Email không hoạt động như vậy đâu, HSBC

 (danq.me)
1 điểm bởi GN⁺ 2026-01-30 | 1 bình luận | Chia sẻ qua WhatsApp
  • HSBC đã dựa vào pixel theo dõi để xác định việc khách hàng có nhận email hay không, và vì vậy đã gửi thông báo sai rằng “email đã bị trả lại” cho những khách hàng thực tế vẫn nhận được thư bình thường
  • Ngân hàng yêu cầu khách hàng cập nhật địa chỉ email, nhưng tài khoản của khách hàng thực tế đã đăng ký đúng địa chỉ
  • Phân tích cho thấy email của HSBC có chèn pixel theo dõi dựa trên HTTP, có thể làm lộ thông tin cá nhân như thời điểm nhận thư, tần suất và địa chỉ IP
  • Vì pixel theo dõi sẽ không hoạt động khi bị chặn, việc ngân hàng dựa vào đó để kết luận là “không nhận được email” bị chỉ ra là một cách dùng sai về mặt kỹ thuật
  • HSBC cần chuyển sang ngừng theo dõi không mã hóa, tôn trọng quyền riêng tư và giao tiếp rõ ràng với khách hàng

Thông báo email bị trả lại sai của HSBC

  • HSBC đã gửi thông báo qua thư giấy cho khách hàng, nói rằng “email đã bị trả lại” và yêu cầu cập nhật địa chỉ
    • Trên thực tế, khách hàng vẫn nhận và mở email từ HSBC bình thường
    • Khi kiểm tra tài khoản trực tuyến, địa chỉ email đã đăng ký là chính xác
  • Trong phần chat với trung tâm hỗ trợ, phía hỗ trợ chỉ lặp lại câu trả lời mang tính hình thức rằng “nếu ngân hàng đã gửi thư thì phải thay đổi địa chỉ”
    • Chỉ đến khi gọi điện, khách hàng mới nhận được câu trả lời rằng “nếu địa chỉ đúng thì có thể bỏ qua lá thư”
  • Tác giả đề xuất HSBC sửa cụm từ “cần hành động” thành “cần xác minh địa chỉ”

Cấu trúc và vấn đề của pixel theo dõi email

  • Ở cuối email của HSBC có chứa hai đoạn mã hình ảnh kích thước 1×1 pixel
    • Pixel này được dùng như một công cụ theo dõi ghi nhận việc thư có được mở hay không bằng cách kết nối đến máy chủ khi người nhận mở email
  • HSBC đang truyền pixel này bằng giao thức HTTP, gây ra lỗ hổng bảo mật khiến bên thứ ba trên mạng có thể biết việc thư đã được mở
    • Trong môi trường Wi‑Fi công cộng, người dùng khác cùng mạng có khả năng phát hiện thông tin đó
  • Bài viết cũng đề cập nguy cơ kẻ tấn công chèn hình ảnh vào cuối email để giả mạo thành thông điệp phishing

Tính thiếu tin cậy và sự lạm dụng của pixel theo dõi

  • Tác giả sử dụng thiết lập chặn pixel theo dõi, nên không gửi thông tin mở email ra ngoài
    • Đây là cách email vốn được thiết kế, cho phép người nhận chọn có công khai việc đã mở thư hay không
  • Có vẻ HSBC đã thấy không có tín hiệu từ pixel và hiểu nhầm thành “không nhận được email”, rồi xử lý như thư bị trả lại
    • Đây là một trường hợp lạm dụng pixel theo dõi như công cụ nhận diện từng khách hàng, thay vì dùng cho phân tích thống kê
  • Kết quả là HSBC đã gửi một thông báo sai sự thật rằng “email đã bị trả lại”

