Hacker phát tán 2,3 triệu hồ sơ người đăng ký WIRED, dọa tung thêm 40 triệu bản

Hacker này cảnh báo sẽ tiếp tục công bố thêm tới 40 triệu hồ sơ người đăng ký liên quan đến các ấn phẩm khác của Condé Nast.

Được thành lập năm 1993 và hiện thuộc Condé Nast, WIRED là tạp chí và nền tảng truyền thông công nghệ nổi tiếng của Mỹ, chuyên đưa tin và phân tích về công nghệ số, internet, trí tuệ nhân tạo, khoa học và đổi mới sáng tạo; kinh doanh, startup, kinh tế số; văn hóa và xã hội dưới tác động của công nghệ.

Điểm nổi bật của WIRED là các bài viết chuyên sâu, giàu phân tích, thường bàn về cách công nghệ thay đổi thế giới, từ đời sống cá nhân đến chính trị, kinh tế và quyền riêng tư.

Hacker Lovely tuyên bố phát tán 2,3 triệu hồ sơ người đăng ký WIRED, dọa tung thêm 40 triệu bản ghi các ấn phẩm khác của Condé Nast - Ảnh: Internet

Ngày 20.12, người có biệt danh Lovely đã đăng tải cơ sở dữ liệu này lên một diễn đàn hacker, chào bán quyền truy cập với giá khoảng 2,30 USD bằng hệ thống tín dụng của diễn đàn. Trong bài đăng, Lovely cáo buộc Condé Nast phớt lờ các báo cáo lỗ hổng và không coi trọng vấn đề bảo mật.

“Condé Nast không quan tâm đến việc bảo vệ dữ liệu người dùng của họ. Chúng tôi mất hẳn một tháng để thuyết phục họ vá các lỗ hổng trên website. Chúng tôi sẽ tiếp tục làm rò rỉ thêm dữ liệu người dùng của họ (hơn 40 triệu bản ghi) trong vài tuần tới. Cứ tận hưởng đi!”, theo bài viết của Lovely trên diễn đàn hacker này.

Sau đó, Lovely tiếp tục đăng dữ liệu lên các diễn đàn hacker khác, nơi người dùng cũng phải dùng điểm tín dụng để xem mật khẩu giải nén kho lưu trữ chứa dữ liệu.

Ngoài ra, Lovelycòn chia sẻ số lượng hồ sơ người dùng của các ấn phẩm khác thuộc Condé Nast mà hắn tuyên bố đã đánh cắp được dữ liệu.

Dựa trên các chữ viết tắt được Lovely sử dụng, danh sách này gồm: The New Yorker, Epicurious, SELF, Vogue, Allure, Vanity Fair, Glamour, Men’s Journal, Architectural Digest, Golf Digest, Teen Vogue, Style.com và Condé Nast Traveler.

Dù Condé Nast chưa xác nhận bị xâm nhập, trang BC cho biết đã phân tích cơ sở dữ liệu bị rò rỉ và xác thực được 20 hồ sơ là người đăng ký WIRED hợp lệ.

Bộ dữ liệu gồm 2.366.576 bản ghi, với 2.366.574 địa chỉ email độc lập. Các thông tin trong đó được thu thập suốt một thời gian rất dài, từ ngày 26.4.1996 đến 9.9.2025.

Mỗi người trong cơ sở dữ liệu được lưu dưới dạng một hồ sơ riêng. Hồ sơ này bắt buộc có mã số nội bộ (ID) và địa chỉ email, còn các thông tin khác như họ tên, số điện thoại, địa chỉ nhà, giới tính hay ngày sinh thì có thể để trống. Trên thực tế, rất nhiều hồ sơ không có đủ các thông tin này.

Các bản ghi cũng gồm cả thời điểm tạo và cập nhật tài khoản, thông tin phiên đăng nhập gần nhất, cùng các trường riêng của WIRED như tên hiển thị và ngày tạo/cập nhật tài khoản.

