149 triệu thông tin đăng nhập bị rò rỉ: Rủi ro đối với người dùng Gmail và Meta

Một cơ sở dữ liệu khổng lồ dung lượng 96 GB đã làm rò rỉ hơn 149 triệu thông tin đăng nhập duy nhất. Tìm hiểu xem vụ lộ dữ liệu này ảnh hưởng thế nào đến người dùng Gmail, Facebook và Instagram trên toàn thế giới.

---

Hook & Đối tượng của bài viết (Giới thiệu)

Một cơ sở dữ liệu khổng lồ không được bảo mật đã làm lộ hơn 149 triệu thông tin đăng nhập từ các nền tảng lớn như Google và Meta. Hãy tìm hiểu xem vụ lộ dữ liệu này có ý nghĩa gì đối với bảo mật tài khoản của bạn và những dịch vụ nào bị ảnh hưởng nặng nề nhất.

---

Hook & Đối tượng của bài viết

Việc phát hiện ra một cơ sở dữ liệu không được bảo mật chứa 149.404.754 thông tin đăng nhập và mật khẩu duy nhất đã làm nổi bật những rủi ro đang tiếp diễn đối với quyền riêng tư kỹ thuật số ^[2][13][15]. Đối với nhiều người, việc nhận ra rằng thông tin đăng nhập cá nhân có thể nằm trong một tập dữ liệu công khai 96 GB là một mối lo ngại lớn ^[11][15]. Sự cố này nhấn mạnh việc dữ liệu cá nhân có thể trở nên dễ bị tổn thương như thế nào khi được lưu trữ trong môi trường không được bảo vệ.

Bài viết này dành cho:

• Người dùng Gmail (khoảng 48 triệu tài khoản bị ảnh hưởng) và Facebook (khoảng 17 triệu tài khoản bị ảnh hưởng) ^[1][6][10].
• Chủ tài khoản trên các nền tảng như Instagram, Netflix, PayPal và Roblox ^[1][3][5].
• Bất kỳ ai quan tâm đến những phát hiện của nhà nghiên cứu bảo mật Jeremiah Fowler liên quan đến các vụ rò rỉ dữ liệu quy mô lớn ^[2][13].

Báo cáo này bao gồm phân tích về các thông tin đăng nhập bị lộ và các nền tảng chính liên quan. Bài viết không cung cấp lời khuyên pháp lý hoặc danh sách đầy đủ mọi địa chỉ email cá nhân có trong cơ sở dữ liệu.

Nền tảng	Số lượng tài khoản ước tính bị lộ
Gmail	48 Triệu [1][6][10]
Facebook	17 Triệu [3][6][10]
Instagram	6,5 Triệu [3]
Tổng số thông tin đăng nhập duy nhất	149,4 Triệu [2][15]

Tóm tắt nhanh / Điều này có ý nghĩa gì với bạn

Việc phát hiện ra một cơ sở dữ liệu không được bảo vệ gần đây đã làm lộ một khối lượng lớn thông tin nhạy cảm của người dùng. Dưới đây là những thông tin chính và hành động được khuyến nghị dựa trên tình hình hiện tại:

