Bạn có bao giờ tưởng tượng mật khẩu Gmail, Facebook hay tài khoản ngân hàng của mình đang "nằm phơi" trong bộ nhớ máy tính không? Microsoft Edge - trình duyệt với hơn 400 triệu người dùng toàn cầu - đã âm thầm thực hiện điều này suốt nhiều năm. Công ty công nghệ khổng lồ này ban đầu còn bảo vệ hành vi này là "thiết kế có chủ đích", nhưng cuối cùng đã phải thay đổi thái độ và cam kết khắc phục.

Khi "tính năng" trở thành lỗ hổng bảo mật

Sự việc bắt đầu khi các chuyên gia bảo mật phát hiện Edge tự động tải toàn bộ mật khẩu đã lưu vào process memory (bộ nhớ tiến trình) dưới dạng clear text (văn bản thường) ngay khi khởi động. Điều này có nghĩa là bất kỳ phần mềm độc hại nào có quyền truy cập bộ nhớ đều có thể "thu hoạch" toàn bộ kho mật khẩu của người dùng mà không cần phá vỡ bất kỳ lớp mã hóa nào. Chúng tôi cho rằng đây là một thiết kế cực kỳ nguy hiểm, đặc biệt khi malware (phần mềm độc hại) ngày càng tinh vi trong việc khai thác memory dumps.

Điều gây sốc hơn là phản ứng ban đầu của Microsoft. Thay vì thừa nhận lỗ hổng, công ty này khẳng định việc lưu trữ mật khẩu trong bộ nhớ là "by design" - tức là có chủ đích thiết kế như vậy để tăng tốc độ truy xuất. Tuy nhiên, áp lực từ cộng đồng bảo mật và các chuyên gia đã buộc Microsoft phải thay đổi lập trường. Công ty cuối cùng thừa nhận rằng việc này tạo ra rủi ro không cần thiết và cam kết sửa chữa trong bản cập nhật tiếp theo.

Cơ chế hoạt động của lỗ hổng nguy hiểm

Để hiểu rõ mức độ nghiêm trọng, chúng ta cần biết cách thức Edge xử lý mật khẩu. Khi khởi động, trình duyệt này sẽ giải mã toàn bộ cơ sở dữ liệu mật khẩu và tải vào RAM để sẵn sàng sử dụng. Thông thường, các trình duyệt khác như Chrome hay Firefox chỉ giải mã từng mật khẩu khi cần thiết (lazy loading), giúp giảm thiểu thời gian mật khẩu tồn tại dưới dạng clear text trong bộ nhớ.

Cơ chế của Edge tạo ra cửa sổ tấn công rộng mở cho các loại malware memory scraper - những phần mềm độc hại chuyên "quét" bộ nhớ để tìm kiếm thông tin nhạy cảm. Theo thống kê của các nhà nghiên cứu bảo mật, loại malware này đã tăng 340% trong năm 2024, chủ yếu nhắm vào việc đánh cắp credentials (thông tin xác thực) từ browser memory. Việc Edge "phục vụ" sẵn dữ liệu dưới dạng clear text khiến công việc của tội phạm mạng trở nên dễ dàng hơn bao giờ hết.

Tác động lan rộng đến người dùng Việt Nam

Theo số liệu từ StatCounter, Microsoft Edge chiếm khoảng 8% thị phần trình duyệt tại Việt Nam, tương đương với khoảng 2-3 triệu người dùng. Điều này có nghĩa hàng triệu tài khoản ngân hàng số, ví điện tử như MoMo, ZaloPay, hay các tài khoản mạng xã hội của người Việt đều tiềm ẩn nguy cơ bị đánh cắp nếu máy tính nhiễm malware. Đặc biệt nghiêm trọng khi các cuộc tấn công mạng nhắm vào người dùng Việt Nam đã tăng 250% trong năm qua theo báo cáo của Cục An toàn thông tin.

Chúng tôi đánh giá rủi ro càng cao hơn khi nhiều người Việt có thói quen lưu mật khẩu ngân hàng trực tiếp trên trình duyệt thay vì sử dụng password manager chuyên dụng. Một cuộc tấn công thành công có thể dẫn đến việc tài khoản ngân hàng bị chiếm đoạt, giao dịch gian lận, hoặc thậm chí là rửa tiền qua các ví điện tử.

Hướng dẫn bảo vệ tức thời cho người dùng

Trước tiên, người dùng Edge cần cập nhật ngay lên phiên bản mới nhất bằng cách vào Settings > About Microsoft Edge để kiểm tra bản cập nhật. Microsoft đã triển khai bản vá trong Edge version 131 trở lên, thay đổi cơ chế tải mật khẩu theo kiểu lazy loading an toàn hơn. Đồng thời, hãy kích hoạt tính năng Enhanced Security Mode trong phần Security settings để tăng cường bảo vệ chống malware.

Quan trọng hơn, chúng tôi khuyến nghị chuyển sang sử dụng password manager độc lập như Bitwarden, 1Password hoặc KeePass thay vì dựa vào trình duyệt để lưu mật khẩu. Các công cụ này sử dụng mã hóa end-to-end và không bao giờ lưu trữ mật khẩu dưới dạng clear text trong system memory. Cuối cùng, thường xuyên quét malware bằng Windows Defender hoặc các antivirus uy tín, và tuyệt đối không lưu mật khẩu của các dịch vụ tài chính quan trọng trên bất kỳ trình duyệt nào.