-
09/04/2020
-
124
-
1.540 bài viết
Gần 150 triệu tài khoản bị phơi bày: Mật khẩu công khai trên Internet
Một cơ sở dữ liệu khổng lồ chứa gần 150 triệu tài khoản và mật khẩu vừa được phát hiện công khai trên Internet, không hề có bất kỳ biện pháp bảo vệ nào. Điều đáng lo ngại là trong số dữ liệu bị lộ có thông tin đăng nhập của hàng loạt nền tảng quen thuộc như Gmail, Facebook, Instagram, Netflix, thậm chí cả các tài khoản thuộc hệ thống chính phủ nhiều quốc gia. Sự việc không chỉ phản ánh mức độ tinh vi của tội phạm mạng mà còn cho thấy dữ liệu đánh cắp có giá trị cực lớn nhưng lại bị lưu trữ một cách cẩu thả, khiến rủi ro lan rộng ngoài tầm kiểm soát.
Cơ sở dữ liệu này được phát hiện bởi nhà nghiên cứu an ninh mạng Jeremiah Fowler trong quá trình rà soát các hệ thống lưu trữ đám mây công khai. Theo phân tích, kho dữ liệu có dung lượng lên tới 96 GB, hoàn toàn không được mã hóa, không yêu cầu mật khẩu truy cập và có thể tìm kiếm trực tiếp thông qua trình duyệt web thông thường.
Sau khi xác minh mức độ nghiêm trọng, Fowler đã báo cáo phát hiện này cho ExpressVPN và đồng thời gửi báo cáo tới nhà cung cấp hạ tầng lưu trữ. Tuy nhiên, quá trình xử lý diễn ra rất chậm chạp. Phải mất gần một tháng và nhiều lần liên hệ, cơ sở dữ liệu này mới bị gỡ bỏ. Đáng chú ý, số lượng bản ghi trong kho dữ liệu còn tăng lên trong thời gian chờ xử lý, cho thấy nhiều bên khác có thể đã truy cập và sao chép dữ liệu trước đó.
Đây là lỗ hổng gì của hệ thống?
Về bản chất, đây không phải là một lỗ hổng phần mềm đơn lẻ có mã CVE cụ thể mà là một lỗi nghiêm trọng trong quản lý và vận hành hạ tầng đám mây. Cụ thể, hệ thống lưu trữ đã bị cấu hình sai, dẫn đến việc dữ liệu nhạy cảm được công khai hoàn toàn.
Lỗi này thường được xếp vào nhóm rủi ro bảo mật phổ biến nhất trong môi trường cloud, liên quan tới việc thiếu kiểm soát truy cập, không mã hóa dữ liệu và không giám sát tài nguyên. Do không gắn với một sản phẩm hay phiên bản phần mềm cụ thể, sự cố này không có điểm CVSS chính thức, nhưng trên thực tế, mức độ nguy hiểm tương đương với các lỗ hổng nghiêm trọng nhất vì hậu quả lan rộng và khó khắc phục.
Lỗi này thường được xếp vào nhóm rủi ro bảo mật phổ biến nhất trong môi trường cloud, liên quan tới việc thiếu kiểm soát truy cập, không mã hóa dữ liệu và không giám sát tài nguyên. Do không gắn với một sản phẩm hay phiên bản phần mềm cụ thể, sự cố này không có điểm CVSS chính thức, nhưng trên thực tế, mức độ nguy hiểm tương đương với các lỗ hổng nghiêm trọng nhất vì hậu quả lan rộng và khó khắc phục.
Dữ liệu bị lộ gồm những gì và phạm vi ra sao?
Vụ rò rỉ này được đánh giá là một trong những kho dữ liệu lớn nhất từng ghi nhận, tập hợp đầu ra từ nhiều loại mã độc đánh cắp thông tin, với thông tin đăng nhập bị thu thập trên hàng loạt nền tảng giải trí, tài chính và mạng xã hội.
