Tháng 6/2025, một sự kiện chấn động đã làm rung chuyển cộng đồng công nghệ toàn cầu: Hơn 16 tỷ thông tin đăng nhập, bao gồm tài khoản Google, Apple, Facebook và nhiều nền tảng khác, đã bị rò rỉ.
Quy mô chưa từng có
Đây không chỉ là vụ vi phạm dữ liệu lớn nhất từng được ghi nhận mà còn là lời cảnh báo nghiêm khắc về những lỗ hổng trong hệ thống bảo mật hiện tại. Với thông tin cá nhân của hàng tỷ người dùng bị phơi bày, nguy cơ chiếm đoạt tài khoản, đánh cắp danh tính và các cuộc tấn công mạng quy mô lớn đang ở mức báo động đỏ.
Theo báo cáo của nhóm nghiên cứu bảo mật Cybernews, vụ rò rỉ 16 tỷ thông tin đăng nhập là kết quả của chuỗi các chiến dịch tấn công mạng quy mô lớn, diễn ra từ đầu năm 2025. Nhóm này đã phát hiện 30 tập dữ liệu, mỗi tập chứa từ vài chục triệu đến hơn 3,5 tỷ hồ sơ, tổng cộng lên tới con số khổng lồ 16 tỷ thông tin đăng nhập. Đáng chú ý, phần lớn dữ liệu bị lộ là hoàn toàn mới, chưa từng xuất hiện trong các vụ rò rỉ trước đó, ngoại trừ một tập hợp 184 triệu hồ sơ được phát hiện vào cuối tháng 5/2025 bởi một nhà nghiên cứu độc lập.
Các tập dữ liệu này không chỉ bao gồm thông tin đăng nhập từ các nền tảng phổ biến như Google, Apple, Facebook mà còn liên quan đến GitHub, Telegram, các dịch vụ VPN và thậm chí là cổng thông tin của các cơ quan chính phủ. Cấu trúc của dữ liệu bị rò rỉ rất rõ ràng: Mỗi bản ghi thường bao gồm URL của dịch vụ, tên đăng nhập và mật khẩu. Điều này cho thấy sự tinh vi của các phần mềm độc hại, còn gọi là “infostealer”, được thiết kế để thu thập thông tin một cách có hệ thống và dễ khai thác.
Bob Diachenko, nhà nghiên cứu bảo mật nổi tiếng, cộng tác viên của Cybernews, nhấn mạnh: “Không có bằng chứng cho thấy các hệ thống lõi của Facebook, Google hay Apple bị xâm nhập trực tiếp. Tuy nhiên, với quy mô 16 tỷ thông tin đăng nhập, gần như tương đương hai tài khoản cho mỗi người trên hành tinh, nguy cơ bị tấn công là không thể xem nhẹ”.
Quy mô của vụ rò rỉ này vượt xa các sự kiện trước đó. Đầu năm 2024, Cybernews từng phát hiện một vụ rò rỉ dữ liệu với 26 tỷ hồ sơ, một sự kiện chưa từng có. Mùa hè năm 2024, tập hợp mật khẩu RockYou2024 với gần 10 tỷ mật khẩu cũng gây chấn động. Tuy nhiên, vụ rò rỉ 16 tỷ thông tin đăng nhập lần này không chỉ lớn về số lượng mà còn đáng lo ngại bởi tính mới và cấu trúc dễ khai thác của dữ liệu, mở ra cơ hội cho các cuộc tấn công lừa đảo, chiếm đoạt tài khoản và xâm nhập hệ thống doanh nghiệp.
Vụ rò rỉ 16 tỷ mật khẩu không phải là kết quả của một vụ tấn công đơn lẻ mà là hệ quả từ nhiều yếu tố kết hợp, trong đó infostealer đóng vai trò chính. Các chiến dịch phát tán infostealer, hoạt động từ đầu năm 2025, đã lây nhiễm vào hàng triệu thiết bị người dùng, từ máy tính cá nhân đến điện thoại thông minh. Những phần mềm này âm thầm thu thập thông tin đăng nhập, mật khẩu và thậm chí cả dữ liệu nhạy cảm như seed phrase của ví tiền mã hóa, sau đó tổng hợp và phát tán trên các diễn đàn tội phạm mạng.
Một nguyên nhân quan trọng khác là thói quen bảo mật yếu của người dùng. Theo báo cáo của Cybernews tháng 5/2025, trong số 19 tỷ mật khẩu bị rò rỉ từ hơn 200 sự cố an ninh mạng gần đây, chỉ 6% là mật khẩu có mức độ phức tạp. Phần lớn người dùng vẫn sử dụng mật khẩu yếu như “123456” hoặc các chuỗi dễ đoán, đồng thời tái sử dụng cùng một mật khẩu cho nhiều tài khoản. Điều này tạo điều kiện cho các cuộc tấn công “credential stuffing” (nhồi thông tin đăng nhập), khi tin tặc sử dụng thông tin rò rỉ từ một dịch vụ để truy cập vào các tài khoản khác của cùng một người dùng.
Ngoài ra, các lỗ hổng trong hệ thống công nghệ thông tin cũng góp phần làm gia tăng rủi ro. Các doanh nghiệp và tổ chức, bao gồm cả cơ quan nhà nước, thường xuyên bị tấn công do lỗi cấu hình hệ thống hoặc thiếu các biện pháp bảo mật tiên tiến.
