Chỉ cần một lần tấn công thành công, nhóm tội phạm mạng ShinyHunters đã biến thông tin cá nhân của hơn 119.000 người dùng thành "chiến lợi phẩm". Vụ việc xảy ra vào tháng 4 vừa qua trên nền tảng video trực tuyến Vimeo, được dịch vụ giám sát rò rỉ dữ liệu Have I Been Pwned xác nhận. Đây không phải lần đầu ShinyHunters gây chấn động cộng đồng an ninh mạng toàn cầu. Vụ tấn công này một lần nữa khẳng định xu hướng gia tăng của các cuộc tấn công có chủ đích nhằm vào những nền tảng công nghệ lớn.

Khi Vimeo trở thành mục tiêu béo bở

ShinyHunters, nhóm tội phạm mạng khét tiếng với hàng loạt vụ tấn công quy mô lớn trước đây, đã chọn Vimeo làm mục tiêu tấn công vào tháng 4/2024. Theo thông tin từ Have I Been Pwned - dịch vụ chuyên theo dõi và thông báo các vụ rò rỉ dữ liệu toàn cầu, cuộc tấn công đã ảnh hưởng đến 119.678 tài khoản người dùng. Con số này tuy không phải lớn nhất trong lịch sử các vụ rò rỉ dữ liệu, nhưng lại đặc biệt nghiêm trọng do tính chất của thông tin bị đánh cắp.

Vimeo, nền tảng chia sẻ video được nhiều chuyên gia sáng tạo nội dung và doanh nghiệp tin dùng, lưu trữ một lượng lớn thông tin cá nhân có giá trị. Chúng tôi cho rằng việc ShinyHunters nhắm vào Vimeo không phải ngẫu nhiên - đây là nền tảng thu hút người dùng có thu nhập cao, thông tin tài chính có giá trị thương mại lớn trên thị trường chợ đen.

Phẫu thuật kỹ thuật: Cách thức tấn công của ShinyHunters

Mặc dù Vimeo chưa công bố chi tiết về phương thức tấn công, các chuyên gia an ninh mạng nhận định ShinyHunters có thể đã khai thác các lỗ hổng web application (ứng dụng web) hoặc thực hiện tấn công SQL injection. SQL injection là kỹ thuật tấn công cho phép hacker chèn mã độc vào các truy vấn cơ sở dữ liệu, từ đó truy cập trái phép vào thông tin nhạy cảm. Đây là phương pháp quen thuộc mà ShinyHunters từng sử dụng trong các vụ tấn công Microsoft, Tokopedia hay Homechef.

Dữ liệu bị đánh cắp bao gồm địa chỉ email, mật khẩu đã được mã hóa, tên người dùng và một số thông tin cá nhân khác. Tuy mật khẩu được hash (mã hóa một chiều), nhưng với công nghệ hiện tại, các nhóm tội phạm có thể sử dụng phương pháp brute-force attack hoặc rainbow table để giải mã những mật khẩu yếu. Chúng tôi đánh giá việc sở hữu 119.000 bộ dữ liệu này sẽ giúp ShinyHunters kiếm được hàng trăm nghìn đô la trên các marketplace bất hợp pháp.

Sóng gợn lan tỏa từ một vụ tấn công

Tác động của vụ tấn công này vượt xa con số 119.000 tài khoản bị ảnh hưởng trực tiếp. Theo thống kê từ các chuyên gia an ninh mạng, khoảng 65% người dùng internet có thói quen sử dụng chung mật khẩu cho nhiều tài khoản khác nhau. Điều này có nghĩa hacker có thể thực hiện credential stuffing attack - sử dụng thông tin đăng nhập bị rò rỉ để tấn công vào các dịch vụ khác như ngân hàng trực tuyến, mạng xã hội hay email cá nhân.

Đối với người dùng Việt Nam, rủi ro đặc biệt cao khi nhiều người vẫn chưa có thói quen sử dụng two-factor authentication (xác thực hai yếu tố) hoặc password manager (trình quản lý mật khẩu). Theo báo cáo an ninh mạng Việt Nam năm 2023, chỉ có 23% người dùng internet trong nước sử dụng mật khẩu phức tạp và khác nhau cho từng dịch vụ.

Lá chắn bảo vệ cho người dùng Việt

Trước tiên, người dùng cần kiểm tra ngay xem email cá nhân có trong danh sách bị ảnh hưởng hay không thông qua trang web haveibeenpwned.com. Nếu tài khoản nằm trong danh sách rò rỉ, hãy thay đổi mật khẩu Vimeo ngay lập tức và tất cả các tài khoản khác sử dụng chung mật khẩu này. Mật khẩu mới cần có tối thiểu 12 ký tự, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt.

Chúng tôi khuyến nghị mạnh mẽ việc kích hoạt two-factor authentication cho tất cả tài khoản quan trọng, đặc biệt là ngân hàng trực tuyến và email. Ngoài ra, sử dụng password manager như Bitwarden, 1Password hoặc LastPass để tạo và lưu trữ mật khẩu duy nhất cho từng dịch vụ. Cuối cùng, thường xuyên theo dõi thông tin tài khoản ngân hàng và báo cáo ngay với ngân hàng nếu phát hiện giao dịch bất thường. Trong bối cảnh tội phạm mạng ngày càng tinh vi, việc chủ động bảo vệ thông tin cá nhân không còn là lựa chọn mà đã trở thành sự cần thiết.