Instagram, Spotify và các kho lưu trữ mật khẩu bị tấn công trong một tuần

Instagram, Spotify và các kho lưu trữ mật khẩu bị tấn công trong một tuần

Chỉ trong một tuần, ba nền tảng được sử dụng rộng rãi nhất trên internet đã hứng chịu các cuộc tấn công mạng: tài khoản Instagram bị chiếm đoạt, người dùng Spotify bị tấn công nhồi thông tin xác thực, và các kho lưu trữ mật khẩu bị kẻ tấn công nhắm đến nhằm bẻ khóa hàng loạt thông tin đăng nhập được lưu trữ. Nếu bạn sử dụng bất kỳ nền tảng nào trong số này, và hầu hết mọi người đều dùng, thì đây là lúc để xem xét lại cách bạn thực sự đang tự bảo vệ mình. Bài học ở đây không chỉ là "hãy dùng VPN". Bài học là bảo mật theo lớp, kết hợp VPN, trình quản lý mật khẩu và xác thực mạnh, mới là cách tiếp cận duy nhất đứng vững trước cả ba kiểu tấn công.

Những nền tảng nào bị tấn công và dữ liệu gì đã bị lộ

Làn sóng sự cố đã chạm đến các nền tảng theo những cách khác nhau. Việc chiếm đoạt tài khoản Instagram khai thác điểm yếu trong khôi phục tài khoản, cho phép kẻ tấn công khóa người dùng hợp pháp khỏi chính hồ sơ của họ. Spotify chứng kiến điều có vẻ là tấn công nhồi thông tin xác thực, trong đó kẻ tấn công lấy các tổ hợp tên đăng nhập và mật khẩu bị rò rỉ trước đó rồi thử chúng trên diện rộng với một mục tiêu mới, dựa vào thực tế là nhiều người sử dụng lại cùng thông tin đăng nhập trên nhiều dịch vụ. Trong khi đó, các dịch vụ kho lưu trữ mật khẩu bị nhắm đến trực tiếp, với những kẻ tấn công tìm cách đánh cắp các tệp kho mã hóa để sau này có thể bẻ khóa ngoại tuyến.

Điều khiến tuần này trở nên bất thường không phải là bất kỳ cuộc tấn công đơn lẻ nào đặc biệt mới lạ. Mà là cả ba bề mặt tấn công đều bị nhắm đến gần như đồng thời, ảnh hưởng đến một phạm vi rất lớn người dùng thông thường, chứ không chỉ các mục tiêu doanh nghiệp hay cá nhân có giá trị cao.

Để có cái nhìn chi tiết hơn về cách lỗ hổng Instagram cụ thể cho phép kẻ tấn công chiếm đoạt tài khoản thông qua lỗi công cụ khôi phục, hãy xem phân tích chi tiết này: Lỗ hổng tài khoản Instagram Meta AI cho phép kẻ tấn công đặt lại mật khẩu.

Vì sao các kho lưu trữ mật khẩu là mục tiêu có giá trị cao

Trình quản lý mật khẩu, một cách nghịch lý, vừa là giải pháp đúng đắn cho tình trạng tràn lan thông tin xác thực, vừa là mục tiêu hấp dẫn đối với kẻ tấn công. Khi ai đó đột nhập vào một kho lưu trữ mật khẩu, họ không chỉ có một mật khẩu. Họ có khả năng có được mọi mật khẩu mà người đó từng lưu, cùng với các ghi chú an toàn, số thẻ tín dụng và mã khôi phục xác thực hai yếu tố.

Những kẻ tấn công đánh cắp các tệp kho mã hóa không nhất thiết phải bẻ khóa chúng ngay lập tức. Chúng có thể lưu trữ các tệp và thực hiện tấn công vét cạn ngoại tuyến theo thời gian, đặc biệt nếu kho được bảo vệ bằng mật khẩu chính yếu hoặc bị sử dụng lại. Đây là lý do tại sao độ mạnh và tính duy nhất của mật khẩu chính của bạn không phải là chi tiết nhỏ. Đó là biến số quan trọng nhất quyết định liệu một kho bị đánh cắp có bao giờ trở nên có thể sử dụng được hay không.

Hồ sơ rủi ro thay đổi đáng kể khi các kho được bảo vệ bằng mật khẩu chính mạnh, được tạo ngẫu nhiên kết hợp với xác thực đa yếu tố trên chính tài khoản đó. Các nhà cung cấp kho lưu trữ sử dụng kiến trúc không kiến thức (zero-knowledge), nơi ngay cả dịch vụ cũng không thể đọc dữ liệu của bạn, bổ sung thêm một lớp bảo vệ có ý nghĩa.

