Nhà nghiên cứu an ninh mạng Jeremiah Fowler đã phát hiện ra vào ngày 22 tháng 5 năm 2025 rằng cơ sở dữ liệu không được bảo vệ bằng mật khẩu chứa 184,162,718 thông tin đăng nhập và mật khẩu, và đã báo cáo điều này cho Website Planet, một phương tiện truyền thông an ninh mạng quốc tế.
Dung lượng cơ sở dữ liệu lên đến 47.42GB và được cho là đã được thu thập bởi phần mềm độc hại InfoStealer (phần mềm độc hại đánh cắp thông tin).
Chi tiết dữ liệu rò rỉ và phạm vi ảnh hưởng
Nguồn: Website Planet
loại thông tin xác thực được bao gồm
Cơ sở dữ liệu đã được công bố chứa thông tin xác thực của một loạt các dịch vụ. Thông tin tài khoản của các nền tảng mạng xã hội chính như nhà cung cấp email, sản phẩm của Microsoft, Facebook, Instagram, Snapchat, Roblox đã được xác nhận.
Thông tin truy cập vào tài khoản ngân hàng và tổ chức tài chính của nhiều quốc gia, nền tảng y tế, cũng như cổng thông tin của các cơ quan chính phủ, đều được bao gồm, làm cho cá nhân và tổ chức bị rò rỉ gặp phải rủi ro nghiêm trọng.
Ông Fowler đã liên lạc với nhiều địa chỉ email được đăng ký trong cơ sở dữ liệu và xác nhận rằng hồ sơ chứa mật khẩu chính xác và hợp lệ. Cơ sở dữ liệu đã kết nối với hai tên miền, nhưng không xác định được chủ sở hữu.
Đặc điểm của phần mềm độc hại InfoStealer
InfoStealer (インフォスティーラー) là một thuật ngữ chỉ phần mềm độc hại chuyên đánh cắp thông tin nhạy cảm từ hệ thống bị nhiễm. Nó chủ yếu nhắm vào thông tin xác thực được lưu trữ trong trình duyệt Web, ứng dụng email và ứng dụng nhắn tin, cũng như đánh cắp dữ liệu tự động điền, Cookie và thông tin ví tiền điện tử. Một số biến thể còn có chức năng chụp ảnh màn hình và ghi lại thao tác bàn phím.
Hiện tại, lộ trình thu thập dữ liệu trong trường hợp này chưa được biết, nhưng điều quan trọng cần lưu ý là tội phạm mạng thường phát tán phần mềm độc hại thông qua email lừa đảo, trang web độc hại và phần mềm bẻ khóa.
Các rủi ro bảo mật chính dự kiến
tấn công lừa đảo thông tin đăng nhập
Cuộc tấn công cấp độ thông tin xác thực là một phương pháp tấn công tự động cố gắng truy cập trái phép vào nhiều dịch vụ trực tuyến bằng cách sử dụng thông tin xác thực bị đánh cắp.
Khai thác thói quen nhiều người dùng sử dụng lại cùng một mật khẩu trên nhiều dịch vụ, họ sử dụng botnet để thực hiện hàng nghìn lần đăng nhập mỗi giây. Sử dụng 184 triệu thông tin đăng nhập bị rò rỉ, những kẻ tấn công có thể cố gắng đăng nhập vào bất kỳ dịch vụ trực tuyến nào, bao gồm ngân hàng, phương tiện truyền thông xã hội, trang web thương mại điện tử và hệ thống công ty.
Tỷ lệ thành công thường được cho là khoảng 0.1 đến 2%, nhưng với quy mô lần này, có khả năng hàng trăm nghìn đến hàng triệu tài khoản bị xâm phạm.
Chiếm đoạt tài khoản (ATO)
Chiếm đoạt tài khoản (Account Takeover: ATO) là một cuộc tấn công nhằm kiểm soát hoàn toàn tài khoản của người dùng bằng cách sử dụng thông tin xác thực hợp lệ.
Các tài khoản chưa triển khai xác thực hai yếu tố (2FA) có nguy cơ bị xâm nhập cực kỳ cao chỉ với ID đăng nhập và mật khẩu. Khi kẻ tấn công chiếm đoạt tài khoản, chúng có thể truy cập tất cả dữ liệu như thông tin cá nhân (PII) đã lưu, thông tin thẻ tín dụng, lịch sử mua hàng, danh bạ, v.v.
