184 triệu email, mật khẩu bị lộ: Hồi chuông báo động an ninh mạng toàn cầu

Một vụ rò rỉ dữ liệu nghiêm trọng được phát hiện trong năm 2025 đang khiến cộng đồng an ninh mạng toàn cầu đặc biệt lo ngại, khi tới 184 triệu bản ghi chứa email, mật khẩu và liên kết đăng nhập của người dùng bị lộ ra ngoài.

Đáng chú ý, dữ liệu bị rò rỉ liên quan tới hàng loạt nền tảng công nghệ lớn như Apple, Google, Facebook, Microsoft, cùng nhiều dịch vụ tài chính, ngân hàng và cả hệ thống chính phủ.

Nguồn ảnh: Phone Arena

Vụ việc được phát hiện bởi Jeremiah Fowler, một nhà nghiên cứu an ninh mạng độc lập. Theo ông, tập dữ liệu khổng lồ này được tìm thấy vào tháng 5 năm ngoái và được lưu trữ dưới dạng văn bản thuần, không có bất kỳ biện pháp mã hóa hay bảo vệ nào. Điều này khiến mức độ nguy hiểm của vụ rò rỉ tăng lên gấp nhiều lần so với các sự cố thông thường.

Dữ liệu biến mất, nguồn gốc không thể truy vết

Điều đáng lo ngại hơn cả là dấu vết của dữ liệu đã hoàn toàn biến mất. Trong các vụ việc trước đây, Fowler thường có thể lần ngược lại nguồn gốc dữ liệu để xác định chủ sở hữu và cách thông tin bị đưa lên mạng. Tuy nhiên, với vụ rò rỉ lần này, mọi manh mối đều không còn, khiến việc xác định ai bị ảnh hưởng và dữ liệu bị đánh cắp bằng cách nào gần như bất khả thi.

Theo Fowler, đây là một trong những vụ rò rỉ có mức độ rủi ro cao nhất mà ông từng ghi nhận. “Xét về mức độ nguy hiểm, vụ này lớn hơn rất nhiều so với hầu hết các vụ khác, bởi đây là hành vi truy cập trực tiếp vào tài khoản cá nhân. Đây chính là danh sách mục tiêu lý tưởng của tội phạm mạng”, ông nhấn mạnh.

Nguy cơ đánh cắp danh tính và gian lận tài chính

Thông tin bị rò rỉ có thể được sử dụng để đánh cắp danh tính, chiếm đoạt tài khoản và thực hiện các hành vi gian lận tài chính. Đặc biệt, những người có thói quen sử dụng cùng một mật khẩu cho nhiều dịch vụ khác nhau – từ tài khoản giải trí như Hulu đến tài khoản ngân hàng – sẽ đối mặt với nguy cơ rất lớn.

Trong quá trình phân tích, Fowler đã trích xuất một mẫu gồm 10.000 bản ghi từ tổng số 184 triệu bản ghi bị ảnh hưởng. Kết quả cho thấy nhiều tài khoản thuộc các nền tảng phổ biến như Apple, Amazon, Netflix và PayPal. Việc tìm kiếm các từ khóa như “bank” (ngân hàng) xuất hiện 187 lần và “wallet” (ví điện tử) xuất hiện 57 lần càng củng cố nghi ngờ rằng dữ liệu tài chính và ngân hàng cũng đã bị lộ.

Đáng chú ý, Fowler còn phát hiện 220 địa chỉ email có đuôi .gov, làm dấy lên những lo ngại nghiêm trọng liên quan đến an ninh quốc gia.

Không chỉ người dùng cá nhân, một số tổ chức truyền thông lớn cũng trở thành nạn nhân. Wired, tạp chí chuyên đưa tin về an ninh mạng, cùng công ty mẹ Condé Nast, được xác nhận đã bị rò rỉ 2,3 triệu địa chỉ email, kèm theo hàng trăm nghìn tên, địa chỉ nhà và số điện thoại.

Tính năng Kiểm tra Mật khẩu của Google có thể quét các mật khẩu đã lưu của bạn để xem có mật khẩu nào bị xâm phạm hay không. Nguồn ảnh: Phone Arena

Chuyên gia cảnh báo: Người dùng đang quá chủ quan

Trước tình hình này, Teresa Murray, Giám đốc Văn phòng Bảo vệ Người tiêu dùng của Nhóm Nghiên cứu Lợi ích Công cộng Hoa Kỳ, cho rằng nhiều người đang trở nên quá lơ là trong việc tự bảo vệ dữ liệu cá nhân. Theo bà, vụ việc lần này nên được xem như một lời cảnh tỉnh mạnh mẽ đối với thói quen bảo mật yếu kém của người dùng.

Bà Murray khuyến nghị, việc đầu tiên cần làm là thay đổi mật khẩu ngay lập tức và duy trì thói quen thay đổi định kỳ. Người dùng không nên tái sử dụng mật khẩu cũ hoặc tạo mật khẩu mới quá giống với mật khẩu trước đây. Đặc biệt, email chính và các tài khoản tài chính cần được bảo vệ bằng những mật khẩu độc nhất, phức tạp và khó đoán.

Ngoài ra, bà cũng khuyên người dùng nên đóng băng hồ sơ tín dụng tại các tổ chức như Equifax, Experian và TransUnion cho đến khi thực sự cần thực hiện các giao dịch tài chính lớn. Biện pháp này không ảnh hưởng đến điểm tín dụng, nhưng sẽ khiến tội phạm mạng khó có thể mở tài khoản mới dưới danh nghĩa của nạn nhân.

Tăng cường lớp phòng vệ cho tài khoản cá nhân

Một giải pháp quan trọng khác là kích hoạt xác thực đa yếu tố (MFA). Khi tính năng này được bật, ngay cả khi kẻ xấu có được tên đăng nhập và mật khẩu, chúng vẫn cần quyền truy cập vào thiết bị cá nhân của người dùng để nhận mã xác minh.

Người dùng cũng có thể tận dụng các công cụ hỗ trợ như Kiểm tra Mật khẩu của Google, cho phép quét các mật khẩu đã lưu để phát hiện mật khẩu bị lộ, bị sử dụng lại trên nhiều nền tảng hoặc quá yếu.

Trên Android, người dùng có thể truy cập theo đường dẫn:

Cài đặt > Dịch vụ Google – Tất cả dịch vụ > Tự động điền > Tự động điền bằng Google > Trình quản lý Mật khẩu Google > Kiểm tra.

Trên trình duyệt Chrome, mở ứng dụng, nhấn vào biểu tượng hồ sơ ở góc trên bên phải, chọn Mật khẩu (biểu tượng chìa khóa) > Kiểm tra.

Trong bối cảnh các vụ rò rỉ dữ liệu ngày càng gia tăng về quy mô và mức độ tinh vi, việc chủ động bảo vệ thông tin cá nhân không còn là lựa chọn, mà đã trở thành yêu cầu bắt buộc đối với mỗi người dùng Internet.

Theo Phone Arena

HÙNG NGUYỄN