10 Vụ Rò rỉ Dữ liệu Lớn nhất tại Mỹ [2026]

1. Giới thiệu: Tại sao Rò rỉ Dữ liệu lại là Rủi ro đối với các Tổ chức tại Mỹ?#

Các vụ rò rỉ dữ liệu tại Hoa Kỳ đã gia tăng trong vài năm qua, trở thành mối lo ngại nghiêm trọng đối với các tổ chức, cá nhân và các cơ quan chính phủ. Số lượng các sự cố được báo cáo đã đạt mức 3.158 chỉ riêng trong năm 2024, ảnh hưởng đến hơn 1,35 tỷ người. Đây là một sự gia tăng đáng báo động so với năm 2021 khi chỉ có 1.862 vụ rò rỉ được ghi nhận trong năm đó. Các ngành công nghiệp như dịch vụ tài chính, chăm sóc sức khỏe và các dịch vụ chuyên nghiệp đã bị ảnh hưởng đặc biệt nặng nề, cho thấy khả năng dễ bị tổn thương và sự hấp dẫn của chúng đối với tội phạm mạng. Các vụ rò rỉ trong lĩnh vực chăm sóc sức khỏe đặc biệt nghiêm trọng và dai dẳng. Vào năm 2023, một con số đáng kinh ngạc là 725 vụ rò rỉ dữ liệu liên quan đến chăm sóc sức khỏe đã làm lộ hơn 133 triệu hồ sơ, trong đó sự cố lớn nhất đã ảnh hưởng đến 11,3 triệu cá nhân. Tính đến tháng 4 năm 2024, chỉ với 54 vụ rò rỉ trong lĩnh vực chăm sóc sức khỏe đã ảnh hưởng đến hơn 15 triệu bệnh nhân.

Trong bài đăng trên blog này, chúng tôi phân tích mười vụ rò rỉ dữ liệu đáng chú ý nhất trong lịch sử nước Mỹ, khám phá cách chúng xảy ra, tác động của chúng và những bài học mà các tổ chức phải học để bảo vệ chống lại các mối đe dọa trong tương lai.

2. Tại sao Mỹ lại là Mục tiêu Hấp dẫn đối với các Vụ Rò rỉ Dữ liệu?#

Với nền kinh tế lớn nhất thế giới, Mỹ là một mục tiêu hấp dẫn đối với tội phạm mạng vì một vài tiêu chí đặc biệt được đưa ra:

2.1 Nền kinh tế Lớn nhất và Khối lượng Dữ liệu#

Mỹ là nền kinh tế lớn nhất thế giới và là trung tâm toàn cầu đối với các lĩnh vực bao gồm công nghệ, tài chính, chăm sóc sức khỏe và bán lẻ, mỗi lĩnh vực tạo ra và lưu trữ một lượng lớn dữ liệu nhạy cảm. Các kho lưu trữ dữ liệu khổng lồ như vậy đại diện cho các mục tiêu béo bở đối với những kẻ tấn công tìm kiếm lợi ích tài chính, tài sản trí tuệ có giá trị hoặc thông tin cá nhân để đánh cắp danh tính và gian lận.

2.2 Sự hiện diện của các Tập đoàn Lớn và Cơ quan Chính phủ#

Là một cường quốc kinh tế toàn cầu, Mỹ là nơi đặt trụ sở của nhiều công ty thuộc nhóm Fortune 500, các tập đoàn đa quốc gia và các cơ quan chính phủ quan trọng chịu trách nhiệm về cơ sở hạ tầng và an ninh quốc gia. Các tổ chức này quản lý các cơ sở dữ liệu quy mô lớn chứa dữ liệu nhạy cảm của khách hàng, nhân viên và dữ liệu hoạt động. Tính chất quan trọng của những thông tin này làm tăng cả khả năng xảy ra và mức độ nghiêm trọng của các vụ rò rỉ, khuếch đại thiệt hại tiềm ẩn do các sự cố mạng gây ra.

2.3 Bức tranh Quy định Chắp vá#

Bức tranh quy định pháp lý bị phân mảnh trên khắp các tiểu bang và ngành công nghiệp của Mỹ tạo ra các tiêu chuẩn an ninh mạng không nhất quán, dẫn đến những lỗ hổng tiềm ẩn trong việc bảo vệ dữ liệu và thực thi. So với các quốc gia có các quy định an ninh mạng đồng nhất và nghiêm ngặt, cách tiếp cận chắp vá này làm giảm rào cản đối với tội phạm mạng, khiến chúng dễ dàng xác định và khai thác các lỗ hổng hơn.

