Dan Saunders và vụ "ATM Glitch" với Ngân hàng NAB Úc

Câu chuyện Dan Saunders và vụ "ATM Glitch" với Ngân hàng NAB Úc

Năm 2011, Dan Saunders, một nhân viên pha chế 29 tuổi sống tại Wangaratta, Victoria, Úc, vô tình phát hiện một lỗ hổng trong hệ thống ATM của Ngân hàng Quốc gia Úc (NAB). Trong một đêm đi uống rượu, tài khoản của Dan chỉ còn 3 AUD, nhưng khi sử dụng ATM của NAB vào khoảng 1-3 giờ sáng, anh nhận thấy hệ thống hoạt động bất thường. ATM không hiển thị số dư và thông báo "giao dịch bị hủy" sau khi anh thử chuyển tiền từ tài khoản tín dụng sang tài khoản tiết kiệm. Dù vậy, máy vẫn nhả tiền mặt.

Dan, lúc đó đang say, tiếp tục thử chuyển các khoản lớn hơn (200 AUD, 500 AUD, 600 AUD) và phát hiện rằng các giao dịch này không được ghi nhận vào tài khoản. Lỗ hổng nằm ở việc ATM ngắt kết nối với hệ thống ngân hàng trong khung giờ 1-3 giờ sáng, cho phép rút tiền mà không bị trừ vào số dư thực tế. Bằng cách chuyển tiền liên tục giữa tài khoản tín dụng và tiết kiệm trong thời gian này, Dan tạo ra số dư giả để rút tiền mặt mà không bị phát hiện.

Hành động của Dan Saunders

Trong 4,5 tháng, Dan khai thác lỗ hổng này để rút khoảng 1,6 triệu AUD (khoảng 1,1 triệu USD lúc bấy giờ). Ban đầu, anh rút các khoản nhỏ, nhưng sau đó tăng lên hàng nghìn AUD mỗi ngày. Anh sử dụng số tiền để sống xa hoa:

• Chi tiêu xa xỉ: Thuê máy bay riêng, nghỉ tại khách sạn 5 sao, ăn uống tại nhà hàng cao cấp, mua quần áo hàng hiệu, và tổ chức tiệc tùng.

• Hỗ trợ người khác: Trả học phí đại học cho bạn bè, tài trợ một người bạn du học Pháp, và chi trả khách sạn cho người vô gia cư.

• Cờ bạc và phóng túng: Chi tiêu cho cờ bạc, thuê dịch vụ giải trí, đưa bạn bè đi nghỉ dưỡng, và thuê trực thăng đến khách sạn sang trọng giá 2.000 AUD/đêm.

NAB dường như không nhận ra lỗ hổng trong thời gian dài. Họ chỉ liên lạc khi Dan thử rút khoản lớn (như 900.000 AUD), nhưng sau khi anh xác nhận, ngân hàng không điều tra thêm. Dan từng mời nhân viên NAB đến quán bar, giả vờ là triệu phú và cảm ơn họ vì "giúp anh thành công".

Tâm lý và hậu quả cá nhân

Ban đầu, Dan phấn khích với lối sống xa hoa, tự ví mình như "Kanye West phiên bản béo". Tuy nhiên, anh dần lo lắng và cảm thấy tội lỗi, phải gặp bác sĩ tâm lý vì mất ngủ và sợ bị phát hiện. Mối quan hệ với bạn gái, một giáo viên tiểu học, tan vỡ do cô nghi ngờ nguồn tiền. Dan cũng mất việc tại quán bar sau khi cá cược lớn, gây chú ý từ cơ quan quản lý.

Sau 4,5 tháng, Dan dừng rút tiền vào tháng 6/2011. Anh liên hệ NAB, đề nghị trả lại 80.000 AUD còn lại, nhưng ngân hàng chỉ nói đây là "vấn đề của cảnh sát" và không liên lạc thêm. Trong 3 năm tiếp theo, không có hành động pháp lý nào.

Công khai và hậu quả pháp lý

Năm 2014, cảm thấy bế tắc, Dan công khai câu chuyện trên chương trình A Current Affair của Úc, tiết lộ cách anh khai thác lỗ hổng và chi tiêu 1,6 triệu AUD. Sau đó, cảnh sát bắt anh vào tháng 11/2014, buộc tội 111 tội danh liên quan đến gian lận và trộm cắp.

Trong phiên tòa năm 2015, NAB không tiết lộ chi tiết về lỗ hổng, chỉ xác nhận đã khắc phục. Thẩm phán và công tố viên không hiểu rõ cơ chế kỹ thuật. Dan nhận tội "chiếm đoạt tài sản do nhặt được", bị kết án 12 tháng tù giam và 18 tháng quản chế cộng đồng. Anh cũng phải bồi thường 250.000 AUD cho NAB, dù số tiền chính xác anh chi không được xác nhận (ước tính khoảng 300.000 AUD).

Và cuộc sống sau tù

Ra tù vào tháng 5/2016, Dan trở lại làm nhân viên pha chế với lương 22 AUD/giờ. Anh viết podcast 8 tập The Glitch và đang phát triển bộ phim Cashout! (hoặc ATM Boy). Dan cho rằng trải nghiệm này dạy anh về sự nguy hiểm của tiền dễ kiếm và giá trị của sự chính trực.

Chi tiết kỹ thuật của lỗ hổng

Lỗ hổng xảy ra do hệ thống ATM của NAB chuyển sang chế độ "ngoại tuyến" trong khung giờ 1-3 giờ sáng để bảo trì hoặc cập nhật. Trong thời gian này, ATM không kiểm tra số dư thực tế mà dựa vào số dư giả tạo từ các giao dịch chuyển khoản nội bộ. Vì các giao dịch này không được ghi nhận ngay, Dan có thể rút tiền mà không bị trừ. Lỗ hổng này cho thấy sự thiếu đồng bộ giữa hệ thống ATM và cơ sở dữ liệu của ngân hàng, một lỗi nghiêm trọng trong quản lý rủi ro công nghệ.

Phản ứng của NAB và bài học

NAB bị chỉ trích vì không phát hiện lỗ hổng sớm và không hành động ngay khi Dan báo cáo. Ngân hàng không công khai số tiền thiệt hại thực tế và từ chối bình luận chi tiết. Vụ việc làm dấy lên câu hỏi về an ninh hệ thống ngân hàng và trách nhiệm của các tổ chức tài chính trong việc bảo vệ khách hàng khỏi các lỗ hổng kỹ thuật.

Câu chuyện của Dan Saunders là một ví dụ điển hình về cách một cá nhân bình thường có thể khai thác lỗi hệ thống để đạt lợi ích lớn, nhưng cũng cho thấy hậu quả pháp lý và đạo đức không thể tránh khỏi. Nó nhấn mạnh tầm quan trọng của việc kiểm tra an ninh kỹ thuật và quản lý rủi ro trong ngành ngân hàng.