VPN phù hợp ở đâu và thiếu sót ở điểm nào

VPN là một công cụ thực sự hữu ích. Nó mã hóa lưu lượng của bạn trên các mạng không đáng tin cậy, che dấu địa chỉ IP của bạn và ngăn nhà cung cấp internet ghi lại hoạt động duyệt web của bạn. Đối với những người thường xuyên kết nối qua Wi-Fi công cộng, nó giảm đáng kể rủi ro bị chặn bắt lưu lượng.

Nhưng VPN không làm gì để ngăn chặn tấn công nhồi thông tin xác thực. Nếu kẻ tấn công đã có tên đăng nhập và mật khẩu của bạn từ một vụ vi phạm trước đó và thử chúng trên Spotify, thì không có mức độ bảo vệ VPN nào có thể chặn được nỗ lực đăng nhập đó. VPN cũng không thể bảo vệ một kho lưu trữ mật khẩu đã bị lấy cắp khỏi máy chủ của nhà cung cấp. Và nó không thể ngăn chặn việc chiếm đoạt tài khoản khai thác lỗ hổng trong chính quy trình khôi phục của nền tảng.

Bảo mật theo lớp có nghĩa là sử dụng VPN như một phần của tư thế bảo vệ rộng hơn, chứ không phải là toàn bộ tư thế đó. Các phần khác bao gồm mật khẩu duy nhất cho mỗi tài khoản, một trình quản lý mật khẩu uy tín để biến điều đó thành khả thi, và xác thực đa yếu tố được bật ở mọi nơi có thể.

Các bước cụ thể: Kết hợp VPN, xác thực mạnh và vệ sinh mật khẩu

Đây là cách một thiết lập thực tế, kiên cường trông như thế nào sau một tuần như thế này:

Rà soát các mật khẩu bị sử dụng lại trước tiên. Hầu hết các trình quản lý mật khẩu đều có tính năng kiểm tra sức khỏe hoặc rà soát tích hợp để xác định các mật khẩu bạn đã sử dụng lại trên nhiều trang web. Hãy bắt đầu từ đó. Bất kỳ tài khoản nào dùng chung mật khẩu với một tài khoản khác đều là một nguy cơ bị tấn công nhồi thông tin xác thực đang chờ bị khai thác.

Bật MFA trên các tài khoản nhạy cảm nhất của bạn ngay lập tức. Mạng xã hội, email, thông tin đăng nhập của chính trình quản lý mật khẩu, và bất kỳ tài khoản tài chính nào đều nên kích hoạt xác thực đa yếu tố. Ứng dụng tạo mã xác thực thì an toàn hơn mã SMS, vốn có thể bị chặn bắt thông qua các cuộc tấn công hoán đổi SIM.

Kiểm tra kiến trúc bảo mật của trình quản lý mật khẩu. Tìm kiếm mã hóa không kiến thức (zero-knowledge) và hiểu liệu kho của bạn có được hỗ trợ bởi một mật khẩu chính mạnh, duy nhất mà bạn chưa từng sử dụng ở bất kỳ nơi nào khác hay không.

Sử dụng VPN trên các mạng không đáng tin cậy, nhưng đừng dừng lại ở đó. VPN thu hẹp các lỗ hổng cụ thể. Nó không thay thế các biện pháp bảo vệ nêu trên.

Kiểm tra các dịch vụ thông báo vi phạm dữ liệu. Các dịch vụ theo dõi liệu địa chỉ email hoặc thông tin xác thực của bạn có xuất hiện trong các kho dữ liệu bị lộ đã biết hay không có thể cảnh báo sớm khi đến lúc cần thay đổi một mật khẩu cụ thể.

Các sự kiện của tuần vừa qua là một lời nhắc nhở hữu ích rằng bảo vệ danh tính số đòi hỏi nhiều hơn một công cụ duy nhất. Kẻ tấn công hoạt động trên nhiều mặt trận cùng một lúc, và các biện pháp phòng thủ của bạn cần phải tương xứng. Hãy dành một giờ trong tuần này để rà soát thiết lập bảo mật tài khoản của bạn, bắt đầu với các nền tảng bạn sử dụng nhiều nhất và mở rộng dần ra. Khoản đầu tư thời gian này là nhỏ so với chi phí thực tế của việc khôi phục tài khoản, giải quyết hành vi trộm cắp danh tính, hoặc mất quyền truy cập vào nhiều năm dữ liệu đã lưu.