Làm thế nào để bảo vệ bản thân trước nguy cơ rò rỉ mật khẩu?
Tình trạng lộ lọt dữ liệu cá nhân ngày càng trở nên nghiêm trọng hơn khi hàng tỷ mật khẩu người dùng được đăng tải công khai trên diễn đàn dành cho tin tặc.
Gần một nửa dân số Australia bị đánh cắp dữ liệu cá nhân
Ngày 18/7 vừa qua, nhà cung cấp thuốc kê đơn điện tử MediSecure thông báo, 12,9 triệu khách hàng đã bị đánh cắp dữ liệu cá nhân, trong đó một lượng dữ liệu không xác định đã bị tải lên trang "web đen". MediSecure lần đầu tiên biết đến vụ xâm phạm dữ liệu này vào ngày 13/4 vừa qua khi phát hiện mã độc tống tiền (ransomware) trên một máy chủ chứa dữ liệu nhạy cảm về sức khỏe và cá nhân, sau đó công khai xác nhận vụ tấn công vào tháng 5.
MediSecure cho biết, những người Australia sử dụng dịch vụ giao thuốc theo đơn của công ty từ tháng 3/2019 đến tháng 11/2023 đã bị bên thứ ba đánh cắp dữ liệu. Khoảng 6,5 TB dữ liệu đã bị đánh cắp, trong đó bao gồm các thông tin như tên, ngày sinh, địa chỉ, số điện thoại, số thẻ bảo hiểm y tế Medicare, đơn thuốc và lý do sử dụng thuốc. Công ty này cho rằng, không thể xác định được những cá nhân cụ thể bị ảnh hưởng do tính phức tạp của dữ liệu và chi phí để thực hiện việc đó.
Thủ tướng Australia Anthony Albanese cho biết, Cảnh sát Liên bang Australia vẫn đang tiến hành điều tra vụ việc.
10 tỷ tài khoản trực tuyến bị lộ mật khẩu
Các chuyên gia bảo mật của CyberNews đã phát hiện một cơ sở dữ liệu dưới dạng văn bản chứa mật khẩu đăng nhập của 9.948.575.739 tài khoản trực tuyến được đăng tải công khai trên diễn đàn nổi tiếng dành cho tin tặc. Đây được coi là một trong những vụ rò rỉ dữ liệu người dùng lớn nhất từ trước đến nay.
Theo đó, tệp dữ liệu mang tên "rockyou2024.txt" đã được đăng tải lên mạng từ ngày 4/7 bởi một người dùng diễn đàn có tên là "ObamaCare". Các chuyên gia của CyberNews đã đối chiếu những mật khẩu trong tệp này với cơ sở dữ liệu từ các vụ rò rỉ mật khẩu trước đây và nhận thấy rằng, những mật khẩu được công bố trong tệp là sự kết hợp từ nhiều vụ rò rỉ dữ liệu cũ và mới, bao gồm cả mật khẩu của các tài khoản chưa từng được công bố.
Các chuyên gia nhận định, tệp dữ liệu "rockyou2024" thực chất là một bộ sưu tập các mật khẩu được thu thập bởi người dùng trên toàn cầu. Việc tiết lộ lượng mật khẩu đăng nhập lớn như vậy có thể làm tăng đáng kể nguy cơ các cuộc tấn công nhồi nhét thông tin xác thực - một kỹ thuật tấn công mạng mà tin tặc sử dụng các thông tin đăng nhập bị đánh cắp để truy cập vào tài khoản của người dùng.
Tin tặc có thể lợi dụng tệp mật khẩu được công bố để thực hiện các cuộc tấn công dò mật khẩu
Các cuộc tấn công nhồi nhét thông tin xác thực có thể gây hại nghiêm trọng cho những người dùng và doanh nghiệp với thói quen tái sử dụng mật khẩu đăng nhập hay sử dụng một mật khẩu cho nhiều tài khoản khác nhau. Trong trường hợp người dùng sử dụng chung một mật khẩu cho nhiều tài khoản khác nhau, tin tặc có thể sử dụng thông tin mật khẩu trong dữ liệu bị rò rỉ để thử tấn công các tài khoản khác của người dùng và có khả năng đăng nhập thành công vào tài khoản của họ.