Nhìn chung, những yếu tố này định vị Mỹ như một môi trường đặc biệt dễ bị tổn thương và hấp dẫn đối với các mối đe dọa mạng, đòi hỏi các biện pháp an ninh mạng chủ động.

3. Các Vụ Rò rỉ Dữ liệu lớn nhất tại Mỹ#

Dưới đây, bạn sẽ tìm thấy danh sách các vụ rò rỉ dữ liệu lớn nhất tại Mỹ. Các vụ rò rỉ dữ liệu được sắp xếp theo số lượng tài khoản bị ảnh hưởng theo thứ tự giảm dần.

3.1 Vụ Rò rỉ Dữ liệu Yahoo (2013–2016)#

Trong một loạt các cuộc tấn công mạng từ năm 2013 đến năm 2016, Yahoo đã phải hứng chịu một vụ được coi là rò rỉ dữ liệu lớn nhất trong lịch sử nước Mỹ, làm lộ khoảng 3 tỷ tài khoản người dùng. Thông tin bị đánh cắp bao gồm tên, địa chỉ email, số điện thoại, ngày sinh, mật khẩu đã được băm (sử dụng MD5, được coi là không an toàn), cùng các câu hỏi và câu trả lời bảo mật không được mã hóa. Vụ rò rỉ này có liên quan đến các tác nhân do nhà nước bảo trợ, với những nghi ngờ hướng về các điệp viên Nga.

Tác động là rất lớn: Danh tiếng của Yahoo bị tổn hại nghiêm trọng và thương vụ mua lại đang chờ xử lý của Verizon vào năm 2017 đã bị giảm giá 350 triệu USD như một hệ quả trực tiếp. Sự chỉ trích tập trung vào việc Yahoo chậm trễ tiết lộ công khai và các biện pháp bảo mật lỗi thời, đặc biệt là việc sử dụng các thuật toán băm mật khẩu yếu và không mã hóa dữ liệu bảo mật quan trọng một cách đúng đắn.

Các phương pháp phòng ngừa:

• Sử dụng các tiêu chuẩn mã hóa mạnh hơn như bcrypt đối với mật khẩu và thông tin nhạy cảm
• Thiết lập các giao thức thông báo rò rỉ nhanh chóng
• Sử dụng xác thực đa yếu tố (MFA, ví dụ như passkeys) để giảm thiểu tác động của việc đánh cắp thông tin xác thực

3.2 Vụ Rò rỉ National Public Data (NPD) (2024)#

Vào tháng 3 năm 2024, National Public Data (NPD), một nhà môi giới dữ liệu lớn, đã trải qua một trong những vụ rò rỉ lớn nhất trong lịch sử Mỹ, làm lộ thông tin nhạy cảm của khoảng 1,3 tỷ cá nhân. Một cơ sở dữ liệu bị cấu hình sai đã cho phép truy cập trái phép vào các hồ sơ cá nhân cực kỳ chi tiết, bao gồm họ tên đầy đủ, địa chỉ thực tế, ngày sinh, số an sinh xã hội, số điện thoại và địa chỉ email. Vụ rò rỉ đã dẫn đến việc gần 2,9 tỷ hồ sơ dữ liệu bị xâm phạm trên tổng thể.

Dữ liệu bị lộ làm gia tăng rủi ro nghiêm trọng về đánh cắp danh tính và gian lận, dẫn đến sự sụp đổ các hoạt động của NPD trong vòng vài tháng. Các cuộc điều tra tiết lộ rằng công ty thiếu các biện pháp bảo mật cơ bản như kiểm soát truy cập cơ sở dữ liệu phù hợp và đánh giá lỗ hổng thường xuyên. Sự kiện này đã thổi bùng lại cuộc tranh luận công khai về quy định và sự giám sát đối với các nhà môi giới dữ liệu xử lý khối lượng lớn thông tin cá nhân mà không có nghĩa vụ bảo mật đầy đủ.