• Rò rỉ thông tin đăng nhập khổng lồ: Một cơ sở dữ liệu không được bảo vệ chứa 149.404.754 thông tin đăng nhập và mật khẩu duy nhất đã được các nhà nghiên cứu bảo mật phát hiện ^[2][11]. Tập dữ liệu này, với tổng dung lượng khoảng 96 GB, được tìm thấy trong tình trạng không có mật khẩu bảo vệ, khiến bất kỳ ai có vị trí cơ sở dữ liệu đều có thể truy cập được ^[11][13].
• Các nền tảng lớn bị ảnh hưởng: Vụ rò rỉ bao gồm khoảng 48 triệu tài khoản Gmail ^{[1][10][12][23]}. Ngoài ra, 17 triệu tài khoản Facebook và 6,5 triệu tài khoản Instagram cũng được xác định trong dữ liệu ^[3][10][12].
• Thu thập mã độc đang hoạt động: Bằng chứng cho thấy cơ sở dữ liệu này có khả năng đang được lấp đầy bởi các hoạt động mã độc đang diễn ra, vì số lượng hồ sơ đã tăng lên trong khoảng thời gian từ khi phát hiện đến khi nó được đưa ngoại tuyến ^[7]. Dữ liệu được sắp xếp theo định dạng kỹ thuật host_reversed path, đây là một phương pháp phổ biến để lập chỉ mục thông tin bị đánh cắp ^[4].
• Các mục tiêu rủi ro cao: Ngoài mạng xã hội và email cá nhân, cơ sở dữ liệu được báo cáo là chứa thông tin đăng nhập cho các tên miền .gov từ nhiều quốc gia và các tài khoản tài chính khác nhau ^[1][5].
• Các vụ vi phạm bán lẻ chưa được xác nhận: Có những báo cáo chưa được xác nhận rằng nhóm đe dọa 'World Leaks' có thể đã đánh cắp 1,4 TB dữ liệu nội bộ từ Nike, bao gồm cả các tuyên bố về việc đánh cắp mã nguồn ^[6][9][14]. Sự cố này hiện đang được điều tra và vẫn chưa được xác nhận chính thức ^[6][25].
• Lỗ hổng phần mềm nghiêm trọng: Riêng biệt, một lỗ hổng VMware vCenter (CVE-2024-37079) với điểm CVSS là 9.8 được báo cáo là đang bị khai thác tích cực và đã được thêm vào danh mục KEV của CISA ^[8][15].

---

Các hành động được khuyến nghị ngay lập tức:

1. Thay đổi mật khẩu: Ưu tiên cập nhật mật khẩu cho Gmail, Facebook và Instagram, đặc biệt nếu cùng một mật khẩu được sử dụng trên nhiều trang web ^[1][3].
2. Bật xác thực đa yếu tố (MFA): Kích hoạt 2FA trên tất cả các tài khoản nhạy cảm để cung cấp một lớp bảo mật mà chỉ mật khẩu bị đánh cắp không thể vượt qua.
3. Theo dõi hoạt động nghi vấn: Kiểm tra các nỗ lực đăng nhập trái phép hoặc email đặt lại mật khẩu.

Lưu ý về rủi ro: Mặc dù việc thay đổi mật khẩu làm giảm đáng kể mối đe dọa truy cập trái phép tức thời, nhưng nó không đảm bảo khả năng miễn nhiễm trong tương lai nếu thiết bị vẫn bị nhiễm mã độc đánh cắp thông tin đăng nhập. Việc lộ thông tin đăng nhập của chính phủ hoặc tài chính có khả năng làm tăng rủi ro bị lừa đảo có mục tiêu hoặc đánh cắp danh tính ^[1][5].

Các nguồn chính (Liên kết nhanh)

• ExpressVPN — 149M Logins and Passwords Exposed Online Including Financial Accounts, Instag... ^[1]
• Fox News — 149 million passwords exposed in massive credential leak ^[2]
• Daily Mail Online — Urgent warning to Gmail users as scammers exploit Google's latest email updat... ^[4]

Bối cảnh / Những điều cơ bản

Một vụ lộ dữ liệu khổng lồ gần đây đã tiết lộ một cơ sở dữ liệu không được bảo vệ chứa 149.404.754 thông tin đăng nhập và mật khẩu duy nhất ^[2][12]. Nhà nghiên cứu bảo mật Jeremiah Fowler đã phát hiện ra các hồ sơ có thể truy cập công khai này, vốn không được bảo vệ bằng mật khẩu hoặc mã hóa ^[2][11]. Loại lộ dữ liệu này thường xảy ra khi một cơ sở dữ liệu bị cấu hình sai, cho phép bất kỳ ai có liên kết chính xác đều có thể xem nội dung mà không cần xác thực ^[11].

