Credential Stuffing: Khi Một Vụ Rò Rỉ Kéo Theo Hàng Loạt Hậu Quả

Nếu bạn từng dùng lại mật khẩu cho nhiều tài khoản khác nhau — và hầu hết mọi người đều làm vậy — thì bạn là mục tiêu tiềm năng của credential stuffing. Đây là một trong những phương thức tấn công phổ biến và hiệu quả nhất mà tội phạm mạng sử dụng hiện nay, khai thác một thói quen rất người: ưu tiên sự tiện lợi hơn bảo mật.

Credential Stuffing Là Gì

Credential stuffing là một dạng tấn công mạng tự động, trong đó hacker lấy các danh sách lớn tên người dùng và mật khẩu bị rò rỉ (thường thu thập từ các vụ vi phạm dữ liệu trước đó) và thử nghiệm chúng một cách có hệ thống trên hàng chục hoặc hàng trăm trang web khác nhau. Logic rất đơn giản: nếu ai đó dùng chung email và mật khẩu cho cả một diễn đàn game lẫn tài khoản ngân hàng trực tuyến, thì xâm nhập được vào tài khoản này đồng nghĩa với việc xâm nhập được vào tài khoản kia.

Khác với các cuộc tấn công brute-force — vốn thử các mật khẩu ngẫu nhiên hoặc dựa trên từ điển — credential stuffing sử dụng thông tin đăng nhập thực sự đã được chứng minh là hợp lệ ở đâu đó. Điều này khiến nó hiệu quả hơn đáng kể và khó phát hiện hơn.

Cách Thức Hoạt Động

Quy trình thường diễn ra theo một khuôn mẫu có thể dự đoán được:

  1. Thu thập dữ liệu — Kẻ tấn công mua hoặc tải về các cơ sở dữ liệu thông tin đăng nhập bị rò rỉ từ các chợ đen trên dark web. Một số danh sách chứa hàng trăm triệu cặp tên người dùng/mật khẩu.
  2. Tự động hóa — Sử dụng các công cụ chuyên dụng (đôi khi được gọi là "account checker" hoặc các framework credential stuffing), kẻ tấn công nạp thông tin đăng nhập bị đánh cắp và nhắm vào trang đăng nhập của mục tiêu.
  3. Tấn công phân tán — Để tránh kích hoạt giới hạn tốc độ (rate-limiting) hoặc chặn IP, kẻ tấn công định tuyến lưu lượng qua các botnet hoặc số lượng lớn proxy dân dụng, tạo ảo giác rằng các lần thử đăng nhập đến từ hàng nghìn người dùng khác nhau trên khắp thế giới.
  4. Thu hoạch tài khoản hợp lệ — Phần mềm gắn cờ các lần đăng nhập thành công, cho phép kẻ tấn công truy cập vào các tài khoản đã được xác minh. Các tài khoản này sau đó bị khai thác trực tiếp, bán lại, hoặc sử dụng để thực hiện gian lận tiếp theo.

Tỷ lệ thành công nhìn chung khá thấp — thường từ 0,1% đến 2% — nhưng khi bạn đang thử nghiệm hàng triệu thông tin đăng nhập, ngay cả 0,5% cũng tương đương với hàng nghìn tài khoản bị xâm phạm.

Tại Sao Điều Này Quan Trọng Với Người Dùng VPN

Người dùng VPN không miễn nhiễm với credential stuffing — trên thực tế, có một khía cạnh cụ thể đáng lưu ý. Một số nhà cung cấp VPN đã từng bị nhắm mục tiêu. Trong các sự cố trước đây, các cuộc tấn công credential stuffing nhắm vào dịch vụ VPN đã dẫn đến việc kẻ tấn công truy cập vào tài khoản người dùng và trong một số trường hợp, cả các thiết bị được kết nối hoặc cấu hình riêng tư của họ.

Ngoài ra, việc sử dụng VPN không bảo vệ bạn nếu thông tin đăng nhập của bạn đã bị xâm phạm. VPN ẩn địa chỉ IP và mã hóa lưu lượng của bạn, nhưng không thể ngăn kẻ tấn công đăng nhập vào tài khoản Netflix, email hay ngân hàng của bạn bằng một mật khẩu bạn đã dùng lại từ một trang web bị rò rỉ.

Tuy nhiên, VPN có thể giúp giảm mức độ phơi nhiễm của bạn theo những cách gián tiếp. Bằng cách che giấu địa chỉ IP thực của bạn, các trình theo dõi và data broker sẽ khó tổng hợp hồ sơ liên kết các tài khoản trực tuyến khác nhau của bạn hơn — điều này có thể hạn chế phạm vi thiệt hại khi các vụ rò rỉ xảy ra.

Các Ví Dụ Thực Tế

  • Năm 2020, các cuộc tấn công credential stuffing đã nhắm vào nhiều nhà cung cấp VPN và dịch vụ phát trực tuyến video cùng lúc, với kẻ tấn công thử nghiệm thông tin đăng nhập bị đánh cắp từ các vụ rò rỉ trong lĩnh vực game và bán lẻ không liên quan.
  • Disney+ đã trải qua làn sóng chiếm đoạt tài khoản ngay sau khi ra mắt — không phải do hệ thống của Disney bị vi phạm, mà vì người dùng đã tái sử dụng mật khẩu từ các dịch vụ khác đã bị xâm phạm.
  • Các tổ chức tài chính thường xuyên ghi nhận hàng triệu lượt tấn công credential stuffing mỗi ngày, phần lớn bị ngăn chặn bởi giới hạn tốc độ và xác thực đa yếu tố.

Cách Bảo Vệ Bản Thân

Biện pháp phòng thủ khá đơn giản, dù việc thay đổi thói quen không phải lúc nào cũng dễ dàng:

  • Sử dụng mật khẩu duy nhất cho mỗi tài khoản. Một trình quản lý mật khẩu sẽ giúp điều này trở nên khả thi.
  • Bật xác thực hai yếu tố (2FA) ở bất cứ nơi nào có thể. Dù kẻ tấn công có mật khẩu của bạn, chúng vẫn không có yếu tố xác thực thứ hai.
  • Kiểm tra cơ sở dữ liệu rò rỉ như HaveIBeenPwned để xem thông tin đăng nhập của bạn có bị lộ hay không.
  • Theo dõi các lần đăng nhập tài khoản để phát hiện các vị trí hoặc thiết bị lạ.

Credential stuffing hoạt động được vì người dùng tái sử dụng mật khẩu. Hãy từ bỏ thói quen đó, và cuộc tấn công này phần lớn sẽ không còn hiệu quả với bạn nữa.