Các đề xuất cải thiện dành cho HSBC

  • Ngừng theo dõi không mã hóa (HTTP): cần dùng HTTPS để tránh lộ dữ liệu trên mạng khi mở email
  • Không coi việc chặn theo dõi là từ chối nhận thư: pixel không hoạt động có thể do nhiều nguyên nhân kỹ thuật khác nhau
  • Ngừng giám sát thói quen email của khách hàng: một ngân hàng vốn đã nắm giữ đủ dữ liệu cá nhân không cần giám sát thêm
  • Xác minh hiệu lực email bằng cách xác nhận trực tiếp: nên dùng quy trình có sự đồng ý rõ ràng như “nhấp vào liên kết xác nhận”
  • Tuân thủ các nguyên tắc đạo đức dữ liệu: theo ‘Nguyên tắc sử dụng dữ liệu và AI có đạo đức’ mà HSBC đã công bố, cần bảo đảm phù hợp mục đích và tính minh bạch

Kết luận

  • HSBC đã hiểu sai giới hạn độ tin cậy của pixel theo dõi và vì thế đánh giá sai email của khách hàng
  • Trường hợp này cho thấy các thực hành thu thập dữ liệu kiểu chủ nghĩa tư bản giám sát đã thâm nhập cả vào hoạt động của các tổ chức tài chính
  • Tác giả nhấn mạnh HSBC cần thừa nhận lỗi kỹ thuật và tăng cường sử dụng dữ liệu minh bạch cùng việc bảo vệ quyền riêng tư của khách hàng

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-01-30
Ý kiến trên Hacker News

  • Điều dễ thấy là đến tận năm 2026 họ vẫn phục vụ nội dung qua HTTP
    Chỉ cần khâu rà soát bảo mật làm tử tế là đã phải bắt được rồi, có vẻ như họ bỏ qua hẳn bước đó
    Tôi làm công việc xử lý dữ liệu ngân hàng, và các hệ thống nội bộ cũng hỗn độn y như vậy
    Ngay trong cùng một ngân hàng mà định dạng ngày tháng trong CSV đã mỗi nơi một kiểu, mô tả giao dịch thì bị cắt cụt nên chẳng có chuẩn hóa gì cả
    Dù áp lực tuân thủ quy định lớn như vậy mà vẫn còn ở tình trạng này, là vì phần lớn ngân hàng đối xử với hạ tầng số như thể nó chỉ là đường ống cũ kỹ

    • Tôi cũng từng làm với dữ liệu ngân hàng, và thực ra có một định dạng chuẩn là OFX
      Nhưng mỗi ngân hàng lại cắt độ dài phần ghi chú khác nhau, hoặc như AMEX thì đảo lộn trường NAME và MEMO, nên vẫn rất lộn xộn
      Dù vậy, ít nhất vẫn có một mức chuẩn hóa tối thiểu
      Tài liệu liên quan: Open Financial Exchange, Financial Data Exchange
    • Các ngân hàng không thực sự để tâm nhiều đến UI của ngân hàng trực tuyến
      Ngay cả màn hình ATM cũng vẫn mang cảm giác lỗi thời như vậy
    • Thực ra cũng có nhiều trường hợp người ta cố ý dùng HTTP
      Ví dụ như ACME HTTP-01 challenge, cấp chứng chỉ, hay CRL/OCSP response vẫn còn dùng HTTP
      Xem RFC8555, tài liệu của Let's Encrypt
      Vì vậy, kiểu khái quát rằng “HTTP giờ vô dụng rồi” là không đúng
    • Trong trường hợp này tôi không chắc HTTP có thật sự là vấn đề không
      HTTPS cũng trao đổi SNI, nên vẫn có thể biết ai đó đang liên lạc với HSBC
      Phần còn lại của URL chỉ là một ID theo dõi đã được ẩn danh, nên có vẻ mối đe dọa thực tế không lớn
    • Rất có thể một dịch vụ bên thứ ba phụ trách theo dõi email đã phục vụ nội dung qua HTTP
      Vì dùng HTTPS thì việc cấu hình và quản lý chứng chỉ sẽ phức tạp hơn

