Báo động: 86% vi phạm dữ liệu từ mật khẩu yếu, VNPT ghi nhận gần 20.000 tài khoản lộ lọt
86% vi phạm dữ liệu từ mật khẩu yếu, VNPT báo động

Báo động: 86% vi phạm dữ liệu xuất phát từ mật khẩu yếu và thông tin đăng nhập bị đánh cắp

Theo Báo cáo Điều tra Vi phạm Dữ liệu mới nhất của Verizon, một con số đáng báo động đã được công bố: 86% các vụ vi phạm dữ liệu trên toàn cầu có liên quan trực tiếp đến việc sử dụng thông tin đăng nhập bị đánh cắp. Tội phạm mạng đang ngày càng tinh vi trong việc đánh cắp tên người dùng và mật khẩu thông qua nhiều phương thức khác nhau, bao gồm phần mềm độc hại chuyên thu thập thông tin, các vụ vi phạm dữ liệu từ bên thứ ba, và những chiến dịch lừa đảo trực tuyến tinh vi. Điều này cho thấy mật khẩu yếu vẫn là nguyên nhân hàng đầu dẫn đến rò rỉ dữ liệu, đe dọa nghiêm trọng đến an ninh thông tin cá nhân và doanh nghiệp.

VNPT ghi nhận gần 20.000 tài khoản lộ lọt trong tháng 2/2026, tăng 51% so với năm trước

Trong bối cảnh đó, thông tin từ Trung tâm An toàn thông tin VNPT (VNPT Cyber Immunity) thuộc Tập đoàn VNPT đã cung cấp một cái nhìn cụ thể hơn về tình hình tại Việt Nam. Trong tháng 2/2026, hệ thống giám sát của VNPT đã ghi nhận tổng cộng 19.667 tài khoản bị lộ lọt từ các hệ thống được theo dõi, đang được công khai và rao bán tràn lan trên không gian mạng. Số liệu này không chỉ phản ánh một thực trạng đáng lo ngại mà còn cho thấy xu hướng gia tăng rõ rệt: số lượng tài khoản lộ lọt đã tăng mạnh 51% so với tháng 1/2025, báo hiệu một làn sóng tấn công mạng đang trở nên phức tạp và nguy hiểm hơn.

Xu hướng này được các chuyên gia nhận định là có liên quan mật thiết đến sự lan rộng của mã độc infostealer, các chiến dịch phishing (lừa đảo trực tuyến) ngày càng tinh vi, và việc tổng hợp dữ liệu rò rỉ từ nhiều nguồn khác nhau. Đặc biệt, tháng 2/2026 trùng với thời điểm Tết Nguyên đán Bính Ngọ, khi người dùng thường xuyên tham gia vào các hoạt động trực tuyến như mua sắm, chuyển tiền, đặt vé và sử dụng dịch vụ số. Đây cũng là giai đoạn mà tin tặc tăng cường các chiến dịch tấn công mạng, lừa đảo thông qua phishing, malware và thu thập thông tin đăng nhập, khiến nguy cơ rò rỉ dữ liệu trở nên cao hơn bao giờ hết.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Mật khẩu yếu vẫn chiếm tỷ lệ lớn: "123456" chiếm 29% trong số mật khẩu bị lộ

Phân tích cấu trúc mật khẩu bị lộ từ Trung tâm An toàn thông tin VNPT đã tiết lộ một thực tế đáng quan ngại: mật khẩu yếu vẫn chiếm tỷ lệ áp đảo. Cụ thể, các mật khẩu đơn giản như "123456" chiếm khoảng 29% tổng số, tiếp theo là những mật khẩu có cấu trúc dễ đoán như "Abc@12345" và "123456aA@". Điều này cho thấy thói quen bảo mật của người dùng chưa được cải thiện đáng kể, khiến các tài khoản trở thành mục tiêu dễ dàng cho tin tặc khai thác thông qua đánh cắp thông tin, dữ liệu hoặc chiếm quyền điều khiển.