Các phương pháp phòng ngừa:

• Thực hiện các cơ chế xác thực và kiểm soát truy cập nghiêm ngặt đối với các cơ sở dữ liệu nhạy cảm
• Thường xuyên kiểm toán và kiểm tra các hệ thống để phát hiện các lỗ hổng và cấu hình sai
• Mã hóa thông tin cá nhân ở trạng thái lưu trữ và trong quá trình truyền tải để giảm thiểu rủi ro bị lộ

3.3 Vụ Rò rỉ Dữ liệu Real Estate Wealth Network (2023)#

Vào tháng 9 năm 2023, Real Estate Wealth Network (REWN), một công cụ tổng hợp dữ liệu bất động sản, đã bị rò rỉ lượng lớn dữ liệu do một cơ sở dữ liệu không được bảo mật đã bị lộ trên internet mà không có xác thực. Khoảng 1,5 tỷ hồ sơ dữ liệu đã bị truy cập, bao gồm tên, địa chỉ nhà riêng, hồ sơ sở hữu, số điện thoại và các chi tiết nhạy cảm liên quan đến tài sản, liên quan đến những nhân vật của công chúng và người nổi tiếng.

Vụ rò rỉ đã thu hút sự chú ý đáng kể của giới truyền thông do việc phơi bày tài sản bất động sản của những cá nhân cấp cao, gây lo ngại về an toàn cá nhân và các cuộc tấn công nhắm mục tiêu. Các chuyên gia đã chỉ trích REWN vì không thực hiện các giao thức an ninh mạng cơ bản, chẳng hạn như xác thực cơ sở dữ liệu, mã hóa và ghi nhật ký truy cập.

Các phương pháp phòng ngừa:

• Yêu cầu xác thực đối với tất cả các cơ sở dữ liệu, ngay cả những cơ sở dữ liệu chứa dữ liệu có nguồn công khai
• Thực hiện kiểm tra thâm nhập (penetration testing) và kiểm toán bảo mật thường xuyên
• Giám sát các tài sản bị lộ một cách liên tục để phát hiện sớm các cấu hình sai

3.4 Vụ Rò rỉ Dữ liệu Facebook (2019/2021)#

Vào năm 2019, tội phạm mạng đã khai thác tính năng nhập danh bạ của Facebook để thu thập thông tin cá nhân của khoảng 533 triệu người dùng trên 106 quốc gia. Mặc dù sau đó trong năm đó Facebook đã hạn chế việc thu thập dữ liệu hàng loạt, tập dữ liệu được tổng hợp lại đã xuất hiện công khai trở lại vào tháng 4 năm 2021 khi nó được đăng trên một diễn đàn hack để truy cập miễn phí.

Không giống như một vụ rò rỉ truyền thống trong đó những kẻ tấn công truy cập trực tiếp vào các hệ thống nội bộ, sự cố này liên quan đến việc thu thập dữ liệu tự động hàng loạt bằng các chức năng nền tảng có sẵn. Tập dữ liệu bị rò rỉ bao gồm tên, số điện thoại, địa chỉ email và thông tin vị trí, tạo ra rủi ro nghiêm trọng đối với các cuộc lừa đảo (phishing), tráo đổi SIM và các hình thức khai thác danh tính khác. Facebook đã phải đối mặt với những lời chỉ trích trên diện rộng vì đánh giá thấp tác động của dữ liệu bị thu thập và do phản ứng chậm chạp của họ đối với việc tiết lộ này.

Các phương pháp phòng ngừa:

• Hạn chế để lộ dữ liệu thông qua các biện pháp kiểm soát truy cập tính năng và API nghiêm ngặt hơn
• Giám sát các hành vi thu thập dữ liệu bất thường bằng các công cụ phát hiện tự động
• Chủ động thông báo cho người dùng và các nhà quản lý khi xảy ra việc thu thập dữ liệu quy mô lớn

3.5 Vụ Rò rỉ Dữ liệu LinkedIn (2021)#

Vào tháng 6 năm 2021, LinkedIn đã trải qua một sự cố thu thập dữ liệu (scraping) lớn, làm lộ thông tin của khoảng 700 triệu người dùng (chiếm khoảng 92% cơ sở người dùng vào thời điểm đó). Kẻ tấn công đã khai thác API của LinkedIn để thu thập thông tin hồ sơ công khai một cách có hệ thống, bao gồm tên, email, số điện thoại, dữ liệu vị trí địa lý và lịch sử nghề nghiệp. Tập dữ liệu được thu thập sau đó đã được rao bán trên một diễn đàn dark web.