Tập dữ liệu, với tổng dung lượng 96 GB, đóng vai trò như một bộ sưu tập khổng lồ các thông tin đăng nhập từ nhiều dịch vụ trực tuyến khác nhau ^[7]. Thay vì là một vụ hack trực tiếp vào một nền tảng duy nhất, cơ sở dữ liệu này dường như là một bản tổng hợp các thông tin đăng nhập cho nhiều trang web lớn và tài khoản tài chính ^[1][5].

Nền tảng	Số lượng tài khoản ước tính bị lộ
Gmail	48 triệu [1][6][14]
Facebook	17 triệu [3][8][10]
Instagram	6,5 triệu [3][13]

Thông tin được sắp xếp bằng phương pháp lập chỉ mục kỹ thuật được gọi là định dạng host_reversed path (ví dụ: com.example.user.machine) ^[9]. Cấu trúc này thường được sử dụng để phân loại dữ liệu bị đánh cắp theo trang web hoặc dịch vụ cụ thể mà thông tin đăng nhập thuộc về, giúp người dùng trái phép dễ dàng tìm kiếm các tài khoản cụ thể hơn ^[9].

Ngoài mạng xã hội và email, vụ rò rỉ có khả năng bao gồm thông tin đăng nhập cho các nền tảng như Netflix, PayPal, Roblox và các trang web hẹn hò khác nhau ^[1][5]. Mặc dù cơ sở dữ liệu đã được xác định, nhưng sự hiện diện của một khối lượng lớn mật khẩu dạng văn bản thuần túy cho thấy rủi ro đáng kể đối với những người dùng sử dụng lại cùng một thông tin đăng nhập trên nhiều dịch vụ ^[5][13].

Giải thích vấn đề (Chuyện gì đang xảy ra?)

Một nhà nghiên cứu bảo mật gần đây đã phát hiện ra một cơ sở dữ liệu không được bảo vệ chứa 149.404.754 thông tin đăng nhập và mật khẩu duy nhất ^[2][13]. Tập dữ liệu bị lộ có tổng dung lượng 96 GB và bất kỳ ai có kết nối internet đều có thể truy cập mà không cần mật khẩu ^[9][13]. Sự cố này đại diện cho một vụ lộ thông tin đăng nhập cá nhân và chuyên nghiệp quy mô lớn trên một số nền tảng phổ biến nhất thế giới ^[2][6].

Thông tin bị rò rỉ được sắp xếp rất bài bản, sử dụng cấu trúc kỹ thuật được gọi là host_reversed path (ví dụ: com.example.user.machine) ^[3]. Định dạng này thường được sử dụng để lập chỉ mục dữ liệu bị đánh cắp, giúp các bên trái phép dễ dàng tìm kiếm và khai thác các tài khoản cụ thể ^[3]. Bằng chứng cho thấy cơ sở dữ liệu này không ở trạng thái tĩnh; số lượng hồ sơ đã tăng lên trong khoảng thời gian từ khi phát hiện đến khi nó được đưa ngoại tuyến ^[1]. Sự gia tăng này có khả năng cho thấy hoạt động thu thập dữ liệu đang diễn ra bởi mã độc đang hoạt động, vốn đang chuyển các thông tin đăng nhập mới vào cơ sở dữ liệu theo thời gian thực ^[1].

