Các nhà nghiên cứu của Cybernews phát hiện bộ sưu tập mật khẩu lớn nhất lịch sử bao gồm 9.948.575.739 mật khẩu dưới dạng văn bản. Tập tin có tên RockYou2024.txt được người dùng ObamaCare đăng lên một diễn đàn vào ngày 4/7.
Vụ rò rỉ mật khẩu lớn nhất mọi thời đại
Cybernews đã kiểm tra chéo các mật khẩu trong tập tin với công cụ Leaked Password Checker của mình và phát hiện chúng kết hợp những mật khẩu bị lộ trong các vụ rò rỉ cũ và mới. “Về cơ bản, RockYou2024 tập hợp mật khẩu được dùng thực tế bởi các cá nhân trên toàn cầu”, các chuyên gia cho biết.
Kẻ xấu có thể khai thác bộ sưu tập này để tiến hành các cuộc tấn công brute-force và giành quyền truy cập trái phép nhiều tài khoản trực tuyến. Brute-force là hình thức trong đó tin tặc sử dụng phần mềm tự động thử đăng nhập tên người dùng và mật khẩu phổ biến để đăng nhập tài khoản của nạn nhân. Tuy theo độ khó và phức tạp của mật khẩu, việc bẻ khóa diễn ra nhanh hay chậm.
Theo Cybernews, RockYou2024 không phải “từ trên trời rơi xuống”. Ba năm trước, các chuyên gia cũng đã công bố bộ sưu tập RockYou2021 chứa 8,4 tỷ mật khẩu dưới dạng văn bản tương tự. Phân tích RockYou2024, các chuyên gia nhận thấy những kẻ tấn công đã “cào” Internet để tìm các vụ rò rỉ dữ liệu và bổ sung khoảng 1,5 tỷ mật khẩu từ năm 2021 đến năm 2024.
Đội ngũ của Cybernews tin rằng, tin tặc có thể tận dụng RockYou2024 để nhắm vào bất kỳ hệ thống nào chưa được bảo vệ trước tấn công brute-force. Nạn nhân là bất cứ ai, từ các dịch vụ trực tuyến, ngoại tuyến đến camera giám sát, phần cứng công nghiệp. Kết hợp với các cơ sở dữ liệu khác bị rò rỉ trong các diễn đàn tin tặc và chợ đen, chứa địa chỉ email người dùng và các thông tin khác, RockYou2024 có khả năng dẫn đến hàng loạt vụ xâm phạm dữ liệu, gian lận tài chính và đánh cắp danh tính, Cybernews cảnh báo.
Làm thế nào để bảo vệ bản thân?
Mới đây, theo kết quả nghiên cứu trên 193 triệu mật khẩu tìm thấy web đen, hãng bảo mật Kaspersky phát hiện khoảng 87 triệu mật khẩu, tương ứng 45%, có thể bị hacker bẻ khóa chỉ trong 1 phút, 27 triệu (14%) bị bẻ khóa trong 1 phút đến 1 tiếng. Chỉ có 44 triệu (23%) mật khẩu được đánh giá là an toàn vì việc bẻ khóa phải mất hơn 1 năm.
Dù không thể bảo vệ 100% những cá nhân, tổ chức bị lộ mật khẩu, nhóm Cybernews khuyến nghị người dùng ba biện pháp: ngay lập tức thay đổi mật khẩu tất cả tài khoản dùng mật khẩu bị lộ, nên chọn mật khẩu mạnh, độc nhất chưa từng được “tái sử dụng” trong các nền tảng khác nhau; Kích hoạt xác thực hai bước bất kỳ khi nào có thể, giúp tăng thêm lớp bảo mật bên cạnh mật khẩu; Tận dụng phần mềm quản lý mật khẩu để tạo mới và lưu trữ các mật khẩu phức tạp một cách an toàn, giảm thiểu rủi ro dùng chung mật khẩu cho nhiều tài khoản khác nhau.
Cybernews đã đưa dữ liệu từ RockYou2024 vào công cụ Leaked Password Checker, cho phép ai cũng có thể kiểm tra xem thông tin của mình có bị lộ trong vụ rò rỉ mới nhất không. Độc giả cũng có thể truy cập website https://haveibeenpwned.com/ để kiểm tra.
RockYou2024 là bộ sưu tập mật khẩu lớn thứ hai được phát hiện trong năm 2024. Hồi đầu năm, Cybernews tìm thấy Mother of all breaches (MOAB), chứa 12TB thông tin với 26 tỷ bản ghi.
Theo Du Lam (VietNamNet)