Trong khi LinkedIn khẳng định rằng không có dữ liệu riêng tư nào bị rò rỉ và thông tin này có thể xem công khai, các chuyên gia an ninh mạng nhấn mạnh rằng khối lượng và sự tổng hợp dữ liệu vẫn có những rủi ro đáng kể đối với các cuộc lừa đảo (phishing) nhắm mục tiêu, tấn công kỹ nghệ xã hội (social engineering) và đánh cắp danh tính. Sự cố này nêu bật ranh giới mờ nhạt giữa việc thu thập dữ liệu "công khai" và các hành vi vi phạm quyền riêng tư nghiêm trọng khi được tổng hợp ở quy mô lớn.

Các phương pháp phòng ngừa:

• Thực hiện các biện pháp giới hạn tỷ lệ (rate limiting) và bảo vệ bằng CAPTCHA trên các API để ngăn chặn việc thu thập dữ liệu tự động
• Tăng cường hệ thống phát hiện bất thường để xác định việc thu thập dữ liệu quy mô lớn
• Giáo dục người dùng về việc hạn chế thông tin hiển thị công khai trên hồ sơ của họ

3.6 Vụ Rò rỉ Dữ liệu Exactis (2018)#

Vào tháng 6 năm 2018, Exactis, một công ty tiếp thị và tổng hợp dữ liệu có trụ sở tại Mỹ, đã vô tình làm lộ một cơ sở dữ liệu chứa khoảng 340 triệu hồ sơ doanh nghiệp và cá nhân. Vụ rò rỉ được một nhà nghiên cứu bảo mật phát hiện khi thấy cơ sở dữ liệu này có thể truy cập trực tuyến mà không cần bất kỳ sự bảo vệ bằng mật khẩu nào. Dữ liệu bị lộ bao gồm tên, địa chỉ nhà riêng, số điện thoại, địa chỉ email và các thuộc tính cá nhân cực kỳ chi tiết như sở thích, thói quen và thông tin tài chính.

Mặc dù không có xác nhận nào về việc các tác nhân độc hại đã truy cập dữ liệu trước khi nó được bảo mật, nhưng phạm vi và mức độ chi tiết của thông tin bị rò rỉ đặt ra rủi ro cao về việc đánh cắp danh tính, lừa đảo và các cuộc tấn công nhắm mục tiêu khác. Sự cố này đã thu hút sự chú ý đến các hoạt động phần lớn chưa được quản lý của các nhà môi giới dữ liệu và thúc đẩy những lời kêu gọi về một đạo luật bảo mật dữ liệu mạnh mẽ hơn ở Hoa Kỳ.

Các phương pháp phòng ngừa:

• Luôn yêu cầu xác thực đối với việc truy cập cơ sở dữ liệu
• Hạn chế lượng thông tin cá nhân nhạy cảm được thu thập và lưu trữ
• Tiến hành kiểm toán và đánh giá bảo mật thường xuyên để đảm bảo các biện pháp bảo vệ dữ liệu thích hợp được áp dụng

3.7 Vụ Rò rỉ Dữ liệu First American Financial Corporation (2019)#

Vào tháng 5 năm 2019, First American Financial Corporation, một trong những nhà cung cấp dịch vụ thanh toán và bảo hiểm quyền sở hữu lớn nhất tại Hoa Kỳ, đã làm lộ khoảng 885 triệu hồ sơ nhạy cảm thông qua một lỗ hổng trang web. Do kiểm soát truy cập không phù hợp, bất kỳ ai có liên kết URL hợp lệ đến một tài liệu đều có thể xem các tài liệu không liên quan khác chỉ bằng cách sửa đổi các chữ số trong URL, mà không cần xác thực.

Các tài liệu bị rò rỉ bao gồm các thông tin cá nhân và tài chính quan trọng, chẳng hạn như Số An sinh Xã hội, chi tiết tài khoản ngân hàng, hồ sơ thế chấp và các tài liệu thuế, khiến khách hàng gặp rủi ro đáng kể về gian lận và đánh cắp danh tính. Vụ rò rỉ đặc biệt đáng báo động do tính chất vô cùng nhạy cảm của hồ sơ giao dịch bất động sản và nó nhấn mạnh những lỗ hổng lớn trong các hoạt động bảo mật ứng dụng web trong toàn bộ lĩnh vực tài chính.