Theo các chuyên gia bảo mật của CyberNews, tin tặc có thể lợi dụng tệp dữ liệu "rockyou2024" để thực hiện các cuộc tấn công dò mật khẩu và truy cập trái phép vào các tài khoản trực tuyến khác nhau của người dùng nếu họ sử dụng mật khẩu này cho chung nhiều tài khoản.
Làm thế nào để tăng cường bảo mật cho tài khoản?
Dựa trên nghiên cứu 193 triệu mật khẩu bị xâm phạm và rao bán trên các chợ đen online, báo cáo của hãng bảo mật Kaspersky cho thấy, 57% mật khẩu hiện nay chứa một từ có thể dễ dàng tìm thấy trong từ điển của các nhóm chuyên dò mật khẩu.
Phổ biến trong số đó là: password, qwerty12345, admin, 12345, team... Những từ được dùng cho tên người cũng được sử dụng nhiều để tạo mật khẩu, ví dụ như: ahmed, nguyen, kumar, kevin, daniel. Trong đó, "nguyen" giống với phiên bản không dấu của "nguyễn", xuất hiện nhiều trong tên người Việt Nam.
Theo các chuyên gia bảo mật của Kaspersky, kẻ xấu thường sử dụng hình thức tấn công dò tìm Brute Force - đoán mật khẩu bằng cách thử hàng loạt tổ hợp ký tự đến khi ra kết quả hoặc Smart Guessing Attack - hình thức dự đoán thông minh mật khẩu để tấn công. Do đó, những từ phổ biến, dễ tìm thấy trong từ điển chuyên dò mật khẩu sẽ làm giảm đáng kể độ mạnh mật khẩu của người dùng, từ đó rút ngắn thời gian tìm đúng mật khẩu của kẻ xấu.
Theo các chuyên gia bảo mật, với những phương thức cơ bản trên, các nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu của các cá nhân hay tổ chức. Với hình thức Brute Force, bộ xử lý của laptop chuyên dụng có thể tìm chính xác tổ hợp mật khẩu gồm 8 chữ cái hoặc chữ số viết thường chỉ trong 7 phút. Trong khi đó, với card đồ họa đi kèm, việc dò tìm mật khẩu có thể hoàn thành chỉ trong 17 giây.
Nghiên cứu của Kaspersky chỉ ra rằng, có 87 triệu trong số 193 triệu mật khẩu, tương đương 45%, được tìm ra trong chưa đầy 1 phút, 14% mật khẩu mất tới 1 tiếng và chỉ 4% mật khẩu khiến các tin tặc phải mất 1 năm để dò tìm.
Với những phương thức cơ bản, các nhóm tấn công không cần kiến thức chuyên môn hay thiết bị tân tiến để bẻ khóa mật khẩu của các cá nhân hay tổ chức
Nghiên cứu của Kaspersky cũng cho thấy, nhiều người dùng có xu hướng thay thế các ký tự như "admin" thành "@dmin" hoặc "password" thành "pa$$word" với hy vọng các hacker khó đoán ra. Tuy nhiên, các chuyên gia cho rằng, cách làm này không khiến mật khẩu mạnh hơn nhiều bởi chúng vẫn là những từ xuất hiện nhiều trong từ điển dò tìm mật khẩu, được hacker thường xuyên cập nhật vào thuật toán thông minh để xử lý.
Các chuyên gia khuyến cáo, người dùng nên đổi mật khẩu các tài khoản trực tuyến 6 tháng một lần, không sử dụng chung mật khẩu cho nhiều tài khoản để tránh bị truy cập trái phép khi một trong những tài khoản bị rò rỉ thông tin.
Để tăng độ mạnh của mật khẩu, người dùng có thể sử dụng các trình ghi nhớ mật khẩu. Ngoài ra, người dùng không nên lấy thông tin cá nhân như ngày sinh nhật, tên riêng để đặt mật khẩu bởi đây là lựa chọn đầu tiên của kẻ tấn công khi dò tìm mật khẩu để bẻ khóa. Bên cạnh đó, các chuyên gia cũng khuyến nghị kích hoạt tính năng xác thực hai yếu tố (2FA) để giúp tăng thêm một lớp bảo mật cho tài khoản.
