ như thế này, tôi lại nghĩ Apple nên dẹp hẳn mảng kinh doanh thẻ quà tặng. Phần lớn tài khoản gian lận đều bắt nguồn từ thị trường này
    • Giống như khi xảy ra sự cố lớn thì công bố RCA (phân tích nguyên nhân gốc), Apple cũng nên đưa ra RCA chính thức cho vụ việc lần này
    • Sau khi thấy vụ này, nghĩ đến những bức ảnh đang gửi trên iCloud của mình, tôi quyết định tuyệt đối không dùng thẻ quà tặng Apple nữa

  • Tôi cũng vừa trải qua chuyện tương tự gần đây. Hệ thống thẻ quà tặng của Apple có gì đó rất đáng ngờ. Có vẻ họ đang thổi phồng doanh số, hoặc do gian lận tăng mạnh nên bảo mật đã bị siết chặt hơn
    Bài học của tôi là như sau

    1. Thẻ quà tặng để mua phần cứng nên được quản lý bằng một Apple ID riêng
    2. Phải giữ lại toàn bộ hóa đơn — đó là bằng chứng duy nhất
    3. Đội ngũ hỗ trợ Apple luôn sẵn sàng đối xử với người dùng như kẻ lừa đảo
    • Gần đây ở Target và nhiều nơi khác cũng xuất hiện làn sóng lừa đảo thẻ quà tặng mới. Nếu có thể thì chỉ nên dùng trực tiếp tại cửa hàng
    • Ngoài ra, nếu không có ảnh hưởng từ blog thì Apple cũng chẳng quan tâm. Ngay cả khi có bằng chứng như Buttfield-Addison, họ vẫn phớt lờ