10 tỷ mật khẩu bị lộ

Tệp rockyou2024.txt cũng rất hữu ích với những hacker chuyên dùng brute force hay stuffing. Ảnh: Shutterstock.

Mới đây, các nhà nghiên cứu tại Cybernews đã tìm thấy một tệp văn bản tập hợp 9.948.575.739 mật khẩu được sử dụng trên toàn cầu, có tên là "rockyou2024.txt". Tất cả được lưu trữ ở dạng văn bản thuần túy. Điều đó có nghĩa là ai có quyền truy cập tệp tin đều có thể tìm kiếm bất kỳ mật khẩu nào họ muốn.

“Về bản chất, vụ rò rỉ RockYou2024 là tập hợp các mật khẩu có thật, được người dùng trên toàn thế giới sử dụng. Việc hàng loạt mật khẩu bị lộ làm tăng nguy cơ xảy ra các cuộc tấn công nhồi nhét thông tin xác thực (stuffing)”, nhóm nhiên cứu cho biết.

Tệp .txt được một người dùng có tên “ObamaCare” đăng vào ngày 4/7. Trước đó, người này từng nhiều lần chia sẻ mật khẩu bị rò rỉ kể từ khi đăng ký vào tháng 5. Mật khẩu trong tệp rockyou2024.txt được tổng hợp từ nhiều vụ tấn công dữ liệu kéo dài suốt 2 thập kỷ, với 1,5 tỷ mật khẩu liên tục được bổ sung từ năm 2021-2024.

3 năm trước, Cybernews đã đưa tin về chương trình tổng hợp mật khẩu RockYou2021, có quy mô lớn nhất vào thời điểm đó, với 8,4 tỷ mật khẩu.

Theo phân tích của nhóm RockYou2024, những kẻ tấn công đã phát triển tập dữ liệu này bằng cách lùng sục trên Internet, tìm các dữ liệu bị rò rỉ, bổ sung 1,5 tỷ mật khẩu khác từ năm 2021-2024 và tăng tập dữ liệu lên 15% so với năm 2021.

Nói về mối nguy hiểm tiềm tàng của việc rò rỉ mật khẩu, nhóm nghiên cứu Cybernews cho biết nhóm người xấu có thể khai thác quá trình tổng hợp mật khẩu RockYou2024 để thực hiện các cuộc tấn công brute forced. Họ còn dễ dàng giành quyền truy cập trái phép vào hàng loạt tài khoản sử dụng mật khẩu có trong tệp tin.

Tài khoản ObamaCare chia sẻ tệp tin chứa 10 tỷ mật khẩu. Ảnh: CyberNews.

Brute forced là một kỹ thuật đoán mật khẩu hoặc khóa mã hóa bằng cách thử tất cả các kết hợp có thể có cho một số ký tự nhất định. Bằng cách tự động hóa quá trình này với chương trình máy tính, hacker có thể thử hàng triệu mật khẩu một cách dễ dàng.

Tương tự, tệp rockyou2024.txt cũng rất hữu ích với những hacker chuyên dùng kỹ thuật nhồi nhét thông tin xác thực (stuffing).

Đây là một loại tấn công mạng dựa trên kho thông tin tài khoản bị đánh cắp, bao gồm danh sách tên người dùng, địa chỉ email và mật khẩu. Các cuộc tấn công này không cố gắng ép buộc hoặc đoán bất kỳ mật khẩu nào. Bởi hacker chỉ cần đăng nhập hàng nghìn đến hàng triệu cặp thông tin được phát hiện trước đó bằng các công cụ tự động.

Sử dụng cơ sở dữ liệu mật khẩu bị đánh cắp của RockYou2024, kẻ tấn công sẽ có cơ hội thành công cao hơn khi xâm phạm vào tài khoản người dùng. Báo cáo của Cybernews cho biết đây là rủi ro đối với cả dịch vụ trực tuyến, ngoại tuyến, lẫn camera có Internet và máy tính công nghiệp.

Lời khuyên là nên dùng mật khẩu mạnh, không trùng lặp và bật xác thực 2 lớp để bảo vệ tài khoản cá nhân. Ảnh: Shutterstock.

“Không chỉ vậy, kết hợp với các dữ liệu bị rò rỉ khác trên các diễn đàn và chợ hacker, chứa địa chỉ email của người dùng và các thông tin xác thực khác, RockYou2024 có thể tiếp tay gây ra hàng loạt vụ vi phạm dữ liệu, gian lận tài chính và trộm danh tính”, nhóm nghiên cứu khẳng định.

Do đó, lời khuyên là bạn có thể sử dụng trình kiểm tra mật khẩu bị rò rỉ để xem liệu thông tin đăng nhập của mình có đang bị kẻ xấu lợi dụng hay không. Nếu thấy bất kỳ mật khẩu nào của mình đã bị lộ, hãy đổi ngay lập tức.

Bên cạnh đó, hãy đảm bảo mình đang sử dụng mật khẩu mạnh, duy nhất cho mỗi tài khoản và không nên sử dụng lại trên nhiều nền tảng. Trong trường hợp một tài khoản bị rò rỉ, kẻ xấu sẽ không thể thực hiện kỹ thuật nhồi nhét thông tin xác thực, vì các tài khoản khác của bạn sẽ không sử dụng chung mật khẩu đã bị lộ.

Bạn cũng có thể sử dụng mã khóa (passkey), hoặc bật xác thực hai yếu tố để đảm bảo không thông tin cá nhân nào bị rò rỉ. Trong trường hợp kẻ xấu biết thông tin xác thực của bạn, chúng sẽ không thể đột nhập vào tài khoản nếu không dùng thiết bị đáng tin cậy của bạn.

Thúy Liên