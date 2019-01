Trong những năm vừa qua đã xảy ra nhiều vụ tin tặc xâm nhập được máy chủ dữ liệu của các doanh nghiệp tên tuổi như Facebook, Google, Yahoo, LinkedIn, MySpace, eBay, Quora, Equifax, T-Mobile, Cathay Pacific Airways, Marriott International... làm lộ thông tin cá nhân của hàng tỉ người dùng khắp thế giới.

Vụ rò rỉ thông tin lớn nhất là của Yahoo với 2 lần (năm 2013 và 2014) bị tin tặc xâm nhập và đánh cắp thông tin của 3 tỉ người dùng mạng này. May mắn cho Yahoo (nay đã thuộc quyền sở hữu của nhà mạng viễn thông Verizon, Mỹ) là cho đến nay, vẫn chưa có nhóm hacker nào công bố các thông tin đánh cắp được từ nhà cung cấp dịch vụ tìm kiếm và email một thời lừng lẫy này.

Mới đây, giới công nghệ lại bị chấn động với một vụ lộ thông tin cá nhân cực kỳ nghiêm trọng. Thông tin bị lộ bao gồm 772.904.991 địa chỉ email và 21.222.975 mật khẩu đăng nhập của người dùng, mới được đăng tải công khai trên một trang web “đen” rất nổi tiếng trong giới tin tặc (nguồn tin của Troy Hunt, Gizmodo và Wired không nói rõ tên trang web).

Người đầu tiên phát hiện ra vụ việc này là chuyên gia an ninh mạng nổi tiếng người Úc Troy Hunt, người sáng lập trang web kiểm tra bảo mật “Have I Been Pwned”. Trang web rất uy tín này giúp cho tất cả người dùng internet khắp thế giới có thể kiểm tra xem địa chỉ email và mật khẩu đăng nhập của mình có bị lộ hay không.

Theo thông tin ban đầu, các thông tin người dùng bị lộ lưu trữ trong 12.000 tập tin với tổng dung lượng 87 gigabyte (GB), được chứa trong một thư mục có tên là "Collection #1". Trang web đen công bố là các thông tin này được thu thập từ hơn 2.000 bộ cơ sở dữ liệu (database) bị rò rỉ, trong đó 140 triệu địa chỉ email và mật khẩu là hoàn toàn mới, không trùng lặp với các thông tin bị rò rỉ vào các năm trước. Các chuyên gia an ninh mạng chưa xác định được các thông tin được thu thập từ nguồn nào. Họ nhận định rằng có nhiều khả năng là chúng được tập hợp từ nhiều cơ sở dữ liệu người dùng bị rò rỉ từ vài năm trước đến nay.

Sự việc càng trở nên nghiêm trọng hơn khi nhà báo chuyên về an ninh mạng Brian Krebs công bố rằng bộ “Collection #1” chỉ mới là bộ đầu tiên được một hacker ẩn danh chào bán. Hacker này cho biết y còn nắm giữ 6 bộ dữ liệu thông tin rò rỉ khác và đang rao bán thêm 1 tetrabyte (=1.000 gigabyte) dữ liệu về các mật khẩu đã đánh cắp được.

Thông thường, những mật khẩu lưu trong cơ sở dữ liệu trên máy chủ đều được “băm” (hashing) để tăng độ bảo mật và ngăn chặn những cặp mắt tò mò. Nhưng trong trường hợp này, rất đáng lo ngại là trong những thông tin bị lộ nói trên, các mật khẩu đều đã bị giải mã và chuyển sang ký tự thông thường nên ai cũng có thể đọc được.

Những ai bị ảnh hưởng?

Mỗi khi muốn xâm nhập vào một website thông dụng nào đó với tư cách người dùng hợp pháp, các tin tặc thường dùng chương trình tự động điền địa chỉ email và mật khẩu vào ô đăng nhập của trang web đó. Nên, những người dùng ít quan tâm đến bảo mật cá nhân thường dùng một mật khẩu cho nhiều dịch vụ web khác nhau (ví dụ dùng cùng mật khẩu cho Gmail, Facebook, Yahoo Mail, Instagram…), thì họ có nhiều nguy cơ bị tin tặc chiếm đoạt tài khoản của mình để dùng vào chuyện bất hợp pháp.

Các chuyên gia an ninh mạng chưa biết được là những doanh nghiệp, tổ chức nào đã bị rò rỉ các thông trên nên chưa thể công bố cụ thể. Nhưng có thể Google cũng nằm trong số đó. Bởi vì hôm 17.1 vừa qua, người viết bài này nhận được email thông báo của trang “Have I Been Pwned” cho biết địa chỉ Gmail của mình nằm trong số 772 triệu địa chỉ email bị lộ đã đề cập ở trên. May mắn là mật khẩu đăng nhập Gmail không nằm trong số 21 triệu mật khẩu bị bẻ khóa.

Cách nào để kiểm tra xem thông tin của bạn có bị lộ không?

Chuyên gia an ninh mạng Troy Hunt đã lập trang web “Have I Been Pwned” từ tháng 12.2013 để giúp người dùng internet khắp nơi kiểm tra xem địa chỉ email và mật khẩu của mình có bị lộ chưa.