Các phương pháp phòng ngừa:

• Thực hiện kiểm tra xác thực và kiểm soát truy cập mạnh mẽ đối với các kho lưu trữ tài liệu
• Tiến hành kiểm tra bảo mật kỹ lưỡng (ví dụ: kiểm tra thâm nhập) trước khi triển khai các ứng dụng ra công chúng
• Giám sát và kiểm toán các mô hình truy cập ứng dụng để phát hiện sớm các hành vi bất thường

3.8 Vụ Rò rỉ Dữ liệu Ticketmaster (2024)#

Vào tháng 5 năm 2024, Ticketmaster, một trong những công ty bán vé lớn nhất thế giới, đã trải qua một vụ rò rỉ dữ liệu lớn ảnh hưởng đến khoảng 560 triệu khách hàng trên toàn cầu, với một tỷ lệ đáng kể là những khách hàng sống tại Hoa Kỳ. Kẻ tấn công được cho là đã giành được quyền truy cập trái phép thông qua môi trường lưu trữ đám mây của bên thứ ba bị xâm phạm, làm lộ tên khách hàng, địa chỉ nhà riêng và email, số điện thoại, và trong một số trường hợp là một phần chi tiết thẻ thanh toán.

Vụ rò rỉ đã làm dấy lên những lo ngại về rủi ro từ nhà cung cấp bên thứ ba và bảo mật đám mây, đặc biệt là đối với các nền tảng tiêu dùng quy mô lớn xử lý các giao dịch tài chính. Nó cũng đặt ra những câu hỏi về sự tuân thủ của công ty đối với các tiêu chuẩn bảo vệ dữ liệu hiện đại như PCI DSS và GDPR. Ticketmaster đã phải đối mặt với nhiều vụ kiện tập thể và các cuộc điều tra từ các cơ quan quản lý sau sự cố này.

Các phương pháp phòng ngừa:

• Tăng cường quản lý rủi ro từ nhà cung cấp và kiểm toán thường xuyên các nhà cung cấp bên thứ ba
• Mã hóa tất cả thông tin khách hàng được lưu trữ, đặc biệt là dữ liệu liên quan đến thanh toán
• Thực hiện các mô hình truy cập zero-trust (không tin cậy) đối với môi trường đám mây để giới hạn bề mặt tấn công

3.9 Vụ Rò rỉ Dữ liệu MySpace (2016)#

Vào tháng 5 năm 2016, một hacker được biết đến với tên "Peace" đã rao bán một lượng lớn dữ liệu người dùng MySpace trên dark web, bao gồm khoảng 427 triệu tài khoản. Mặc dù dữ liệu có vẻ như bắt nguồn từ một vụ rò rỉ diễn ra vào năm 2013 hoặc trước đó, nhưng mãi đến nhiều năm sau nó mới được phát hiện. Hồ sơ bị lộ bao gồm tên người dùng, địa chỉ email và mật khẩu được bảo vệ yếu kém bằng cách băm SHA-1 không có salt, khiến chúng rất dễ bị bẻ khóa.

Mặc dù MySpace đã giảm sút độ phổ biến vào thời điểm vụ rò rỉ bị phát hiện, nhưng sự cố này vẫn tiềm ẩn rủi ro do nhiều người dùng có thói quen sử dụng lại mật khẩu trên nhiều nền tảng. Kết quả là, thông tin đăng nhập từ vụ rò rỉ MySpace có thể được sử dụng cho các cuộc tấn công nhồi thông tin xác thực (credential stuffing) trên các dịch vụ khác. Sự kiện này nhấn mạnh tầm quan trọng của các hoạt động băm mật khẩu mạnh mẽ và việc phát hiện rò rỉ kịp thời.

Các phương pháp phòng ngừa:

• Sử dụng các thuật toán băm mật khẩu hiện đại và an toàn như bcrypt hoặc Argon2
• Thường xuyên thay đổi các phương thức mật mã và từ bỏ các thuật toán lỗi thời
• Giám sát các sự cố rò rỉ thông tin xác thực và cảnh báo người dùng đặt lại mật khẩu kịp thời sau các vụ rò rỉ

3.10 Vụ Rò rỉ Dữ liệu JPMorgan Chase (2014)#

Vào năm 2014, JPMorgan Chase đã tiết lộ một trong những vụ rò rỉ nghiêm trọng nhất từng xảy ra với lĩnh vực tài chính của Mỹ, ảnh hưởng đến khoảng 76 triệu hộ gia đình và 7 triệu doanh nghiệp nhỏ. Những kẻ tấn công đã giành được quyền truy cập thông qua một tài khoản nhân viên bị xâm phạm, khai thác những điểm yếu trong cơ sở hạ tầng mạng của ngân hàng. Mặc dù không có thông tin tài chính nào như số tài khoản, mật khẩu hoặc Số An sinh Xã hội bị đánh cắp, nhưng những kẻ tấn công đã có được tên, địa chỉ, địa chỉ email và số điện thoại.