Tăng cường bảo mật
Vụ rò rỉ 16 tỷ mật khẩu đặt ra mối đe dọa nghiêm trọng đối với cả cá nhân và tổ chức trên toàn cầu. Đối với người dùng cá nhân, nguy cơ lớn nhất là chiếm đoạt tài khoản và đánh cắp danh tính. Giới chuyên gia cho rằng, tin tặc có thể sử dụng thông tin đăng nhập bị lộ để truy cập vào tài khoản ngân hàng, email, mạng xã hội hoặc các dịch vụ đám mây, từ đó thực hiện các hành vi lừa đảo hoặc tống tiền. Một bài đăng trên mạng xã hội X vào ngày 20/6 cảnh báo, các ví tiền mã hóa lưu trữ trên đám mây cũng nằm trong tầm ngắm của tội phạm mạng.
Đối với doanh nghiệp, hậu quả của vụ rò rỉ này có thể còn nghiêm trọng hơn. Các thông tin đăng nhập bị lộ có thể dẫn đến xâm nhập email doanh nghiệp, tấn công chuỗi cung ứng số hoặc cài đặt phần mềm tống tiền (ransomware). Theo IBM, chi phí khắc phục trung bình của một vụ rò rỉ dữ liệu doanh nghiệp năm 2023 là 4,24 triệu USD, và con số này có thể cao hơn nhiều trong các vụ tấn công nhắm vào cơ sở hạ tầng quan trọng. Ở cấp độ quốc gia, các thông tin đăng nhập từ cổng thông tin chính phủ bị rò rỉ có thể bị lợi dụng để tấn công hạ tầng quan trọng hoặc gây bất ổn chính trị.
Để đối phó với khủng hoảng an ninh mạng này, các chuyên gia khuyến nghị người dùng và tổ chức áp dụng các biện pháp bảo mật tiên tiến, trong đó bảo mật nhiều lớp (multi-layer security) và công nghệ passkey là hai giải pháp hàng đầu.
Bảo mật nhiều lớp là chiến lược sử dụng nhiều biện pháp bảo vệ độc lập để tăng cường an ninh cho tài khoản và dữ liệu. Các biện pháp cụ thể bao gồm, trước hết là thay đổi mật khẩu thường xuyên và sử dụng mật khẩu mạnh. Người dùng cần tạo mật khẩu dài ít nhất 12 ký tự, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Tránh tái sử dụng mật khẩu trên nhiều nền tảng. Các trình quản lý mật khẩu như LastPass hoặc 1Password có thể giúp tạo và lưu trữ mật khẩu an toàn. Tiếp đó là kích hoạt xác thực đa yếu tố (MFA). MFA yêu cầu người dùng cung cấp thêm một yếu tố xác thực ngoài mật khẩu như mã gửi qua SMS, ứng dụng xác thực hoặc khóa bảo mật vật lý. Theo Microsoft, MFA có thể ngăn chặn 99,9% các cuộc tấn công xâm nhập tài khoản.
Cùng với đó là cài đặt phần mềm bảo mật. Các chương trình như TrendMicro, Norton hoặc McAfee có thể phát hiện, ngăn chặn phần mềm độc hại trên thiết bị. Người dùng cũng nên cập nhật hệ điều hành và phần mềm thường xuyên để vá các lỗ hổng bảo mật. Đồng thời theo dõi rò rỉ dữ liệu. Các dịch vụ như Have I Been Pwned cho phép người dùng kiểm tra xem thông tin cá nhân của mình có bị lộ hay không. Cuối cùng là mã hóa dữ liệu. Các doanh nghiệp cần mã hóa dữ liệu nhạy cảm để bảo đảm rằng ngay cả khi bị đánh cắp, dữ liệu vẫn không thể đọc được. Theo IBM, mã hóa mạnh mẽ có thể giảm thiệt hại của một vụ rò rỉ dữ liệu lên đến 29%.
Passkey là một giải pháp bảo mật mới, được thiết kế để thay thế mật khẩu truyền thống bằng các phương thức xác thực an toàn hơn như sinh trắc học (vân tay, nhận diện khuôn mặt) hoặc mã PIN. Passkey hoạt động dựa trên tiêu chuẩn FIDO2 và WebAuthn, sử dụng cặp khóa công khai và khóa riêng để xác thực người dùng mà không cần lưu trữ mật khẩu trên máy chủ.
Theo báo cáo của FIDO Alliance, passkey có thể giảm tới 80% các cuộc tấn công dựa trên thông tin xác thực. Apple, Google và Microsoft đã bắt đầu tích hợp passkey vào hệ sinh thái của mình. Thí dụ, từ iOS 16 và macOS Ventura, Apple đã cho phép người dùng đăng nhập không cần mật khẩu trên các thiết bị của hãng.
Ưu điểm của passkey bao gồm tăng cường bảo mật (loại bỏ nguy cơ rò rỉ mật khẩu do không lưu trữ chuỗi ký tự dễ bị tấn công) và dễ sử dụng. Theo đó, người dùng chỉ cần xác thực bằng vân tay hoặc khuôn mặt, thay vì phải nhớ hàng chục mật khẩu phức tạp và khả năng chống lừa đảo. Theo Reuters, passkey được gắn với một thiết bị cụ thể, khiến tin tặc khó giả mạo ngay cả khi có thông tin đăng nhập.
Bên cạnh các giải pháp kỹ thuật, việc nâng cao nhận thức của người dùng và tổ chức là yếu tố then chốt. Người dùng cần cẩn trọng khi chia sẻ thông tin cá nhân trên mạng xã hội, tránh truy cập các liên kết đáng ngờ hoặc tải ứng dụng từ nguồn không uy tín.
