Thế giới an ninh mạng đã xôn xao vào tháng 6 năm 2024 khi các tiêu đề báo chí la hét về vụ rò rỉ mật khẩu kỷ lục 16 tỷ bản ghi. Câu chuyện này thu hút được nhiều sự chú ý đến mức nó đã xuất hiện trên các phương tiện truyền thông chính thống, với các ấn phẩm hướng dẫn người dùng lo lắng kiểm tra cơ sở dữ liệu rò rỉ. Tuy nhiên, một phân tích chi tiết về dữ liệu thực tế cho thấy sự khác biệt rõ rệt giữa các tiêu đề giật gân và thực tế.
Câu chuyện ban đầu hoàn toàn không phải về một vụ rò rỉ lớn duy nhất. Thay vào đó, nó liên quan đến các bộ sưu tập khác nhau của dữ liệu infostealer đã bị lộ công khai trong suốt năm. Những log stealer này đến từ các máy tính bị xâm phạm riêng lẻ và thỉnh thoảng được các tội phạm mạng gộp lại và phân phối lại.
 |
|---|
| Hình minh họa về con troll này một cách hài hước thể hiện bản chất phóng đại của các tiêu đề vi phạm 16 tỷ mật khẩu |
Con số không khớp
Khi các nhà nghiên cứu bảo mật kiểm tra một tập con của dữ liệu này - đại diện cho khoảng 17% của 16 tỷ bản ghi được báo cáo - họ phát hiện ra sự thổi phồng đáng kể trong các tiêu đề. 2,7 tỷ hàng dữ liệu mà họ phân tích chứa sự trùng lặp lớn cả giữa các tệp khác nhau và trong cùng một tệp. Sau khi loại bỏ các bản sao và phân tích các mục hợp lệ, con số đã giảm đáng kể.
Phân tích cho thấy 2,7 tỷ hàng cuối cùng chỉ đại diện cho 109 triệu địa chỉ email duy nhất - một mức giảm đáng kinh ngạc 96% từ dữ liệu thô đến số người thực sự bị ảnh hưởng. Mô hình này cho thấy con số 16 tỷ đầy đủ có thể sẽ có mức giảm còn lớn hơn khi được phân tích đúng cách.
Có khoảng 335 triệu người Mỹ. Một vụ rò rỉ dữ liệu của tất cả khóa SIM người tiêu dùng Mỹ sẽ thảm khốc hơn nhiều so với bất cứ điều gì chúng ta từng thấy trong an ninh máy tính, mặc dù chỉ bằng một nửa quy mô của vụ này.
Phân tích giảm thiểu dữ liệu:
- Tập dữ liệu gốc: 2,7 tỷ hàng
- Các mục nhật ký stealer duy nhất: 325 triệu (sau khi phân tích cú pháp)
- Địa chỉ email duy nhất: 109 triệu
- Mức giảm tổng thể: 96% từ dữ liệu thô đến con người thực tế
- Địa chỉ email mới được thêm: 4,4 triệu
- Mật khẩu duy nhất được tìm thấy: 55 triệu (96% đã biết trước đó)
 |
|---|
| Biểu đồ minh họa sự quan tâm biến động của công chúng liên quan đến các tiêu đề vi phạm dữ liệu được cường điệu hóa theo thời gian |
Tại sao tiêu đề thổi phồng số lượng rò rỉ
Cuộc thảo luận cộng đồng đã nêu bật một số lý do tại sao số lượng rò rỉ dữ liệu trở nên thổi phồng như vậy. Mỗi hàng trong những bộ dữ liệu này thường đại diện cho một trường hợp thông tin đăng nhập của ai đó bị thu thập trên một trang web cụ thể. Vì vậy, nếu thông tin đăng nhập của một người bị đánh cắp từ cả Netflix và Spotify , điều đó sẽ được tính là hai hàng riêng biệt trong bộ dữ liệu.
Ngoài ra, cùng một người có thể xuất hiện hàng chục lần trong các vụ rò rỉ khác nhau qua các năm. Với hàng trăm vụ rò rỉ dữ liệu lớn xảy ra trong hai thập kỷ qua, và mọi người duy trì tài khoản trên nhiều nền tảng, thật dễ hiểu tại sao con số thô có thể tăng lên hàng tỷ trong khi đại diện cho ít cá nhân thực tế hơn nhiều.
Các Yếu Tố Chính Đằng Sau Những Con Số Thổi Phồng:
- Trùng lặp trên nhiều tệp tin khác nhau
- Trùng lặp trong cùng một tệp tin
- Nhiều mục nhập cho một người (một mục cho mỗi trang web/dịch vụ)
- Dữ liệu được đóng gói lại từ các vụ rò rỉ trước đó
- Dữ liệu lịch sử kéo dài qua nhiều năm
Tác động thực sự
Mặc dù có những tiêu đề thổi phồng, vụ rò rỉ vẫn có ý nghĩa thực sự. Phân tích đã thêm 4,4 triệu địa chỉ email chưa biết trước đó vào cơ sở dữ liệu rò rỉ, cùng với 55 triệu mật khẩu duy nhất. Tuy nhiên, 96% cả địa chỉ email và mật khẩu đều đã được thấy trong các vụ rò rỉ trước đó, cho thấy phần lớn đây là dữ liệu tái chế thay vì những lộ thông tin mới.
Cộng đồng bảo mật nhấn mạnh rằng mặc dù những vụ rò rỉ này nên được xem xét nghiêm túc, nhưng các tiêu đề cường điệu tạo ra sự hoảng loạn không cần thiết. Dữ liệu chủ yếu bao gồm các log stealer cũ đã lưu hành trong một thời gian, thay vì đại diện cho những mối đe dọa mới, trực tiếp đối với bảo mật của người dùng.
Trường hợp này là một lời nhắc nhở để tiếp cận các tiêu đề an ninh mạng giật gân với sự hoài nghi lành mạnh và chờ đợi phân tích kỹ thuật phù hợp trước khi đưa ra kết luận về phạm vi thực sự của bất kỳ vụ rò rỉ dữ liệu nào.