  • Tôi từng thắc mắc vì sao chuyện này lại xảy ra
    Trong IT ngân hàng, chỉ để đưa vào một tính năng theo dõi email như vậy thôi cũng có thể cần hàng chục người tham gia và mất cả năm
    Trong quá trình đó chắc chắn đã có lập trình viên nói rằng “đến 2026 rồi mà HTTP vẫn nguy hiểm”, nhưng rất có thể cuối cùng bị quản lý cấp trung phớt lờ

    • Tôi cũng từng hỗ trợ một nhóm làm nội dung email ở FAANG, và dù đã giải thích không biết bao nhiêu lần rằng “open tracking không đáng tin cậy”, chẳng ai nghe cả
      Ban lãnh đạo cứ liên tục hỏi vì sao có người mở thư mà không có bản ghi, và vì sao có người không mở mà lại có bản ghi
      Người viết nội dung thì thấy tỷ lệ mở cao hơn tỷ lệ nhấp, nên lấy đó làm chỉ số thành tích
      Kết cục là mọi người dùng những chỉ số thiếu chính xác chỉ để cảm thấy mình đang làm tốt
    • Có thể vẫn có người giỏi, nhưng đa số vị trí kỹ thuật ở các ngân hàng lớn đều ở trạng thái mất động lực
      Lãnh đạo đưa ra mọi quyết định, còn lập trình viên chỉ làm theo chỉ thị
      Tôi cũng từng làm ở một ngân hàng lớn, và nếu không phải kiểu người sẽ rời đi sau vài năm thì bạn sẽ chỉ trở thành kiểu “bấm nút rồi nhận lương”
    • Dù vậy, tôi vẫn nghĩ ít nhất họ còn gửi thông báo qua email là tốt hơn
      Tốt hơn nhiều so với kiểu thư “bạn có tin nhắn quan trọng, hãy đăng nhập để xem”
    • Tôi nghĩ đây là “state of the practice”
      Các tính năng tiện lợi kiểu ứng dụng căn hộ dần dần trở thành bắt buộc, và cuối cùng tất cả người dùng đều phải làm theo
      Trong quá trình đó, quyền kiểm soát cá nhân bị thu hẹp lại
    • Thành thật mà nói, trong điều kiện như vậy thì lập trình viên giỏi chẳng có lý do gì để ở lại ngân hàng
      Lương bổng hay môi trường đều không hấp dẫn, mà cơ hội đổi mới cũng gần như không có

  • NAB Australia cũng làm y hệt
    Nếu bạn không cho tải hình ảnh từ xa trong email, họ sẽ gửi thư giấy nói rằng “email không được chuyển đến” và chuyển bạn sang sao kê giấy
    Trong thực tế thì email vẫn đến bình thường

    • Tôi cũng từng gặp chuyện tương tự với Capital One
      Họ cho rằng tôi không đọc email nên tự động vô hiệu hóa cảnh báo số dư
      Trong khi tôi chỉ tắt xác nhận đã đọc và chặn tài nguyên từ xa
      Cuối cùng tôi đổi ngân hàng
    • Ngân hàng cần biết khách hàng có nhận được email hay không, nhưng thư giấy lại kém tin cậy hơn
      Hòm thư ở chung cư thường bị phát nhầm hoặc bị trộm, thậm chí còn có thể bị cháy

  • Trước đây tôi từng nhận spam marketing từ Bank of America, nhưng không có tùy chọn hủy đăng ký
    Vì vậy tôi vô hiệu hóa địa chỉ email đó, thì họ lại gửi thư giấy nói rằng “email bị trả lại” và yêu cầu cập nhật
    Cuối cùng tôi để nó ở trạng thái vô hiệu hóa suốt nhiều năm, mãi sau này họ mới có phần cài đặt tùy chọn email
    Vợ tôi đến giờ vẫn nhận thư rác qua bưu điện từ Citi, và ở đó cũng không có cách hủy
    Nhìn vào những chuyện này thì việc đội IT của HSBC dùng tracking pixel làm căn cứ để kết luận rằng “người dùng không đọc mail” đúng là cực kỳ ngớ ngẩn
    Ngày nay phần lớn email client đều đã chặn hình ảnh theo mặc định