Các nền tảng email bị ảnh hưởng nhiều nhất:
- Gmail: khoảng 48 triệu tài khoản
- Yahoo: khoảng 4 triệu tài khoản
- Outlook: khoảng 1,5 triệu tài khoản
- iCloud: khoảng 900.000 tài khoản
- Các tên miền giáo dục (.edu): khoảng 1,4 triệu tài khoản
- Facebook: khoảng 17 triệu tài khoản
- Instagram: khoảng 6,5 triệu tài khoản
- Netflix: khoảng 3,4 triệu tài khoản
- TikTok: khoảng 780.000 tài khoản
- Binance: khoảng 420.000 tài khoản
- OnlyFans: khoảng 100.000 tài khoản
Trong số các tài khoản bị lộ, email là nhóm chịu ảnh hưởng nặng nề nhất, với hàng chục triệu tài khoản Gmail, Yahoo, Outlook và iCloud. Ngoài ra, hàng triệu tài khoản mạng xã hội, nền tảng giải trí, dịch vụ tài chính và tiền điện tử cũng bị đưa vào kho dữ liệu này.
Đặc biệt nghiêm trọng là sự xuất hiện của các tài khoản thuộc tên miền “.gov” và “.edu” từ nhiều quốc gia. Việc lộ thông tin đăng nhập của hệ thống chính phủ và tổ chức giáo dục không chỉ gây rủi ro cho cá nhân mà còn có thể trở thành bàn đạp cho các cuộc tấn công nhắm vào hạ tầng quốc gia.
Đặc biệt nghiêm trọng là sự xuất hiện của các tài khoản thuộc tên miền “.gov” và “.edu” từ nhiều quốc gia. Việc lộ thông tin đăng nhập của hệ thống chính phủ và tổ chức giáo dục không chỉ gây rủi ro cho cá nhân mà còn có thể trở thành bàn đạp cho các cuộc tấn công nhắm vào hạ tầng quốc gia.
Nguồn gốc dữ liệu và cơ chế hoạt động của mã độc
Các nhà nghiên cứu xác định dữ liệu trong cơ sở này là đầu ra của nhiều biến thể infostealer malware. Những loại mã độc này thường lây nhiễm qua email lừa đảo, phần mềm bẻ khóa hoặc website độc hại, sau đó âm thầm thu thập thông tin đăng nhập được lưu trên trình duyệt, ứng dụng email, ví điện tử và phần mềm doanh nghiệp.
Dữ liệu bị đánh cắp được tổ chức theo cấu trúc “host_reversed paths”, tức đảo ngược tên miền để sắp xếp theo nạn nhân và nguồn dữ liệu. Cách tổ chức này giúp tin tặc dễ dàng tìm kiếm, đồng thời có thể né tránh một số cơ chế phát hiện vốn dựa trên định dạng tên miền thông thường.
Mỗi bản ghi trong cơ sở dữ liệu đều có mã hash riêng để tránh trùng lặp, cho thấy đây không phải là tập dữ liệu ngẫu nhiên mà được xây dựng có chủ đích, nhằm phục vụ các hoạt động khai thác lâu dài.
Dữ liệu bị đánh cắp được tổ chức theo cấu trúc “host_reversed paths”, tức đảo ngược tên miền để sắp xếp theo nạn nhân và nguồn dữ liệu. Cách tổ chức này giúp tin tặc dễ dàng tìm kiếm, đồng thời có thể né tránh một số cơ chế phát hiện vốn dựa trên định dạng tên miền thông thường.
Mỗi bản ghi trong cơ sở dữ liệu đều có mã hash riêng để tránh trùng lặp, cho thấy đây không phải là tập dữ liệu ngẫu nhiên mà được xây dựng có chủ đích, nhằm phục vụ các hoạt động khai thác lâu dài.
Rủi ro từ việc dữ liệu bị phơi bày công khai
Việc một kho dữ liệu khổng lồ như vậy bị công khai tạo ra hàng loạt nguy cơ nghiêm trọng. Tin tặc có thể sử dụng thông tin đăng nhập hợp lệ để thực hiện các cuộc tấn công “credential stuffing”, thử cùng một cặp email - mật khẩu trên nhiều dịch vụ khác nhau. Điều này đặc biệt nguy hiểm vì nhiều người dùng vẫn có thói quen dùng chung mật khẩu.
Ngoài ra, dữ liệu thật giúp các chiến dịch lừa đảo trở nên thuyết phục hơn, khi kẻ tấn công có thể gửi email hoặc tin nhắn đề cập đúng dịch vụ mà nạn nhân đang sử dụng. Với các tài khoản tài chính hoặc ngân hàng, rủi ro có thể chuyển hóa trực tiếp thành thiệt hại tiền bạc.
Ở cấp độ cao hơn, các tài khoản chính phủ bị lộ có thể bị lợi dụng để giả mạo, xâm nhập mạng nội bộ hoặc thu thập thông tin tình báo.
