Cập nhật 2/5/2018: con số tài khoản có thông tin cá nhân tăng từ 34 triệu lên 75 triệu vì tôi tính luôn những tài khoản có tên và ngày sinh. Tôi thấy tính như vầy chính xác hơn.
Cập nhật 5/5/2018: vào đây để xem có lộ thông tin hay không. Công cụ do bạn Quân Nguyễn Đức làm.
Cập nhật 9/5/2018: Google đã gửi thông báo cho khoảng 500.000 người có tài khoản Gmail bị lộ mật khẩu.
Cuối tuần rồi, ngay trước kỳ nghỉ lễ dài ngày ở Việt Nam, một người nào đó tung lên mạng bộ cơ sở dữ liệu người dùng của VNG, công ty game và Internet lớn nhất Việt Nam. Tôi tìm được một bản copy và tôi đánh giá đây là dữ liệu thật, trải dài từ 2005 đến giữa năm 2015, chứa khoảng 160 triệu tài khoản, bao gồm thông tin cá nhân, mật khẩu và câu trả lời cho câu hỏi bí mật. Đây là vụ lộ dữ liệu lớn nhất trong lịch sử ở Việt Nam, có thể xem là một vụ Equifax của Việt Nam. Nếu bạn từng chơi game hay sử dụng các sản phẩm của VNG, bạn nên đổi mật khẩu và câu trả lời cho câu hỏi bí mật càng sớm càng tốt.
Nếu có thời gian tôi sẽ làm một website để mọi người có thể tự kiểm tra xem thông tin cá nhân và mật khẩu của mình có bị lộ hay chưa. Kỳ thực tôi hi vọng VNG sẽ làm chuyện này. VNG nói rằng họ biết vụ lộ thông tin này từ năm 2015 và đã khóa các tài khoản liên quan, nhưng tôi không thấy họ nói họ đã thông báo cho các khách hàng bị ảnh hưởng. Một sự cố như vầy có thể ảnh hưởng đến sự an toàn và riêng tư của hàng chục triệu người, vì rất nhiều người chỉ sử dụng một mật khẩu duy nhất, bị lộ ở một nơi là coi như lộ hết tất cả tài khoản ở các nơi khác. Ở California vừa rồi Yahoo! bị phạt 35 triệu đôla Mỹ vì đã "ém" một sự cố tương tự.
Trong số 160 triệu tài khoản có khoảng 75 triệu tài khoản có thông tin có thể xác định chính xác từng người (dân trong nghề gọi là PII - personally identifiable information): tên, ngày sinh, email, số điện thoại, số chứng minh thư hoặc địa chỉ.
Ngoài PII ra còn có thông tin nhạy cảm là mật khẩu. Mật khẩu được lưu trữ ở một định dạng rất dễ bẻ khóa. Trong hai ngày cuối tuần, tôi đã bẻ khóa được hơn 124 triệu tài khoản. Tôi không sử dụng công cụ hay công nghệ gì đặc biệt, tất cả đều là phần mềm tải về từ Internet, chạy trên chiếc laptop cùi bắp đời 2015. Một người trang bị tốt hơn và có nhiều thời gian hơn sẽ không mất nhiều thời gian để bẻ khóa 99% mật khẩu.
Vì dữ liệu mà tôi có không hoàn hảo, trong các thống kê dưới đây tôi chỉ tập trung vào 75 triệu tài khoản này, số tài khoản còn lại tôi thấy phần lớn là tài khoản bot chơi game tự động, nên cũng không có nhiều thông tin thú vị.
Tiếp theo: Người Việt Nam chọn mật khẩu như thế nào?
Cập nhật 5/5/2018: vào đây để xem có lộ thông tin hay không. Công cụ do bạn Quân Nguyễn Đức làm.
Cập nhật 9/5/2018: Google đã gửi thông báo cho khoảng 500.000 người có tài khoản Gmail bị lộ mật khẩu.
Cuối tuần rồi, ngay trước kỳ nghỉ lễ dài ngày ở Việt Nam, một người nào đó tung lên mạng bộ cơ sở dữ liệu người dùng của VNG, công ty game và Internet lớn nhất Việt Nam. Tôi tìm được một bản copy và tôi đánh giá đây là dữ liệu thật, trải dài từ 2005 đến giữa năm 2015, chứa khoảng 160 triệu tài khoản, bao gồm thông tin cá nhân, mật khẩu và câu trả lời cho câu hỏi bí mật. Đây là vụ lộ dữ liệu lớn nhất trong lịch sử ở Việt Nam, có thể xem là một vụ Equifax của Việt Nam. Nếu bạn từng chơi game hay sử dụng các sản phẩm của VNG, bạn nên đổi mật khẩu và câu trả lời cho câu hỏi bí mật càng sớm càng tốt.
Nếu có thời gian tôi sẽ làm một website để mọi người có thể tự kiểm tra xem thông tin cá nhân và mật khẩu của mình có bị lộ hay chưa. Kỳ thực tôi hi vọng VNG sẽ làm chuyện này. VNG nói rằng họ biết vụ lộ thông tin này từ năm 2015 và đã khóa các tài khoản liên quan, nhưng tôi không thấy họ nói họ đã thông báo cho các khách hàng bị ảnh hưởng. Một sự cố như vầy có thể ảnh hưởng đến sự an toàn và riêng tư của hàng chục triệu người, vì rất nhiều người chỉ sử dụng một mật khẩu duy nhất, bị lộ ở một nơi là coi như lộ hết tất cả tài khoản ở các nơi khác. Ở California vừa rồi Yahoo! bị phạt 35 triệu đôla Mỹ vì đã "ém" một sự cố tương tự.
Trong số 160 triệu tài khoản có khoảng 75 triệu tài khoản có thông tin có thể xác định chính xác từng người (dân trong nghề gọi là PII - personally identifiable information): tên, ngày sinh, email, số điện thoại, số chứng minh thư hoặc địa chỉ.
Ngoài PII ra còn có thông tin nhạy cảm là mật khẩu. Mật khẩu được lưu trữ ở một định dạng rất dễ bẻ khóa. Trong hai ngày cuối tuần, tôi đã bẻ khóa được hơn 124 triệu tài khoản. Tôi không sử dụng công cụ hay công nghệ gì đặc biệt, tất cả đều là phần mềm tải về từ Internet, chạy trên chiếc laptop cùi bắp đời 2015. Một người trang bị tốt hơn và có nhiều thời gian hơn sẽ không mất nhiều thời gian để bẻ khóa 99% mật khẩu.
Vì dữ liệu mà tôi có không hoàn hảo, trong các thống kê dưới đây tôi chỉ tập trung vào 75 triệu tài khoản này, số tài khoản còn lại tôi thấy phần lớn là tài khoản bot chơi game tự động, nên cũng không có nhiều thông tin thú vị.
Tiếp theo: Người Việt Nam chọn mật khẩu như thế nào?