Vụ rò rỉ đã thu hút sự chú ý lớn do vai trò quan trọng của ngân hàng trong nền kinh tế Mỹ và gióng lên hồi chuông cảnh báo trong toàn bộ ngành dịch vụ tài chính về sự sẵn sàng đối với an ninh mạng. Nó dẫn đến sự giám sát chặt chẽ hơn từ các cơ quan quản lý và thúc đẩy nhiều tổ chức tài chính đánh giá lại các khuôn khổ an ninh mạng của họ, đặc biệt là liên quan đến các biện pháp bảo vệ tài khoản nhân viên và phân đoạn mạng.

Các phương pháp phòng ngừa:

• Bắt buộc áp dụng xác thực đa yếu tố (MFA) đối với tất cả các tài khoản nội bộ và bên ngoài
• Thực hiện phân đoạn mạng mạnh mẽ để hạn chế việc di chuyển ngang (lateral movement) trong trường hợp bị xâm phạm
• Thường xuyên kiểm tra và cập nhật các giao thức bảo mật đối với việc quản lý truy cập của nhân viên

4. Các Xu hướng trong các Vụ Rò rỉ Dữ liệu tại Mỹ#

Sau khi xem xét các vụ rò rỉ dữ liệu lớn nhất từng xảy ra tại Mỹ cho đến năm 2025, chúng ta nhận thấy một vài điểm chung lặp lại trong các sự cố này:

4.1 Những Cấu hình sai cơ bản cũng gây rắc rối như các Cuộc Tấn công Mạng tinh vi#

Một điểm chung xuyên suốt nhiều vụ rò rỉ dữ liệu lớn nhất là chúng không phải là kết quả của các cuộc tấn công cực kỳ tinh vi mà thay vào đó là do các cấu hình sai cơ bản và các lỗ hổng bị bỏ sót. Cơ sở dữ liệu mở không có bảo vệ bằng mật khẩu, kiểm soát truy cập yếu và các API không được bảo mật đúng cách đã liên tục cho phép kẻ tấn công thâm nhập dễ dàng. Trong những trường hợp như vụ rò rỉ của National Public Data và Real Estate Wealth Network, việc quét internet để tìm các hệ thống không được bảo mật cũng đủ để giành quyền truy cập vào hàng tỷ hồ sơ. Điều này nhấn mạnh rằng việc đầu tư vào các biện pháp vệ sinh an ninh mạng cơ bản (cybersecurity hygiene), chẳng hạn như kiểm soát truy cập, mã hóa phù hợp và tăng cường bảo mật hệ thống (system hardening), sẽ có thể ngăn chặn nhiều sự cố trong số này.

4.2 Thông tin Cá nhân là Mục tiêu Hàng đầu#

Một xu hướng đáng chú ý khác là việc liên tục nhắm mục tiêu và làm lộ thông tin cá nhân nhạy cảm. Trong hầu hết tất cả các vụ rò rỉ, các tập dữ liệu bao gồm tên, địa chỉ, ngày sinh, địa chỉ email, số điện thoại và, trong những trường hợp gây thiệt hại nặng nề nhất, là Số An sinh Xã hội. Phạm vi chi tiết của các thông tin cá nhân bị lộ làm gia tăng đáng kể rủi ro đánh cắp danh tính, các cuộc tấn công lừa đảo và gian lận tài chính. Ví dụ, việc thực hiện các chính sách mật khẩu mạnh và kiểm soát truy cập là rất quan trọng để ngăn ngừa gian lận ở các tổ chức phi lợi nhuận. Các tổ chức, ngay cả những tổ chức nằm ngoài các ngành được quản lý nghiêm ngặt như tài chính hoặc chăm sóc sức khỏe, cũng cần xử lý bất kỳ bộ sưu tập dữ liệu cá nhân nào bằng các tiêu chuẩn bảo mật cao nhất vì giá trị của nó đối với những kẻ tấn công luôn ở mức cao.