  • Năng lực công nghệ của HSBC thật sự rất tệ
    Ứng dụng ngân hàng trực tuyến trông như ở đầu những năm 2000, người thân của tôi vẫn còn dùng và nó cứ lỗi liên tục
    Đây không phải lỗi người dùng mà là vấn đề của hệ thống

  • Nếu muốn khiến ngân hàng chịu lắng nghe khách hàng, cách hiệu quả nhất là đóng tài khoản
    Tất nhiên là bạn phải thực sự sẵn sàng chuyển đi nơi khác

    • Nhưng ngân hàng ngày nay không còn kiếm tiền theo kiểu dựa vào tài khoản nữa, nên kể cả có đóng thì tác động cũng rất nhỏ
    • Thay vào đó, báo với cơ quan quản lý sẽ hiệu quả hơn nhiều
      Nếu vấn đề được ghi nhận chính thức, thì khi nó lặp lại sẽ có cơ sở để xử lý
    • Thực tế HSBC từng tự đóng cả những tài khoản hoàn toàn bình thường
      Xem bài trên The Guardian
      Tôi cũng là người bị ảnh hưởng khi đó, và sau này đã chuyển sang Wise

  • Capital One cũng làm điều tương tự
    Dù vậy, họ ít nhất cũng nói rõ là “bạn đã không mở email gần đây”, nên tôi hiểu họ muốn nói gì
    Thực tế thì tôi có mở email, chỉ là chặn tracking pixel thôi

    • Hễ thấy đúng câu đó là tôi cho Gmail tự động xóa bằng rule
      Tôi chẳng có lý do gì phải giải quyết vấn đề của họ thay họ cả

  • Gmail tải trước hình ảnh, nên trên thực tế tracking pixel vẫn bị gọi ngay cả khi người dùng chưa mở thư

    • Tôi cũng từng trình diễn chuyện này bằng tài khoản Gmail trong một lớp đạo đức công nghệ cho học sinh trung học, và khá bất ngờ khi thấy nó hoạt động thật
    • Apple Mail hay phần lớn webmail cũng vậy, nên tín hiệu mở thư gần như vô nghĩa
    • Tôi từng nghe nói Gmail áp dụng heuristic filtering khi cùng một hình ảnh được gửi cho nhiều người
      Tôi chưa tự kiểm chứng, nhưng có lẽ các dịch vụ mail khác cũng tương tự
    • Khi Gmail tải hình ảnh thì nó được nhận diện là GoogleImageProxy, và request đến từ ASN của GCP
      Vì phần lớn dịch vụ email đều tải trước hình ảnh ở phía máy chủ để quét mã độc,
      nên trên thực tế việc theo dõi pixel hầu như luôn do nhà cung cấp dịch vụ email bên ngoài xử lý

  • Tôi cũng từng gặp đúng chuyện đó với HSBC
    Quy trình của họ rất tốt, đến mức tôi mở tài khoản bằng danh tính số chỉ trong 10 phút và nhận được thẻ Apple Pay chỉ sau một ngày
    Nhưng rồi tôi từ chối nhận email marketing, họ vẫn gửi email “chào mừng upsell”, thư đó bị trả lại và họ khóa tài khoản
    Cuối cùng tôi rơi vào đúng tình huống giống OP

  • Charles Schwab cũng tương tự
    Dù email vẫn đến bình thường, họ vẫn nói là “không gửi được” rồi chuyển sang sao kê giấy
    Vấn đề thực sự là chặn tracking pixel

    • Tôi cũng có cảm giác mình đang gặp vấn đề tương tự với Fidelity
      Email dùng domain riêng thì lỗi, còn địa chỉ ProtonMail lại hoạt động bình thường
      Có lẽ vì ProtonMail không chặn tracking pixel
    • Capital One cũng y như vậy
      Giờ thì tôi mặc kệ luôn
      Gửi thư giấy tốn tiền của họ, nên tôi nghĩ sớm muộn gì họ cũng sẽ tự hiểu ra thôi