Thông Tin Hack: Số Kỷ lục Kinh ngạc với 773 Triệu Bản Ghi Bị Tiết lộ trong Sự Vi Phạm Khổng Lồ

Có sự vi phạm, và có siêu sự vi phạm, và có Equifax. Nhưng một kho dữ liệu bị rò rỉ mới được tiết lộ vượt qua tất cả về lượng thông tin: 772,904,991 địa chỉ email duy nhất, hơn 21 triệu mật khẩu duy nhất, tất cả đều mới đây được đăng trên một diễn đàn hacker.

Bộ dữ liệu này được báo cáo đầu tiên bởi nhà nghiên cứu bảo mật Troy Hunt, người duy trì Have I Been Pwned, một cách để kiểm tra xem email hoặc mật khẩu của bạn có bị rò rỉ thông tin từ bất kỳ sự vi phạm nào hay không. (Câu hỏi mèo: Đúng vậy.) Collection #1, hay còn gọi là Bộ sưu tập #1, là sự vi phạm lớn nhất trong bảo tàng của Hunt, và nó không có đối thủ gì đặc biệt.

Sự Hack

Nếu có điều gì, các con số ở trên chỉ làm giảm giá trị thực sự của sự vi phạm, vì chúng phản ánh nỗ lực của Hunt để làm sạch bộ dữ liệu để loại bỏ bản sao và loại bỏ những phần không sử dụng. Ở dạng thô, nó bao gồm 2.7 tỷ dòng địa chỉ email và mật khẩu, bao gồm hơn một tỷ kết hợp duy nhất của địa chỉ email và mật khẩu.

Bộ sưu tập xuất hiện ngắn ngủi trên MEGA, dịch vụ đám mây, và tồn tại trên điều Hunt gọi là “một diễn đàn hack phổ biến.” Nó nằm trong một thư mục có tên Collection #1, chứa hơn 12,000 tệp tin có trọng lượng hơn 87 gigabyte. Mặc dù khó xác nhận chính xác thông tin đó đến từ đâu, nhưng nó dường như là một sự vi phạm của sự vi phạm; tức là, nó tuyên bố tổng hợp hơn 2,000 cơ sở dữ liệu rò rỉ chứa mật khẩu đã được giải mã mật khẩu bảo vệ.

“Nó chỉ trông như một bộ sưu tập hoàn toàn ngẫu nhiên các trang web chỉ để tối đa hóa số lượng thông tin đăng nhập có sẵn cho hacker,” Hunt nói với MYTOUR. “Không có mẫu rõ ràng, chỉ là tối đa hóa tiếp xúc.”

Loại vi phạm Voltron đó đã xảy ra trước đó, nhưng chưa bao giờ ở quy mô này. Trên thực tế, không chỉ đây là cuộc vi phạm lớn nhất trở thành công cộng, nó chỉ xếp sau cặp sự cố của Yahoo—ảnh hưởng đến 1 tỷ và 3 tỷ người sử dụng, tương ứng—về kích thước. May mắn thay, dữ liệu Yahoo bị đánh cắp vẫn chưa xuất hiện. Vẫn còn.

Ai Bị Ảnh Hưởng?

Danh sách tích lũy dường như được thiết kế để sử dụng trong các cuộc tấn công gọi là tấn công đổ thông tin xác thực, trong đó các hacker đưa ra kết hợp email và mật khẩu cho một trang web hoặc dịch vụ cụ thể. Đây thường là quy trình tự động nhắm đến những người sử dụng mật khẩu giống nhau trên toàn bộ Internet rộng lớn.

Điều may mắn khi Collection #1 trở thành công cộng là bạn có thể chắc chắn biết liệu email và mật khẩu của bạn có nằm trong số tài khoản bị ảnh hưởng hay không. Hunt đã tải chúng lên Have I Been Pwned; chỉ cần nhập địa chỉ email của bạn và giữ những ngón tay kề nhau. Trong khi bạn ở đó, bạn cũng có thể biết được bạn đã là nạn nhân của bao nhiêu sự vi phạm trước đây. Bất kỳ mật khẩu nào bạn đang sử dụng trên những tài khoản đó, hãy thay đổi nó.

