過去かこ最大さいだい規模きぼの認証情報にんしょうじょうほう漏洩事件ろうえいじけん――13億件おくけん超ちょうのユニークパスワード流出りゅうしゅつとその影響えいきょう

Chỉ một thời gian ngắn sau khi Google chính thức bác bỏ tin đồn sai lệch về một vụ vi phạm bảo mật quy mô lớn liên quan đến Gmail, lại một lần nữa, những con số khổng lồ được công bố, khiến tình trạng hỗn loạn thông tin lan rộng.

Lần này, sự thật được tiết lộ là có tới 2 tỷ địa chỉ email và hơn 1,3 tỷ mật khẩu duy nhất đã bị rò rỉ, trong đó 625 triệu trường hợp chưa từng được báo cáo trước đây.

Trong bối cảnh như vậy, liệu chúng ta có thể nói rằng mình đang thực sự cảnh giác đủ mức hay không?

Ông Troy Hunt, người sáng lập “Have I Been Pwned”, một lần nữa đã phát đi cảnh báo mới.

Ông cho biết, “Tôi không đồng tình với những báo cáo phóng đại về các vụ rò rỉ dữ liệu”, nhưng cũng khẳng định rằng, “Tiêu đề ‘2 tỷ địa chỉ email’ lần này không phải là phóng đại mà dựa trên sự thật”.

Ngoài ra, ông nhấn mạnh rằng vụ rò rỉ lần này không phải là do Gmail bị tấn công, nhằm tránh hiểu lầm lan rộng.

Vài tuần trước, từng có tin đồn sai lệch bắt nguồn từ các bản ghi của phần mềm độc hại đánh cắp thông tin, do đó, việc truyền đạt thông tin chính xác là điều cần thiết để không lặp lại sai lầm tương tự.

Gmail là nền tảng email lớn nhất thế giới và dữ liệu bị rò rỉ lần này cũng bao gồm nhiều tài khoản Gmail, nhưng thực tế chỉ có “394 triệu địa chỉ email duy nhất” liên quan.

Nói cách khác, 80% tổng số dữ liệu không liên quan đến Gmail, và ngay cả với các địa chỉ Gmail, nguyên nhân cũng không phải do lỗ hổng bảo mật từ phía Google.

Các biện pháp mà Google khuyến nghị bao gồm “kích hoạt xác thực hai yếu tố 2FA” và “sử dụng passkey”.

Đây là những biện pháp được khuyến nghị cho tất cả người dùng, bất kể có sử dụng Gmail hay không.

Khi phát hiện ra các vụ rò rỉ mật khẩu quy mô lớn như lần này, việc nhanh chóng đặt lại mật khẩu là rất quan trọng.

Trên thực tế, kẻ tấn công thường sử dụng mật khẩu để thử đăng nhập theo cách hợp lệ, và những sự việc như vậy được dự báo sẽ tiếp tục xảy ra trong tương lai.

Ngày nay, khả năng mật khẩu hoặc địa chỉ email bị rò rỉ ở đâu đó trên mạng là cực kỳ cao.

Không chỉ do các vụ tấn công vào dịch vụ web, mà còn do phần mềm độc hại kiểu infostealer đánh cắp thông tin từ thiết bị cá nhân.

Dù là trường hợp nào, nguy cơ thông tin xác thực bị sử dụng trái phép là điều khó tránh khỏi.

Ông Hunt cũng nhận định, “Đây là bộ dữ liệu lớn nhất mà tôi từng xử lý”.

Trong tình hình như vậy, việc chỉ bảo vệ tài khoản bằng kết hợp mật khẩu và địa chỉ email cũng nguy hiểm chẳng khác nào ra khỏi nhà mà vẫn để chìa khóa cắm ở cửa.

Thực tế, dù nhiều trang web và nền tảng lớn đã cung cấp các phương thức xác thực bổ sung như xác thực hai yếu tố hoặc passkey để đảm bảo an toàn cho người dùng, nhưng vẫn còn rất nhiều người chưa tận dụng đầy đủ các biện pháp này.

Đặc biệt, xác thực hai yếu tố qua SMS có những vấn đề về an toàn, vì vậy nên sử dụng ứng dụng xác thực trên điện thoại thông minh.

Hơn nữa, nếu triển khai passkey cho tất cả các tài khoản hỗ trợ, ngay cả khi thông tin xác thực bị rò rỉ, nguy cơ bị lạm dụng cũng sẽ giảm đi đáng kể.

Các nhà cung cấp lớn như Google, Microsoft, Meta, Amazon, Apple đều đã xây dựng môi trường để người dùng dễ dàng thiết lập các biện pháp này.

Cuối cùng, nếu không thực hiện những biện pháp cơ bản này, người dùng sẽ tiếp tục đối mặt với rủi ro nghiêm trọng.

Trong thời đại rò rỉ thông tin, việc chủ động áp dụng các phương thức xác thực mạnh mẽ hơn và tự bảo vệ tài sản số của mình là điều cần thiết.