"Cơn ác mộng" về quyền riêng tư

Việc dữ liệu vô tình bị rò rỉ từ các cơ sở dữ liệu cấu hình sai hoặc không an toàn vốn là một cơn ác mộng dai dẳng về quyền riêng tư.

Phát hiện mới về kho dữ liệu 184 triệu hồ sơ - chứa thông tin đăng nhập Apple, Facebook, Google và cả tài khoản liên quan đến nhiều chính phủ - một lần nữa gióng lên hồi chuông cảnh báo về nguy cơ khi tập trung lượng lớn thông tin nhạy cảm vào một nơi duy nhất có thể bị tấn công.

Đầu tháng 5, Jeremiah Fowler, một chuyên gia kỳ cựu về nghiên cứu bảo mật và săn lùng lỗ hổng dữ liệu, đã phát hiện một cơ sở dữ liệu Elastic không được bảo vệ, chứa hơn 184 triệu bản ghi (tương đương 47 GB dữ liệu).

Ông Fowler cho biết, thông thường có thể tìm ra chủ sở hữu của một cơ sở dữ liệu bị lộ dựa trên nội dung bên trong (thông tin công ty, dữ liệu khách hàng/nhân viên). Tuy nhiên, cơ sở dữ liệu này lại hoàn toàn "bí ẩn", không có bất kỳ dấu vết nào về nguồn gốc hay chủ sở hữu.

Với số lượng lớn và sự đa dạng của các thông tin đăng nhập, bao gồm tài khoản của nhiều dịch vụ trực tuyến, dữ liệu này dường như là một bộ sưu tập tổng hợp. Nó có thể được tạo ra bởi các nhà nghiên cứu vi phạm dữ liệu, tội phạm mạng, hoặc bị đánh cắp trực tiếp bằng phần mềm độc hại chuyên trộm thông tin.

Ông Fowler nhận định: "Đây có lẽ là một trong những vụ việc kỳ lạ nhất tôi từng thấy. Mức độ rủi ro ở đây lớn hơn nhiều so với hầu hết các phát hiện trước đó, vì nó cung cấp quyền truy cập trực tiếp vào tài khoản cá nhân. Đây chính là "danh sách vàng" mà tội phạm mạng hằng mơ ước".

Chi tiết đáng báo động

Mỗi bản ghi trong cơ sở dữ liệu này chứa ID loại tài khoản, URL trang web/dịch vụ, tên người dùng và mật khẩu ở dạng văn bản thuần túy (không mã hóa).

Khi phân tích một mẫu nhỏ gồm 10.000 hồ sơ, ông Fowler tìm thấy hàng trăm tài khoản của các dịch vụ phổ biến như Facebook (479), Google (475), Instagram (240), Roblox (227), Discord (209), cùng hơn 100 tài khoản Microsoft, Netflix và PayPal.

Bên cạnh đó, mẫu này còn chứa thông tin đăng nhập của người dùng trên Amazon, Apple, Nintendo, Snapchat, Spotify, Twitter, WordPress, Yahoo và nhiều nền tảng khác. Đáng lo ngại hơn, tìm kiếm từ khóa trong mẫu cho thấy 187 kết quả liên quan đến "ngân hàng" và 57 kết quả với từ "ví".

Nguy cơ an ninh quốc gia

Dù không tải toàn bộ dữ liệu xuống, ông Fowler đã liên hệ với một số chủ nhân email bị lộ và nhận được xác nhận rằng đó là tài khoản thật. Nghiêm trọng hơn, dữ liệu rò rỉ còn tiềm ẩn nguy cơ đối với an ninh quốc gia.

Chỉ riêng trong mẫu 10.000 bản ghi đã có 220 địa chỉ email với tên miền ".gov", thuộc về ít nhất 29 quốc gia, bao gồm Mỹ, Úc, Canada, Trung Quốc, Ấn Độ, Israel, New Zealand, Ả Rập Xê Út và Anh.

Không thể xác định ai đã tạo ra cơ sở dữ liệu này hay nguồn gốc của thông tin đăng nhập, ông Fowler đã báo cáo vụ việc cho World Host Group, công ty cung cấp dịch vụ lưu trữ cho cơ sở dữ liệu. Quyền truy cập vào kho dữ liệu này đã nhanh chóng bị chặn.

Trong một tuyên bố với WIRED - một tạp chí nổi tiếng của Mỹ - CEO Seb de Lemos của World Host Group, cho biết công ty vận hành hệ thống cho hơn 2 triệu trang web. Tuy nhiên, vị CEO khẳng định cơ sở dữ liệu mà Fowler phát hiện là một máy chủ không được quản lý, do khách hàng toàn quyền kiểm soát trên hạ tầng của họ.

"Có vẻ như một người dùng gian lận đã đăng ký và tải nội dung bất hợp pháp lên máy chủ. Hệ thống đã bị đóng, đội ngũ pháp lý của chúng tôi đang xem xét thông tin để phối hợp với cơ quan thực thi pháp luật và sẽ hợp tác đầy đủ với nhà chức trách", CEO World Host Group cho biết.

Dù cơ sở dữ liệu đã được bảo mật và sau đó gỡ bỏ hoàn toàn, vẫn không rõ liệu có ai khác ngoài Fowler đã truy cập vào kho dữ liệu này khi nó còn sơ hở hay không. Giống như mọi vụ rò rỉ dữ liệu, mối lo ngại chính là thông tin nhạy cảm có thể đã bị đánh cắp và lạm dụng.

Trong trường hợp này, nguy cơ cấp bách là thông tin đăng nhập có thể bị dùng để gian lận, trộm cắp thêm dữ liệu hoặc tấn công các tổ chức khác.

Ông Fowler nghi ngờ rằng, dữ liệu này do tội phạm mạng tổng hợp bằng phần mềm trộm thông tin: "Rất có thể đây là tác phẩm của một tội phạm mạng. Đó là giải thích hợp lý duy nhất, vì tôi không thể nghĩ ra cách nào khác để thu thập được nhiều thông tin đăng nhập và mật khẩu từ vô số dịch vụ trên toàn cầu như vậy".

Nguồn: https://dantri.com.vn/cong-nghe/ro-ri-co-so-du-lieu-khong-lo-184-trieu-tai-khoan-bi-lo-thong-tin-dang-nhap-20250522180903466.htm