Have I Been Pwned cũng giới thiệu tính năng tìm kiếm mật khẩu một năm và nửa trước; bạn chỉ cần nhập mật khẩu phù hợp với các tài khoản quan trọng nhất của bạn để xem liệu chúng có nằm ngoài hay không. Nếu có, hãy thay đổi chúng.

Và trong khi bạn đang làm điều đó, hãy lấy một quản lý mật khẩu. Đã đến lúc rồi.

Tình Trạng Nghiêm Trọng Như Thế Nào?

Khá nghiêm trọng đấy! Mặc dù dường như nó không bao gồm thông tin nhạy cảm hơn, như số thẻ tín dụng hoặc số An Sinh Xã Hội, Collection #1 trở nên lịch sử chỉ với quy mô một mình. Một số yếu tố cũng khiến nó trở nên đặc biệt lo lắng. Trước hết, khoảng 140 triệu tài khoản email và hơn 10 triệu mật khẩu duy nhất trong Collection #1 là mới trong cơ sở dữ liệu của Hunt, có nghĩa là chúng không chỉ là bản sao từ các cuộc vi phạm lớn trước.

Vào cách mà những mật khẩu đó được lưu trữ trong Collection #1. “Đây là tất cả các mật khẩu văn bản đơn. Nếu chúng ta lấy một vi phạm như Dropbox, có thể có 68 triệu địa chỉ email duy nhất trong đó, nhưng mật khẩu đã được băm mật mã học, làm cho chúng rất khó sử dụng,” Hunt nói. Thay vào đó, sức mạnh kỹ thuật duy nhất mà ai đó có quyền truy cập vào các thư mục cần để đột nhập vào tài khoản của bạn là khả năng cuộn và nhấp chuột.

Cuối cùng, Hunt cũng lưu ý rằng tất cả các bản ghi này không nằm ở một góc tối nào đó trên web đen, mà nằm trên một trong những trang lưu trữ đám mây phổ biến nhất—cho đến khi nó bị đóng cửa—và sau đó trên một trang web hack công cộng. Chúng thậm chí không phải là để bán; chúng chỉ là có sẵn cho bất kỳ ai muốn lấy.

Lời khuyên thông thường để bảo vệ bản thân vẫn áp dụng. Không bao giờ sử dụng lại mật khẩu qua nhiều trang web; nó tăng nguy cơ lộ thông tin của bạn lên một cách đáng kể. Lấy một quản lý mật khẩu. Have I Been Pwned tích hợp trực tiếp vào 1Password—kiểm tra tự động tất cả mật khẩu của bạn so với cơ sở dữ liệu của nó—nhưng bạn có nhiều lựa chọn tốt khác. Kích hoạt xác minh hai yếu tố qua ứng dụng trên nhiều tài khoản nếu có thể, để mật khẩu không phải là đường phòng thủ duy nhất. Và nếu bạn phát hiện địa chỉ email hoặc mật khẩu của mình trong Have I Been Pwned, ít nhất biết rằng bạn không phải là người duy nhất.

Những câu chuyện tuyệt vời khác từ MYTOUR

• Chiến dịch không mệt mỏi của một cặp vợ chồng để ngăn chặn một kẻ giết người di truyền
• Sử dụng thực tế ảo để chẩn đoán bệnh tâm thần
• Giày bóng rổ tự trải nghiệm mới của Nike thực sự là thông minh
• Khi công nghệ xâm nhập vào đua xe đạp, những người hoạt động xe đạp có bán đi?
• Sự nổi lên của công cụ linh hoạt như quân đội Thụy Sĩ
• 👀 Đang tìm kiếm các thiết bị công nghệ mới nhất? Kiểm tra các lựa chọn của chúng tôi, hướng dẫn mua sắm và những ưu đãi tốt nhất suốt cả năm
• 📩 Nhận thêm thông tin cụ thể với bản tin hàng tuần của chúng tôi Backchannel