Ảnh Wikipedia Chuyên gia an ninh mạng Troy Hunt, người sáng lập trang Have I Been Pwned

Nếu muốn kiểm tra trạng thái an toàn của các địa chỉ email mà bạn thường dùng, hãy vào địa chỉ web https://haveibeenpwned.com/. Đầu tiên, sẽ hiện ra một trang kiểm tra, nó yêu cầu bạn kích vào ô “I’m not a robot” để chứng minh mình là người thật. Khi trang gốc hiện ra, bạn hãy gõ địa chỉ email vào ô trống rồi bấm vào nút “pwned?” để kiểm tra. Nếu email của bạn đã bị lộ, trang sẽ hiện ô trạng thái màu ĐỎ sậm và dòng thông báo: “Oh No - Pwned”. Còn như vẫn an toàn sẽ hiện lên ô trạng thái màu XANH lá và thông báo: “Good news - No pwnage found”.

Còn muốn kiểm tra mật khẩu đăng nhập của bạn có bị lộ không thì vào địa chỉ này cũng của “Have I Been Pwned”: https://haveibeenpwned.com/Passwords. Gõ mật khẩu nào đó mà bạn đang dùng (ví dụ mật khẩu đăng nhập vào Gmail, Facbook, Yahoo, Instagram…) vào ô trống, rồi bấm vào nút “pwned?”. Nếu thấy xuất hiện thanh trạng thái màu ĐỎ sậm và dòng thông báo “Oh no – pwned! This password has been seen… times before” thì bạn nên lập tức đổi ngay một mật khẩu khác vì mật khẩu hiện dùng đã bị lộ. Còn như hiện ô trạng thái màu XANH lá và thông báo: “Good new – No pwned found”, thì mọi thứ vẫn ổn.

Hiện cơ sở dữ liệu của trang này đang lưu trữ 551 triệu mật khẩu đã bị lộ của người dùng khắp thế giới.

Một điểm rất hay khác là trang “Have I Been Pwned” còn cho chúng ta đăng ký nhận thông báo bằng email mỗi khi địa chỉ email của mình bị lộ. Năm 2018, trang web kiểm tra bảo mật này đã được trao giải thưởng lớn Grand Prix của Diễn đàn An ninh Thông tin châu Âu (InfoSecurity Europe)

Biện pháp tăng cường bảo mật tối đa cho các tài khoản của bạn

Biện pháp chống bị hack hiệu quả nhất là áp dụng phương thức đăng nhập xác thực 2 lớp (two-factor authentication). Nghĩa là bạn sẽ thiết lập trước trong Gmail, Facebook, Yahoo… để mỗi khi bạn đăng nhập vào tài khoản của mình tại các trang này, trang sẽ yêu cầu bạn nhập thêm một dãy chữ hoặc số được gửi qua tin nhắn SMS vào điện thoại của bạn. Riêng đối với Facebook, bạn cũng có thể yêu cầu được cấp trước 10 dãy số (gồm 8 con số khác nhau) dùng cho 10 lần truy cập, gọi là “recovery codes”. Làm thế sẽ không có ai có thể đăng nhập được vào tài khoản của bạn dù họ có biết được địa chỉ email và mật khẩu đang dùng (trừ khi họ trộm được luôn cái điện thoại của bạn).

Một biện pháp khác là dùng các ứng dụng xác thực đăng nhập như Google Authenticator hay Authy, hoặc dùng ứng dụng quản lý mật khẩu (chạy trên Windows, Android, IOS) như LastPass hay 1Password. Đây là những ứng dụng nổi tiếng vì có độ an toàn và tính bảo mật cao.

Và cuối cùng, bạn đừng nên dùng 1 mật khẩu chung cho các tài khoản Gmail. Facebook, Yahoo, Instagram…Dùng như thế thì đúng là dễ nhớ và tiện lợi lúc đăng nhập, nhưng nếu mất mật khẩu là coi như các tài khoản kia cũng bị kẻ xấu “chôm” luôn.

Cũng xin đừng đặt các mật khẩu quá đơn giản và dễ đoán, ví dụ như “123456”, “iloveyou”, “password”, “qwerty” “!@#$%^&*”, họ tên hoặc ngày tháng năm sinh của bạn. Các mật khẩu loại này nằm trong danh sách “Các mật khẩu tệ hại nhất năm 2018” của các trang web chuyên về công nghệ thông tin nước ngoài.

Trong năm 2018 vừa qua, đã có rất nhiều người dùng Facebook ở Việt Nam đã bị chiếm mất tài khoản cũng vì những mật khẩu quá dễ đoán này. Người dùng đã bỏ ra biết bao công sức để gầy dựng nhiều bài đăng cho trang nhà thêm phần đặc sắc, nay coi như đổ sông đổ biển, vì một khi “bọn ác” đăng nhập được là lập tức chúng thay đổi ngay địa chỉ email, số điện thoại, mật khẩu. Có gửi khiếu nại đến quản trị Facebook thì mất rất nhiều thời gian và lắm thủ tục nhiêu khê để chứng minh “tôi là chính chủ”.