Đại diện Trung tâm An toàn thông tin VNPT đã chỉ ra nguyên nhân chính dẫn đến tình trạng lộ lọt thông tin. Đầu tiên, nhiều thiết bị đầu cuối của người dùng bị nhiễm stealer malware (phần mềm quét virus giả mạo), cho phép kẻ tấn công thu thập thông tin đăng nhập, cookies, token và dữ liệu tự động điền từ trình duyệt. Ngoài yếu tố từ phía người dùng, tin tặc còn có thể khai thác lỗ hổng trong hệ thống hoặc ứng dụng, dẫn đến việc truy xuất và sao chép toàn bộ cơ sở dữ liệu, gây ra những vụ rò rỉ dữ liệu quy mô lớn với hậu quả nghiêm trọng.

Đặc điểm của mật khẩu yếu và nguy cơ tiềm ẩn

Để hiểu rõ hơn về mối đe dọa, dưới đây là một số đặc điểm điển hình của mật khẩu yếu mà người dùng cần tránh:

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình
  • Độ dài ngắn: Mật khẩu yếu thường chỉ gồm ít hơn tám ký tự, cung cấp ít tổ hợp hơn và dễ bị bẻ khóa bằng các công cụ tự động.
  • Thiếu tính phức tạp: Chúng thường chỉ chứa chữ cái viết thường hoặc từ thông dụng, không có ký tự đặc biệt, số hoặc kết hợp chữ hoa và thường.
  • Sử dụng thông tin cá nhân: Nhiều người dùng đặt mật khẩu dựa trên ngày sinh, tên thành viên gia đình hoặc tên thú cưng, khiến chúng dễ bị tấn công có chủ đích.
  • Ký tự hoặc mẫu lặp lại: Mật khẩu như "111111" hoặc "abcd1234" được coi là yếu vì dễ đoán và khai thác.
  • Tên doanh nghiệp hoặc trang web: Việc đặt mật khẩu chứa tên trang web truy cập làm tăng nguy cơ bị tấn công.
  • Sử dụng Leetspeak kết hợp với mật khẩu ngắn: Các cách thay thế leetspeak phổ biến (như thay "I" bằng "1") không đủ để bảo vệ nếu mật khẩu ngắn.
  • Tái sử dụng mật khẩu đã bị lộ: Tiếp tục sử dụng mật khẩu cũ hoặc các biến thể nhỏ của nó sau khi bị rò rỉ làm tăng rủi ro đáng kể cho tài khoản.

Khuyến cáo từ chuyên gia để tăng cường bảo mật tài khoản trực tuyến

Tầm quan trọng của mật khẩu mạnh trong việc bảo vệ tài khoản trực tuyến là không thể phủ nhận. Bằng cách hiểu rõ đặc điểm của mật khẩu yếu và tuân thủ các thực hành tốt nhất, người dùng có thể tăng cường đáng kể khả năng bảo mật mạng. Các chuyên gia an ninh mạng đưa ra những khuyến cáo thiết thực sau:

  1. Thay đổi mật khẩu thường xuyên: Người dùng nên thay đổi mật khẩu cho các tài khoản quan trọng, tránh dùng lại mật khẩu cũ đã bị lộ.
  2. Kích hoạt xác thực hai yếu tố (2FA): Đây là biện pháp hiệu quả để tăng cường bảo mật, ngăn chặn truy cập trái phép ngay cả khi mật khẩu bị đánh cắp.
  3. Cảnh giác với liên kết đáng ngờ: Không nhấp vào các liên kết lạ trong email hoặc tin nhắn, vì chúng có thể là công cụ của chiến dịch phishing.
  4. Theo dõi tài khoản thường xuyên: Kiểm tra định kỳ tài khoản ngân hàng và email để phát hiện sớm các dấu hiệu bất thường hoặc hoạt động đáng ngờ.

Những biện pháp này không chỉ giúp bảo vệ thông tin cá nhân mà còn góp phần giảm thiểu nguy cơ rò rỉ dữ liệu trong bối cảnh an ninh mạng ngày càng phức tạp. Việc nâng cao nhận thức và thay đổi thói quen sử dụng mật khẩu là chìa khóa để đối phó với các mối đe dọa từ tội phạm mạng.