Hơn nữa, có nguy cơ xảy ra các thiệt hại thứ cấp một cách liên tiếp, như việc gửi email lừa đảo giả mạo nạn nhân nhằm vào bạn bè, gia đình, và đối tác kinh doanh, chuyển tiền trái phép, và việc bị khóa tài khoản do thay đổi cài đặt tài khoản.
Ảnh hưởng đến các doanh nghiệp và cơ quan chính phủ
Dữ liệu rò rỉ lần này đã xác nhận có chứa nhiều tài khoản doanh nghiệp và tài khoản của các cơ quan chính phủ các quốc gia (.gov). Nếu thông tin xác thực của doanh nghiệp bị lạm dụng, kẻ tấn công có thể xâm nhập vào mạng nội bộ, đánh cắp dữ liệu kinh doanh nhạy cảm, thực hiện hoạt động gián điệp công nghiệp, thậm chí là thực hiện các cuộc tấn công ransomware.
Điều đáng lo ngại nhất là tài khoản của các cơ quan chính phủ. Nếu trong số này có những tài khoản có quyền truy cập vào cơ sở hạ tầng quan trọng của quốc gia hoặc thông tin mật, thì sẽ trở thành một mối đe dọa nghiêm trọng đối với an ninh quốc gia. Ngoài ra, cũng có khả năng bị lạm dụng như một điểm khởi đầu cho các cuộc tấn công chuỗi cung ứng, và có nguy cơ rằng một sự xâm phạm có thể mở rộng theo chuỗi.
rủi ro liên quan đến tài sản tiền điện tử
Các biến thể của phần mềm độc hại InfoStealer không chỉ nhắm đến tài khoản sàn giao dịch mà còn cả khóa bí mật và cụm từ hạt giống của ví mở rộng trình duyệt.
Các mối đe dọa như vậy đang có xu hướng gia tăng, chẳng hạn như "StilachiRAT" mà Microsoft đã cảnh báo vào tháng 3 năm 2025, nhắm vào hơn 20 loại ví như MetaMask, Trust Wallet, Phantom, và đánh cắp thông tin xác thực thông qua Windows Registry.
Nếu thông tin xác thực bị rò rỉ lần này có chứa tài khoản của sàn giao dịch tài sản mã hóa, thì tài khoản chưa được thiết lập 2FA có thể bị thực hiện chuyển tiền trái phép ngay lập tức.
Các giao dịch tiền điện tử là không thể đảo ngược, vì vậy một khi một khoản tiền được gửi, việc thu hồi là cực kỳ khó khăn. Ngoài ra, một số phần mềm độc hại mới nhất có khả năng giám sát khay nhớ tạm và tự động phát hiện và đánh cắp địa chỉ và khóa riêng tư, khiến nó trở thành mối đe dọa liên tục đối với chủ sở hữu tiền điện tử.
Các biện pháp bảo mật mà người dùng nên thực hiện
Lần rò rỉ lớn này là một cơ hội quan trọng để xem xét lại mật khẩu cá nhân và các biện pháp bảo mật. Để ngăn chặn sự mở rộng của thiệt hại, tất cả người dùng cần nhanh chóng thực hiện các biện pháp.
Các biện pháp chính mà người dùng nên thực hiện là như sau. Bằng cách kết hợp các biện pháp này, chúng sẽ trở thành phương tiện để bảo vệ bản thân khỏi rò rỉ thông tin.
Quản lý mật khẩu
Thay đổi định kỳ hàng năm, sử dụng mật khẩu phức tạp duy nhất cho tất cả các tài khoản. Khuyến nghị sử dụng trình quản lý mật khẩu.
Xác thực hai yếu tố (2FA)
Đặc biệt là các tổ chức tài chính, sàn giao dịch tài sản mã hóa, các tài khoản quan trọng là cần thiết.
Giám sát tài khoản
Kiểm tra rò rỉ trên Have I Been Pwned (HIBP), sử dụng thông báo đăng nhập và cảnh báo hoạt động.