---

Quy mô và Phạm vi rò rỉ

Tác động của vụ rò rỉ này rất sâu rộng, ảnh hưởng đến nhiều lĩnh vực khác nhau từ mạng xã hội đến cơ sở hạ tầng chính phủ. Bảng dưới đây tóm tắt các danh mục chính của các tài khoản bị lộ:

Loại tài khoản	Số lượng hồ sơ bị lộ
Tổng số thông tin đăng nhập duy nhất	~149,4 Triệu [2]
Tài khoản Gmail	~48 Triệu [5]
Tài khoản Facebook	~17 Triệu [6]
Tài khoản Instagram	~6,5 Triệu [6]
Tên miền Chính phủ	Bao gồm nhiều quốc gia [4]

Sự hiện diện của các tên miền .gov từ nhiều quốc gia cho thấy một kịch bản rủi ro cao đối với an ninh cấp quốc gia ^[4]. Hơn nữa, việc lộ gần 48 triệu tài khoản Gmail tạo ra rủi ro đáng kể về đánh cắp danh tính, vì tài khoản email thường đóng vai trò là phương thức khôi phục chính cho các dịch vụ nhạy cảm khác ^[5].

---

Xu hướng lỗ hổng bảo mật ngày càng tăng

Vụ lộ dữ liệu cụ thể này là một phần của xu hướng lớn hơn và đáng lo ngại trong bảo mật kỹ thuật số. Các nhà phân tích đã quan sát thấy rằng trong khi số lượng các vụ vi phạm tiếp tục đạt mức kỷ lục, các thông báo chính thức cho nạn nhân thực tế đã giảm 79% so với cùng kỳ năm ngoái vào năm 2025 ^[14]. điều này cho thấy nhiều người dùng có thể bị xâm phạm mà không bao giờ nhận được cảnh báo chính thức từ các dịch vụ bị ảnh hưởng ^[14].

Ngoài các vụ rò rỉ cơ sở dữ liệu, các lỗ hổng phần mềm vẫn là nguyên nhân gốc rễ chính của việc lộ dữ liệu. Ví dụ:

• Hơn 1 triệu ứng dụng Android đã bị phát hiện làm lộ dữ liệu nhạy cảm của người dùng, tổng cộng khoảng 700 TB thông tin ^[7].
• Khoảng 72% các ứng dụng được phân tích, bao gồm nhiều ứng dụng AI đang thịnh hành, chứa ít nhất một "bí mật" hoặc thông tin đăng nhập được mã hóa cứng (hardcoded) trong mã nguồn của chúng ^[11][12].
• Những thực hành lập trình không an toàn này giúp các công cụ tự động thu thập thông tin đăng nhập và lấp đầy các cơ sở dữ liệu như vụ rò rỉ 149 triệu hồ sơ được phát hiện gần đây trở nên dễ dàng hơn đáng kể ^[1][12].

Nguyên nhân gốc rễ / Phân tích (Tại sao điều này lại xảy ra?)

Việc lộ 149.404.754 thông tin đăng nhập duy nhất ^[5] không phải là kết quả của một vụ rò rỉ vô tình duy nhất, mà là đỉnh điểm của quá trình thu thập dữ liệu có hệ thống và các lỗ hổng mang tính tổ chức. Các nhà phân tích chỉ ra một số yếu tố góp phần vào quy mô và cấu trúc của cơ sở dữ liệu này.

Các yếu tố kỹ thuật đã được xác nhận

• Thu thập mã độc đang diễn ra: Cơ sở dữ liệu này không phải là một kho lưu trữ tĩnh của các vụ rò rỉ cũ. Các hồ sơ tiếp tục tăng lên trong khoảng thời gian từ khi phát hiện ban đầu đến khi cuối cùng nó được đưa ngoại tuyến ^[1]. Điều này cung cấp bằng chứng về việc nhiễm mã độc đang hoạt động liên tục nạp các thông tin đăng nhập mới vào kho lưu trữ theo thời gian thực ^[1].
• Lập chỉ mục có hệ thống: Dữ liệu được sắp xếp tỉ mỉ bằng định dạng host_reversed path (ví dụ: com.example.user.machine) ^[2]. Cấu trúc kỹ thuật này được thiết kế đặc biệt để lập chỉ mục dữ liệu bị đánh cắp, cho phép các tác nhân đe dọa nhanh chóng tìm kiếm và lọc thông tin đăng nhập theo các tên miền hoặc loại máy cụ thể ^[2].
• Khối lượng mục tiêu khổng lồ: Quy mô tuyệt đối của cơ sở dữ liệu 96 GB ^[7] cho thấy một nỗ lực thu thập trên diện rộng. Nó đã nhắm mục tiêu thành công vào 48 triệu tài khoản Gmail ^[4], 17 triệu tài khoản Facebook ^[6] và các tên miền .gov rủi ro cao từ nhiều quốc gia ^[3].

