Hơn 1 tỷ mật khẩu và email bị rò rỉ: Cách kiểm tra xem bạn có bị ảnh hưởng không

Chuyên gia bảo mật Troy Hunt, người vận hành trang web Have I Been Pwned (HIBP), vừa tiếp nhận một tập dữ liệu khổng lồ chứa 2 tỷ địa chỉ email duy nhất và 1,3 tỷ mật khẩu duy nhất từ nhiều nguồn và danh sách độc hại khác nhau trên Internet.  Dữ liệu này được tổng hợp bởi công ty bảo mật Synthient từ nhiều vụ rò rỉ dữ liệu khác nhau. 

Nguồn gốc và tính chất của dữ liệu

• Dữ liệu từ phần mềm độc hại: Sau khi xử lý, tập dữ liệu hiện chỉ chứa các thông tin đăng nhập duy nhất (không trùng lặp) bị đánh cắp bởi các phần mềm độc hại chuyên trộm thông tin (Infostealer).

• Kênh phát tán: Những dữ liệu này được chia sẻ miễn phí trên Internet hoặc thu thập thông qua các nhóm Telegram.

• Độ tuổi của dữ liệu: Tập dữ liệu bao gồm cả những thông tin từ nhiều thập kỷ trước (thập niên 90) cho đến những dữ liệu mới phát sinh gần đây.

Nguy cơ từ "Credential Stuffing"

Kẻ tấn công thường sử dụng phương pháp gọi là "credential stuffing" — thử các tổ hợp email và mật khẩu cũ trên nhiều nền tảng khác nhau.  

• Do nhiều người hiếm khi thay đổi mật khẩu, tin tặc có thể thử nghiệm các thông tin cũ cho đến khi đăng nhập thành công.

• Các mật khẩu yếu như "12345", ngày sinh hoặc tên riêng có thể bị bẻ khóa rất nhanh chóng.

Cách kiểm tra mức độ an toàn của bạn

Troy Hunt đã tải các mật khẩu này lên cơ sở dữ liệu Pwned Passwords để người dùng có thể kiểm tra xem mật khẩu của mình đã từng bị rò rỉ hay chưa.

• Kiểm tra mật khẩu: Hệ thống lưu trữ mật khẩu mà không gắn kèm email để đảm bảo tính riêng tư, chỉ tập trung vào việc đánh giá độ bảo mật của chính mật khẩu đó.

• Lời khuyên từ chuyên gia: Nếu mật khẩu của bạn (ví dụ: "Fido123!") xuất hiện trong danh sách đã bị lộ, dù đó là từ tài khoản của bạn hay của người khác, thì đó vẫn là một mật khẩu tồi vì nó đi theo một mô hình dễ đoán.

• Hành động cần thiết: Bạn không bao giờ nên sử dụng lại mật khẩu đã bị lộ ở bất kỳ đâu và nên duy trì thói quen kiểm tra định kỳ các tài khoản email cũng như mật khẩu của mình.