Dù nhiều trường dữ liệu trống, một số hồ sơ người dùng vẫn chứa thêm thông tin cá nhân:

Khoảng 284.196 hồ sơ (12,01%) có cả họ và tên.

194.361 hồ sơ (8,21%) có địa chỉ nhà.

67.223 hồ sơ (2,84%) có ngày sinh.

32.438 hồ sơ (1,37%) có số điện thoại.

Một nhóm nhỏ có hồ sơ đầy đủ hơn, với 1.529 (0,06%) chứa đủ họ tên, ngày sinh, số điện thoại, địa chỉ và giới tính.

Bài đăng tiết lộ dữ liệu 2,3 triệu hồ sơ người đăng ký WIRED trên một diễn đàn hacker - Ảnh: BC

Alon Gal, đồng sáng lập kiêm Giám đốc công nghệ Hudson Rock, cũng xác minh các hồ sơ người dùng này bằng cách đối chiếu với nhật ký infostealer (phần mềm đánh cắp thông tin) chứa thông tin đăng nhập từng bị xâm phạm trước đó.

“Các nhà nghiên cứu của chúng tôi đã xác định được thông tin đăng nhập hợp lệ của người đăng ký WIRED trong các nhật ký lây nhiễm infostealer trên toàn cầu. Bằng cách đối chiếu các thông tin đăng nhập bị lộ này với các bản ghi trong cơ sở dữ liệu bị rò rỉ, chúng tôi đã xác nhận chắc chắn tính xác thực của tập dữ liệu mà không cần bất kỳ tương tác nào với tổ chức nạn nhân”, Alon Gal cho hay.

Cơ sở dữ liệu bị rò rỉ hiện đã được đưa vào dịch vụ Have I Been Pwned, cho phép người dùng kiểm tra xem địa chỉ email của mình có bị lộ trong vụ rò rỉ hay không.

Tự nhận là nhà nghiên cứu bảo mật

Trước khi phát tán dữ liệu, Lovely đã tự nhận mình là nhà nghiên cứu bảo mật và liên hệ với Dissent Doe của trang DataBreaches để nhờ hỗ trợ việc tiết lộ lỗ hổng một cách có trách nhiệm cho Condé Nast.

DataBreaches là trang tin và cơ sở dữ liệu độc lập chuyên theo dõi các vụ rò rỉ và xâm phạm dữ liệu trên toàn cầu, được điều hành bởi bà Dissent Doe - nhà nghiên cứu an ninh mạng nổi tiếng trong lĩnh vực bảo mật dữ liệu.

Theo DataBreaches, Lovely liên hệ vào cuối tháng 11 để tìm cách tiếp cận đội ngũ bảo mật của Condé Nast về các lỗ hổng “sẽ cho phép kẻ tấn công xem và chỉnh sửa thông tin tài khoản người dùng”.

Ban đầu, Lovely nói rằng chỉ tải xuống một số ít hồ sơ người dùng nhằm cung cấp bằng chứng cho Condé Nast, gồm cả của một nhân viên WIRED.

Tuy nhiên, sau khi không nhận được phản hồi từ Condé Nast, Lovely nói với Dissent Doe rằng đã tải xuống toàn bộ cơ sở dữ liệu và đe dọa sẽ làm rò rỉ.

Dissent Doe kết luận rằng bà bị đánh lừa và mô tả đây là trường hợp một tác nhân đe dọa đã lợi dụng việc “tiết lộ có trách nhiệm” để tải xuống và phát tán dữ liệu bị đánh cắp.

“Lovely đã chơi xỏ tôi. Condé Nast không bao giờ nên trả cho Lovely dù chỉ một xu và không những người khác cũng vậy, vì rõ ràng lời nói của người này không thể tin được”, Dissent Doe thừa nhận.

Trang BC đã liên hệ Condé Nast để đặt câu hỏi về vụ việc, nhưng đến thời điểm hiện tại vẫn chưa nhận được phản hồi.

Sơn Vân