Bảo vệ tài sản mã hóa
Quản lý một lượng lớn tài sản bằng ví phần cứng
Phần mềm bảo mật
Cài đặt phần mềm diệt virus đáng tin cậy và luôn duy trì trạng thái cập nhật. Xem xét giải pháp EDR cho bảo vệ nâng cao.
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
1 tỷ 840 triệu thông tin đăng nhập bị rò rỉ, có thể đã được thu thập bằng phần mềm độc hại = báo chí
Dung lượng cơ sở dữ liệu lên đến 47.42GB và được cho là đã được thu thập bởi phần mềm độc hại InfoStealer (phần mềm độc hại đánh cắp thông tin).
Chi tiết dữ liệu rò rỉ và phạm vi ảnh hưởng
loại thông tin xác thực được bao gồm
Cơ sở dữ liệu đã được công bố chứa thông tin xác thực của một loạt các dịch vụ. Thông tin tài khoản của các nền tảng mạng xã hội chính như nhà cung cấp email, sản phẩm của Microsoft, Facebook, Instagram, Snapchat, Roblox đã được xác nhận.
Thông tin truy cập vào tài khoản ngân hàng và tổ chức tài chính của nhiều quốc gia, nền tảng y tế, cũng như cổng thông tin của các cơ quan chính phủ, đều được bao gồm, làm cho cá nhân và tổ chức bị rò rỉ gặp phải rủi ro nghiêm trọng.
Ông Fowler đã liên lạc với nhiều địa chỉ email được đăng ký trong cơ sở dữ liệu và xác nhận rằng hồ sơ chứa mật khẩu chính xác và hợp lệ. Cơ sở dữ liệu đã kết nối với hai tên miền, nhưng không xác định được chủ sở hữu.
Đặc điểm của phần mềm độc hại InfoStealer
InfoStealer (インフォスティーラー) là một thuật ngữ chỉ phần mềm độc hại chuyên đánh cắp thông tin nhạy cảm từ hệ thống bị nhiễm. Nó chủ yếu nhắm vào thông tin xác thực được lưu trữ trong trình duyệt Web, ứng dụng email và ứng dụng nhắn tin, cũng như đánh cắp dữ liệu tự động điền, Cookie và thông tin ví tiền điện tử. Một số biến thể còn có chức năng chụp ảnh màn hình và ghi lại thao tác bàn phím.
Hiện tại, lộ trình thu thập dữ liệu trong trường hợp này chưa được biết, nhưng điều quan trọng cần lưu ý là tội phạm mạng thường phát tán phần mềm độc hại thông qua email lừa đảo, trang web độc hại và phần mềm bẻ khóa.
Các rủi ro bảo mật chính dự kiến
tấn công lừa đảo thông tin đăng nhập
Cuộc tấn công cấp độ thông tin xác thực là một phương pháp tấn công tự động cố gắng truy cập trái phép vào nhiều dịch vụ trực tuyến bằng cách sử dụng thông tin xác thực bị đánh cắp.
Khai thác thói quen nhiều người dùng sử dụng lại cùng một mật khẩu trên nhiều dịch vụ, họ sử dụng botnet để thực hiện hàng nghìn lần đăng nhập mỗi giây. Sử dụng 184 triệu thông tin đăng nhập bị rò rỉ, những kẻ tấn công có thể cố gắng đăng nhập vào bất kỳ dịch vụ trực tuyến nào, bao gồm ngân hàng, phương tiện truyền thông xã hội, trang web thương mại điện tử và hệ thống công ty.
Tỷ lệ thành công thường được cho là khoảng 0.1 đến 2%, nhưng với quy mô lần này, có khả năng hàng trăm nghìn đến hàng triệu tài khoản bị xâm phạm.
Chiếm đoạt tài khoản (ATO)
Chiếm đoạt tài khoản (Account Takeover: ATO) là một cuộc tấn công nhằm kiểm soát hoàn toàn tài khoản của người dùng bằng cách sử dụng thông tin xác thực hợp lệ.
Các tài khoản chưa triển khai xác thực hai yếu tố (2FA) có nguy cơ bị xâm nhập cực kỳ cao chỉ với ID đăng nhập và mật khẩu. Khi kẻ tấn công chiếm đoạt tài khoản, chúng có thể truy cập tất cả dữ liệu như thông tin cá nhân (PII) đã lưu, thông tin thẻ tín dụng, lịch sử mua hàng, danh bạ, v.v.