4.3 Bảo vệ Mật khẩu và Mật mã Yếu#

Các hoạt động quản lý mật khẩu kém và các biện pháp bảo vệ bằng mật mã lỗi thời càng làm trầm trọng thêm hậu quả của một số vụ rò rỉ. Trong các sự cố như của Yahoo và MySpace, mật khẩu đã được lưu trữ bằng các thuật toán băm yếu như MD5 và SHA-1 hoặc không có đủ salt, khiến chúng dễ dàng bị bẻ khóa một khi bị đánh cắp. Điều này làm gia tăng đáng kể tác động bằng cách cho phép những kẻ tấn công sử dụng lại mật khẩu trên các dịch vụ khác thông qua các cuộc tấn công nhồi thông tin xác thực (credential stuffing). Ngay cả khi mật khẩu bị đánh cắp, các phương pháp mã hóa mạnh mẽ và các tiêu chuẩn mật mã hiện đại có thể hạn chế đáng kể rủi ro hạ nguồn đối với người dùng và các công ty.

4.4 Khai thác API và Thu thập Dữ liệu Hàng loạt#

Một sự thay đổi quan trọng trong các chiến thuật rò rỉ là sự phụ thuộc ngày càng tăng vào việc khai thác API và thu thập dữ liệu thay vì các kỹ thuật hack truyền thống. Các vụ rò rỉ như LinkedIn và Facebook đã chứng minh rằng những kẻ tấn công đang ngày càng tận dụng các API hoặc các tính năng hiển thị công khai được bảo mật kém để thu thập khối lượng lớn dữ liệu người dùng. Mặc dù các công ty thường hạ thấp mức độ nghiêm trọng của việc thu thập dữ liệu bằng cách chỉ ra tính chất công khai của dữ liệu, nhưng việc tổng hợp và kết hợp các thông tin thu thập được có thể tạo ra những cơ sở dữ liệu mạnh mẽ và nguy hiểm. Xu hướng này nhấn mạnh sự cần thiết của việc các tổ chức phải áp dụng giới hạn tỷ lệ (rate limiting) nghiêm ngặt, giám sát và kiểm soát xác thực trên tất cả các API và giao diện công khai, đồng thời đối xử với chúng bằng sự nghiêm ngặt tương tự như các hệ thống back-end.

5. Kết luận#

Các vụ rò rỉ dữ liệu lớn nhất trong lịch sử Mỹ cho thấy một mô hình rõ ràng và nhất quán: hầu hết các sự cố đều có thể ngăn ngừa được. Thay vì là kết quả của các cuộc tấn công mạng tiên tiến, nhiều vụ rò rỉ bắt nguồn từ các lỗi cơ bản: cơ sở dữ liệu không được bảo mật, tiêu chuẩn mật mã lỗi thời, không đủ các biện pháp bảo vệ API và đánh giá thấp giá trị của thông tin cá nhân. Những thất bại này đã cho phép kẻ tấn công tiếp cận lượng lớn dữ liệu nhạy cảm một cách tương đối dễ dàng, khiến các cá nhân gặp rủi ro như đánh cắp danh tính, gian lận tài chính và các cuộc tấn công nhắm mục tiêu.

Đối với các tổ chức thuộc mọi quy mô và ngành nghề, bài học về việc không thể bỏ qua các nguyên tắc cơ bản về an ninh mạng là rất rõ ràng. Việc bảo mật dữ liệu cá nhân không chỉ đòi hỏi các biện pháp kỹ thuật mạnh mẽ mà còn cần một cách tiếp cận chủ động đối với cấu hình hệ thống, tiêu chuẩn mật mã, quản lý rủi ro từ nhà cung cấp và phát hiện rò rỉ. Khi lượng dữ liệu được thu thập tăng lên theo cấp số nhân, thì trách nhiệm bảo vệ nó cũng tăng lên theo.

Về Corbado

Corbado là Passkey Intelligence Platform dành cho các đội CIAM vận hành xác thực consumer ở quy mô lớn. Chúng tôi giúp bạn nhìn thấy điều mà log IDP và các công cụ analytics thông thường không thấy: những thiết bị, phiên bản OS, trình duyệt và trình quản lý credential nào hỗ trợ passkey, tại sao quá trình đăng ký không chuyển thành đăng nhập, luồng WebAuthn fail ở đâu, và khi nào một bản cập nhật OS hay trình duyệt làm hỏng đăng nhập một cách âm thầm — tất cả mà không cần thay thế Okta, Auth0, Ping, Cognito hay IDP nội bộ của bạn. Hai sản phẩm: Corbado Observe bổ sung observability cho passkey và mọi phương thức đăng nhập khác. Corbado Connect mang đến managed passkey với analytics tích hợp (song hành cùng IDP của bạn). VicRoads vận hành passkey cho hơn 5M người dùng với Corbado (kích hoạt passkey +80%). Trao đổi với chuyên gia Passkey →

