Hiện nay các kẻ tấn công thường sử dụng một “từ điển mật khẩu” được tạo ra bằng cách ghi nhận lại các thói quen đặt mật khẩu của người dùng, từ đó dò và “hack” tài khoản của bạn. Vậy làm cách nào để kiểm tra xem mật khẩu của bạn liệu có an toàn?
Trên mạng có rất nhiều trang web cho phép kiểm tra việc này, tuy nhiên phần lớn chính những trang đó là nơi thu thập thông tin của bạn. Cho đến nay chỉ có một địa chỉ được đánh giá là đáng tin cậy và an toàn nhất, đó là trang Have I Been Pwned tại địa chỉ https://haveibeenpwned.com.
Cập nhật thông tin vụ 533 triệu tài khoản Facebook bị rò rỉ
Cập nhật 7/4/2020: Vào đầu tuần này, dữ liệu từ 533 triệu tài khoản Facebook bị rò rỉ trực tuyến đã bị lộ bao gồm số điện thoại, ngày sinh, họ tên, địa chỉ email, v.v. Dữ liệu bị rò rỉ bao gồm bất kỳ thông tin nào mà người dùng đăng trên hồ sơ công khai của họ nhưng cũng có thông tin không công khai.
Theo trang The Record, vụ rò rỉ được xác định từ một vụ vi phạm xảy ra vào năm 2019. Kẻ tấn công đã lạm dụng một lỗ hổng trong tính năng nhập danh bạ của Facebook và tự động thu thập dữ liệu cho đến khi Facebook phát hiện và cắt quyền truy cập của kẻ tấn công vào tháng 8 năm 2019. Mặc dù khai thác này đã cũ nhưng vụ rò rỉ lại nổi lên trong tuần này vì dữ liệu hiện đang được phổ biến rộng rãi trên các diễn đàn tội phạm mạng.
Vậy làm sao để biết bạn có liên quan đến vụ rò rỉ dữ liệu này không? Một cách dễ dàng để kiểm tra xem thông tin của bạn có bị rò rỉ hay không là truy cập Have I Been Pwned. Công cụ sẽ cho bạn biết liệu có bất kỳ dữ liệu nào của bạn bị xâm phạm hay không dựa trên địa chỉ email và số điện thoại của bạn. Troy Hunt, người đã tạo ra Have I Been Pwned, cho biết người dùng Facebook có thể thực hiện tìm kiếm với email hoặc số điện thoại của họ.
Hunt chia sẻ việc có thể tìm kiếm bằng số điện thoại của bạn là duy nhất đối với vụ vi phạm dữ liệu Facebook này. Do đó ngoài kiểm tra địa chỉ email thì bạn nên kiểm tra bằng số điện thoại. Ở Việt Nam bạn hãy nhập số dạng +849xxxxxxxx.
Nếu bạn phát hiện ra rằng dữ liệu của mình đã bị rò rỉ, điều quan trọng là bạn phải thực hiện các biện pháp phòng ngừa ngay lập tức. Vì mật khẩu không phải là một phần của vi phạm Facebook nhưng số điện thoại và các thông tin nhận dạng khác mới có, hãy đề phòng làn sóng spam, lừa đảo. Bạn cũng nên cân nhắc sử dụng trình quản lý mật khẩu nếu bạn chưa có.
Chúng giúp tạo và quản lý mật khẩu hiện có của bạn và cũng có thể tạo mật mã duy nhất để sử dụng cho xác thực hai yếu tố .
Cách kiểm tra bằng Have I Been Pwned
Đầu tiên, bạn hãy vào phần Password của trang web trên, điền vào một mật khẩu mà bạn sử dụng. Trang web sẽ kiểm tra trong cơ sở dữ liệu của mình xem có mật khẩu nào trùng với mật khẩu bạn nhập không, trong trường hợp bạn nhận kết quả Good news – no pwnage found! thì mật khẩu của bạn chưa từng có trong từ điển mật khẩu của hacker.
Còn trường hợp bạn nhận câu trả lời Oh no – pwned! như bên dưới, nghĩa là hacker có thể dò ra mật khẩu của bạn. Bạn nên tiến hành đổi mật khẩu lại ngay. Người dùng nên sử dụng trình quản lý mật khẩu để dễ dàng đặt mật khẩu mạnh mẽ, độc đáo cho từng trang web quan trọng sử dụng. Xác thực hai yếu tố cũng có thể giúp bảo vệ các tài khoản quan trọng vì nó sẽ ngăn các cuộc tấn công xâm nhập vào chúng nếu không có mã bảo mật bổ sung ngay cả khi họ biết mật khẩu.
Nếu bạn muốn kiểm tra xem mật khẩu của bạn đã bị rò rỉ, đây là dịch vụ bạn nên sử dụng. Tuy nhiên, nếu bạn muốn cẩn thận hơn, sau khi kiểm tra bạn cũng có thể tuỳ biến lại mật khẩu của mình một tí, bằng cách thêm 1-2 ký tự gì đó.
Have I Been Pwned có an toàn không?
Troy Hunt là một chuyên gia Bảo mật thông tin rất được kính trọng và dịch vụ này đang được hàng triệu người trên toàn thế giới sử dụng, thậm chí được một số người quản lý mật khẩu sử dụng để xác minh xem mật khẩu mà người dùng chọn có liên quan đến vi phạm dữ liệu hay không. Nhập địa chỉ email của bạn trên trang web này sẽ cho bạn biết những vi phạm dữ liệu nào liên quan đến địa chỉ email này, do đó bạn có thể quay lại trang web bị ảnh hưởng và thay đổi mật khẩu của mình.
Tất nhiên, chúng tôi phải tin tưởng Troy Hunt về những tuyên bố của anh ấy, vì chúng tôi không có cách nào chứng minh rằng anh ấy không làm việc khác, khi xử lý yêu cầu cụ thể của bạn. Nhưng tôi nghĩ công bằng hơn mà nói, hasibeenpwned là một dịch vụ có giá trị và bản thân Troy Hunt cũng là một thành viên khá có tiếng trong cộng đồng infosec.
Nhưng giả sử chúng ta không tin tưởng Troy: bạn phải mất gì? Bạn có thể tiết lộ địa chỉ email của bạn cho anh ta. Rủi ro đối với bạn lớn đến mức nào, khi bạn có thể chỉ cần nhập bất kỳ địa chỉ email nào bạn muốn?