Hơn nữa, có nguy cơ xảy ra các thiệt hại thứ cấp một cách liên tiếp, như việc gửi email lừa đảo giả mạo nạn nhân nhằm vào bạn bè, gia đình, và đối tác kinh doanh, chuyển tiền trái phép, và việc bị khóa tài khoản do thay đổi cài đặt tài khoản.
Ảnh hưởng đến các doanh nghiệp và cơ quan chính phủ
Dữ liệu rò rỉ lần này đã xác nhận có chứa nhiều tài khoản doanh nghiệp và tài khoản của các cơ quan chính phủ các quốc gia (.gov). Nếu thông tin xác thực của doanh nghiệp bị lạm dụng, kẻ tấn công có thể xâm nhập vào mạng nội bộ, đánh cắp dữ liệu kinh doanh nhạy cảm, thực hiện hoạt động gián điệp công nghiệp, thậm chí là thực hiện các cuộc tấn công ransomware.
Điều đáng lo ngại nhất là tài khoản của các cơ quan chính phủ. Nếu trong số này có những tài khoản có quyền truy cập vào cơ sở hạ tầng quan trọng của quốc gia hoặc thông tin mật, thì sẽ trở thành một mối đe dọa nghiêm trọng đối với an ninh quốc gia. Ngoài ra, cũng có khả năng bị lạm dụng như một điểm khởi đầu cho các cuộc tấn công chuỗi cung ứng, và có nguy cơ rằng một sự xâm phạm có thể mở rộng theo chuỗi.
rủi ro liên quan đến tài sản tiền điện tử
Các biến thể của phần mềm độc hại InfoStealer không chỉ nhắm đến tài khoản sàn giao dịch mà còn cả khóa bí mật và cụm từ hạt giống của ví mở rộng trình duyệt.
Các mối đe dọa như vậy đang có xu hướng gia tăng, chẳng hạn như "StilachiRAT" mà Microsoft đã cảnh báo vào tháng 3 năm 2025, nhắm vào hơn 20 loại ví như MetaMask, Trust Wallet, Phantom, và đánh cắp thông tin xác thực thông qua Windows Registry.
Nếu thông tin xác thực bị rò rỉ lần này có chứa tài khoản của sàn giao dịch tài sản mã hóa, thì tài khoản chưa được thiết lập 2FA có thể bị thực hiện chuyển tiền trái phép ngay lập tức.
Các giao dịch tiền điện tử là không thể đảo ngược, vì vậy một khi một khoản tiền được gửi, việc thu hồi là cực kỳ khó khăn. Ngoài ra, một số phần mềm độc hại mới nhất có khả năng giám sát khay nhớ tạm và tự động phát hiện và đánh cắp địa chỉ và khóa riêng tư, khiến nó trở thành mối đe dọa liên tục đối với chủ sở hữu tiền điện tử.
Các biện pháp bảo mật mà người dùng nên thực hiện
Lần rò rỉ lớn này là một cơ hội quan trọng để xem xét lại mật khẩu cá nhân và các biện pháp bảo mật. Để ngăn chặn sự mở rộng của thiệt hại, tất cả người dùng cần nhanh chóng thực hiện các biện pháp.
Các biện pháp chính mà người dùng nên thực hiện là như sau. Bằng cách kết hợp các biện pháp này, chúng sẽ trở thành phương tiện để bảo vệ bản thân khỏi rò rỉ thông tin.
Thay đổi định kỳ hàng năm, sử dụng mật khẩu phức tạp duy nhất cho tất cả các tài khoản. Khuyến nghị sử dụng trình quản lý mật khẩu.
Đặc biệt là các tổ chức tài chính, sàn giao dịch tài sản mã hóa, các tài khoản quan trọng là cần thiết.
Kiểm tra rò rỉ trên Have I Been Pwned (HIBP), sử dụng thông báo đăng nhập và cảnh báo hoạt động.
Quản lý một lượng lớn tài sản bằng ví phần cứng
Cài đặt phần mềm diệt virus đáng tin cậy và luôn duy trì trạng thái cập nhật. Xem xét giải pháp EDR cho bảo vệ nâng cao.