Các Câu hỏi Thường gặp#

Tại sao các biện pháp bảo mật của Yahoo lại bị coi là yếu kém trong vụ rò rỉ dữ liệu 2013-2016?#

Yahoo đã lưu trữ mật khẩu bằng thuật toán MD5, một thuật toán yếu về mặt mật mã và không hề mã hóa các câu hỏi và câu trả lời bảo mật. Vụ rò rỉ này có liên quan đến các tác nhân do nhà nước bảo trợ, được cho là các điệp viên Nga. Yahoo đã phải đối mặt với những lời chỉ trích gay gắt vì chậm trễ tiết lộ công khai, chỉ tiết lộ toàn bộ quy mô vào năm 2016 mặc dù các vụ rò rỉ đã xảy ra từ nhiều năm trước.

Làm thế nào mà vụ rò rỉ dữ liệu của National Public Data lại làm lộ hàng tỷ hồ sơ mà không cần đến một cuộc tấn công mạng tinh vi?#

Một cơ sở dữ liệu bị cấu hình sai tại National Public Data đã cho phép truy cập trái phép mà không cần bất kỳ xác thực nào vào tháng 3 năm 2024. Công ty này thiếu các biện pháp bảo mật cơ bản bao gồm kiểm soát truy cập cơ sở dữ liệu phù hợp và đánh giá lỗ hổng thường xuyên. Vụ rò rỉ đã dẫn đến việc gần 2,9 tỷ hồ sơ dữ liệu bị xâm phạm và trực tiếp khiến hoạt động của NPD sụp đổ trong vòng vài tháng.

Tại sao thu thập dữ liệu API (API scraping) lại được coi là rủi ro rò rỉ dữ liệu nghiêm trọng ngay cả khi dữ liệu bị thu thập về mặt kỹ thuật là công khai?#

Kẻ tấn công khai thác các API được bảo mật kém để thu thập dữ liệu ở quy mô lớn, như đã thấy trong vụ rò rỉ của LinkedIn (700 triệu người dùng, chiếm khoảng 92% cơ sở người dùng) và Facebook (533 triệu người dùng). Việc tổng hợp các điểm dữ liệu công khai của từng cá nhân sẽ tạo ra hồ sơ cá nhân chi tiết, tạo điều kiện cho các cuộc lừa đảo (phishing), tráo đổi SIM và đánh cắp danh tính ở quy mô lớn.

Những thất bại nào trong việc băm mật khẩu đã làm trầm trọng thêm tác động hạ nguồn của các vụ rò rỉ Yahoo và MySpace?#

Yahoo sử dụng băm MD5 và MySpace sử dụng SHA-1 không có salt, cả hai đều là các tiêu chuẩn yếu về mặt mật mã. Các phương pháp này khiến thông tin đăng nhập bị đánh cắp dễ dàng bị bẻ khóa, cho phép kẻ tấn công thực hiện các cuộc tấn công nhồi thông tin xác thực (credential stuffing) trên các nền tảng khác nơi người dùng sử dụng lại mật khẩu. Các thuật toán hiện đại như bcrypt hoặc Argon2 sẽ làm giảm đáng kể rủi ro hạ nguồn này.

Bức tranh quy định pháp lý chắp vá tại Mỹ làm tăng khả năng dễ bị tổn thương của các tổ chức trước các vụ rò rỉ dữ liệu như thế nào?#

Sự chắp vá của các quy định ở cấp tiểu bang và ngành công nghiệp tại Mỹ tạo ra các tiêu chuẩn an ninh mạng không nhất quán, để lại những lỗ hổng trong việc bảo vệ dữ liệu và thực thi. So với các quốc gia có các quy định nghiêm ngặt và đồng nhất, cách tiếp cận này làm giảm rào cản đối với tội phạm mạng trong việc xác định và khai thác các lỗ hổng. Các nhà môi giới dữ liệu như NPD và Exactis hoạt động với nghĩa vụ bảo mật tối thiểu mặc dù nắm giữ hàng tỷ hồ sơ cá nhân nhạy cảm.