Một phát hiện cơ sở dữ liệu thông tin xác thực không có bảo đảm khổng lồ là một lời nhắc nhở tuyệt vời để thay đổi mật khẩu của bạn

Báo cáo hôm nay của chuyên gia bảo mật Jeremiah Fowler của một cơ sở dữ liệu không có bảo đảm khổng lồ đầy tên người dùng và mật khẩu không nhất thiết phải làm bạn sợ, nhưng nó nên thúc đẩy bạn hành động. Nếu bạn có bất kỳ mật khẩu yếu nào bảo vệ tài khoản với thông tin nhạy cảm hoặc nếu bạn đã sử dụng lại cùng một mật khẩu-tuy nhiên mạnh-trên nhiều tài khoản, bây giờ sẽ là thời điểm tuyệt vời để thay đổi chúng và thiết lập xác thực hai yếu tố.

Fowler báo cáo trên Trang web Hành tinh rằng cơ sở dữ liệu mà anh ta tìm thấy đã được mở khóa và không có bất kỳ mã hóa nào trên một máy chủ được đăng ký ẩn danh, chứa hơn 184 triệu bản ghi. Chúng bao gồm tên người dùng, email, mật khẩu và liên kết trực tiếp đến URL để đăng nhập vào các tài khoản có liên quan. Mặc dù Fowler có thể khiến nhà cung cấp dịch vụ lưu trữ khóa máy chủ, anh ta không thể tìm thấy bất kỳ bằng chứng khó nào về việc ai đã biên soạn cơ sở dữ liệu, cũng như họ đã sử dụng hoặc chia sẻ thông tin.

Có một vài lý do để không hoảng sợ ở đây. 184 triệu hồ sơ được phơi bày không có nghĩa là 184 triệu mọi người Tiếp xúc – đó chỉ là số lượng hàng trong cơ sở dữ liệu. Nếu thông tin được thu thập thông qua phần mềm độc hại, như Fowler tin rằng, có khả năng đã thu thập nhiều hồ sơ từ mọi thiết bị bị nhiễm bệnh. Điều đó rõ ràng vẫn còn xấu, nhưng ít người bị ảnh hưởng hơn chỉ có vẻ như từ số lượng.

Cơ sở dữ liệu cũng không có thông tin nào có thể được sử dụng để xác thực hai yếu tố, vì vậy bất kỳ ai có yếu tố thứ hai được thiết lập đều có nhiều lý do hơn để lo lắng. Tuy nhiên, đừng quên rằng một tài khoản được bảo đảm yếu là trách nhiệm đối với những người khác. Ví dụ: tin tặc có thể có quyền truy cập vào email của bạn, sau đó sử dụng quyền truy cập đó để vượt qua 2FA trên tài khoản ngân hàng của bạn.

Hậu quả tiềm tàng của việc bị đánh cắp mật khẩu của bạn đủ nghiêm trọng đến mức đáng để thực hiện các bước thông thường. Do cơ sở dữ liệu không bị rò rỉ trên bất kỳ nguồn web tối thông thường nào, nên dữ liệu của nó có thể sẽ không hiển thị trên các trình kiểm tra vi phạm như Hasibeenpwned. Tuy nhiên, Fowler đã chia sẻ với Có dây Các phóng viên rằng anh ta đã thử nghiệm một mẫu gồm 10.000 trường trong cơ sở dữ liệu và tìm thấy mật khẩu cho các nền tảng sau:

Nếu bạn có một tài khoản trên bất kỳ nền tảng nào mà không có xác thực hai yếu tố, chúng tôi khuyên bạn nên thay đổi mật khẩu và thiết lập 2FA càng sớm càng tốt. Đặc biệt chú ý đến các nền tảng như Roblox và Nintendo, nơi con bạn có thể đã thiết lập tài khoản của riêng mình và không bận tâm đến 2FA. Như Fowler chỉ ra trong bài đăng trên blog của mình, thậm chí các tài khoản dường như vô hại có thể có thông tin cá nhân nằm xung quanh.