Một tập tin chứa 10 tỷ mật khẩu ở dạng văn bản đã được tung lên mạng, được cho là tập hợp các vụ rò rỉ mật khẩu lớn nhất từ trước đến nay.
Bộ sưu tập mang tên RockYou2024 được một thành viên đăng trên diễn đàn hacker vào ngày 4/7 và mới đây được đăng tải trên các trang tin tức bảo mật. tin tức mạng Người ta phát hiện ra rằng nó chứa tổng cộng 9.948.575.739 mật khẩu văn bản thuần túy, cho phép các thành viên khác tải chúng xuống. Người này đã tạo tài khoản vào tháng 5 và chia sẻ dữ liệu về hàng loạt vụ tấn công khác trước khi công bố RockYou2024.
Hacker tung ảnh chụp màn hình của 10 tỷ dữ liệu mật khẩu. hình ảnh: tin tức mạng
Khi so sánh dữ liệu này với dữ liệu bị rò rỉ trước đó, các nhà nghiên cứu phát hiện ra rằng RockYou2024 là bản cập nhật của RockYou2021, một tập hợp mật mã chứa 8,4 tỷ dữ liệu được phát hành ba năm trước. Đến nay, file đã được bổ sung 1,5 tỷ mật khẩu mới từ thông tin thu thập trên Internet.
Bảng tóm tắt này ban đầu xuất phát từ một vụ vi phạm dữ liệu lớn vào năm 2009 có chứa mật khẩu của hàng chục triệu tài khoản mạng xã hội và sau đó tăng theo cấp số nhân mỗi năm. “Rất có thể, RockYou mới nhất chứa thông tin được thu thập từ hơn 4.000 cơ sở dữ liệu trong hai thập kỷ,” tin tức mạng Trích dẫn ý kiến chuyên gia.
RockYou2024 về cơ bản là tập hợp các mật khẩu thực tế được các cá nhân trên khắp thế giới sử dụng. Tuy nhiên, với lượng dữ liệu lớn như vậy, các chuyên gia lo ngại rằng những kẻ lừa đảo có thể khai thác và thực hiện nhiều cuộc tấn công xâm phạm tài khoản, chẳng hạn như nhồi thông tin xác thực hoặc bẻ khóa vũ phu.
Brute Force là một kỹ thuật tấn công tự động hóa quá trình đăng nhập, cho phép hacker thử hàng triệu mật khẩu khác nhau cho đến khi trùng khớp. Các hệ thống không được bảo vệ chống lại các cuộc tấn công vũ phu có thể nhanh chóng bị tin tặc tấn công bằng cách sử dụng cơ sở dữ liệu mật khẩu được đề cập ở trên.
Đối với việc nhồi thông tin xác thực, tin tặc sẽ sử dụng các tài khoản và mật khẩu bị lộ để truy cập trái phép vào tài khoản người dùng thông qua các yêu cầu đăng nhập tự động và quy mô lớn.
Các nhà nghiên cứu cảnh báo rằng sau RockYou2024, các dịch vụ trực tuyến và ngoại tuyến, bao gồm các thiết bị như camera giám sát và phần cứng công nghiệp, cũng có nguy cơ bị tấn công.
Cybernews đánh giá: “Khi kết hợp với các cơ sở dữ liệu bị xâm phạm khác, chẳng hạn như kho lưu trữ địa chỉ email của người dùng và thông tin xác thực khác, RockYou2024 có thể dẫn đến một loạt vi phạm dữ liệu, gian lận và các vi phạm dữ liệu khác”.
Để phòng ngừa rủi ro, người dùng trên toàn thế giới nên thay đổi mật khẩu tài khoản, ưu tiên sử dụng những mật khẩu mạnh chưa từng được sử dụng ở bất kỳ dịch vụ nào. Ngoài ra, họ có thể kích hoạt xác thực đa yếu tố MFA và sử dụng trình quản lý mật khẩu để giảm thiểu rủi ro.
Lữ Quế