Ngoài ra, dữ liệu thật giúp các chiến dịch lừa đảo trở nên thuyết phục hơn, khi kẻ tấn công có thể gửi email hoặc tin nhắn đề cập đúng dịch vụ mà nạn nhân đang sử dụng. Với các tài khoản tài chính hoặc ngân hàng, rủi ro có thể chuyển hóa trực tiếp thành thiệt hại tiền bạc.
Ở cấp độ cao hơn, các tài khoản chính phủ bị lộ có thể bị lợi dụng để giả mạo, xâm nhập mạng nội bộ hoặc thu thập thông tin tình báo.
Hậu quả và mức độ nguy hiểm
Hậu quả của sự cố này không chỉ dừng ở việc một số tài khoản bị chiếm quyền. Nó tạo ra hiệu ứng dây chuyền, trong đó một thông tin đăng nhập bị lộ có thể mở đường cho nhiều hệ thống khác bị xâm phạm.
Về lâu dài, người dùng có thể đối mặt với mất quyền kiểm soát danh tính số, gian lận tài chính và bị theo dõi. Doanh nghiệp và tổ chức có nguy cơ mất dữ liệu nội bộ, uy tín và thậm chí vi phạm các quy định pháp lý về bảo vệ dữ liệu cá nhân.
Về lâu dài, người dùng có thể đối mặt với mất quyền kiểm soát danh tính số, gian lận tài chính và bị theo dõi. Doanh nghiệp và tổ chức có nguy cơ mất dữ liệu nội bộ, uy tín và thậm chí vi phạm các quy định pháp lý về bảo vệ dữ liệu cá nhân.
Người dùng và tổ chức cần làm gì để phòng tránh?
Đối với người dùng cá nhân, các chuyên gia an ninh mạng WhiteHat khuyến cáo cần nhanh chóng thay đổi mật khẩu trên tất cả các dịch vụ quan trọng, đặc biệt là email. Việc bật xác thực đa yếu tố (MFA) là biện pháp hiệu quả nhất để giảm thiểu rủi ro ngay cả khi mật khẩu đã bị lộ. Người dùng cũng nên kiểm tra lịch sử đăng nhập và cài đặt phần mềm chống mã độc đáng tin cậy.
Đối với tổ chức và nhà cung cấp dịch vụ, sự cố này là lời cảnh tỉnh về quản trị hạ tầng đám mây. Dữ liệu nhạy cảm phải luôn được mã hóa, kiểm soát truy cập chặt chẽ và giám sát liên tục. Các kênh tiếp nhận báo cáo lỗ hổng cần có quy trình xử lý nhanh, với sự tham gia của con người thay vì chỉ phản hồi tự động.
Vụ lộ cơ sở dữ liệu gần 150 triệu tài khoản cho thấy bảo mật dữ liệu cá nhân là việc không thể xem nhẹ. An ninh mạng không chỉ là cuộc đối đầu giữa tin tặc và hệ thống phòng thủ mà còn phụ thuộc rất lớn vào cách con người quản lý và bảo vệ dữ liệu. Khi những kho thông tin nhạy cảm bị bỏ ngỏ trên Internet, hậu quả không chỉ rơi vào tay tội phạm mạng mà còn ảnh hưởng trực tiếp tới hàng triệu người dùng vô tội.
Đối với tổ chức và nhà cung cấp dịch vụ, sự cố này là lời cảnh tỉnh về quản trị hạ tầng đám mây. Dữ liệu nhạy cảm phải luôn được mã hóa, kiểm soát truy cập chặt chẽ và giám sát liên tục. Các kênh tiếp nhận báo cáo lỗ hổng cần có quy trình xử lý nhanh, với sự tham gia của con người thay vì chỉ phản hồi tự động.
Vụ lộ cơ sở dữ liệu gần 150 triệu tài khoản cho thấy bảo mật dữ liệu cá nhân là việc không thể xem nhẹ. An ninh mạng không chỉ là cuộc đối đầu giữa tin tặc và hệ thống phòng thủ mà còn phụ thuộc rất lớn vào cách con người quản lý và bảo vệ dữ liệu. Khi những kho thông tin nhạy cảm bị bỏ ngỏ trên Internet, hậu quả không chỉ rơi vào tay tội phạm mạng mà còn ảnh hưởng trực tiếp tới hàng triệu người dùng vô tội.
WhiteHat