---

Phân tích các xu hướng và giả thuyết gần đây

Ngoài cấu trúc kỹ thuật của cơ sở dữ liệu, các sự kiện trong ngành cho thấy các vấn đề mang tính hệ thống rộng lớn hơn có thể đã góp phần vào bối cảnh đe dọa hiện tại.

• Tiềm ẩn mất trộm nội bộ và lộ mã nguồn: Các báo cáo chưa được xác minh cho thấy các tập đoàn lớn hiện đang điều tra các vụ vi phạm nội bộ nghiêm trọng. Nike được cho là đang điều tra một vụ trộm dữ liệu 1,4 TB do một nhóm có tên "World Leaks" thực hiện ^[9][11]. Vụ trộm bị cáo buộc này bao gồm mã nguồn nhạy cảm, dữ liệu nhân viên và thông tin khách hàng ^[14]. Tương tự, mã nguồn của Target gần đây đã được xác nhận là bị đánh cắp, mặc dù bên chịu trách nhiệm vẫn chưa được xác định ^[13].
• Mức độ rủi ro doanh nghiệp gia tăng: Phân tích ngành cho thấy một môi trường bảo mật đầy biến động. Mức độ nghiêm trọng tổng hợp của các Sự kiện Doanh nghiệp Bất lợi Rủi ro cao đã tăng 19,7% trong nửa cuối năm 2025 so với đầu năm đó ^[15]. Xu hướng này có khả năng tương quan với tần suất và khối lượng lộ dữ liệu ngày càng tăng được thấy vào đầu năm 2026.

Loại dữ liệu	Khối lượng/Số liệu	Tác động
Tổng số thông tin đăng nhập duy nhất	149.404.754 [5]	Nghiêm trọng
Tài khoản Gmail	~48 Triệu [4]	Cao
Dung lượng cơ sở dữ liệu	96 GB [7]	Đáng kể
Tài khoản Facebook	17 Triệu [6]	Cao

Lưu ý: Sự hiện diện của định dạng host_reversed path cho thấy dữ liệu đang được chuẩn bị để bán hoặc sử dụng tích cực trong các cuộc tấn công nhồi nhét thông tin đăng nhập (credential stuffing) ^[2].

Các nhà phân tích theo dõi các xu hướng này cho rằng sự kết hợp giữa mã độc đang hoạt động và việc đánh cắp mã nguồn độc quyền tạo ra một môi trường rủi ro cao cho cả người dùng cá nhân và các doanh nghiệp quy mô lớn ^[1][14].

Bằng chứng & Kiểm chứng thực tế

Các nhà nghiên cứu bảo mật đã xác nhận việc phát hiện ra một cơ sở dữ liệu không được bảo vệ chứa 149.404.754 thông tin đăng nhập và mật khẩu duy nhất ^[6]. Tổng khối lượng dữ liệu thông tin đăng nhập thô này lên tới 96 GB ^[3]. Cơ sở dữ liệu này không ở trạng thái tĩnh; số lượng hồ sơ đã tăng lên trong khoảng thời gian từ khi phát hiện ban đầu đến khi nó được đưa ngoại tuyến, điều này cung cấp bằng chứng về việc thu thập dữ liệu đang diễn ra bởi mã độc đang hoạt động ^[1].

Dữ liệu được sắp xếp bằng cấu trúc lập chỉ mục kỹ thuật được gọi là định dạng host_reversed path, xuất hiện dưới dạng com.example.user.machine ^[2]. Các chuyên gia cho rằng cách tổ chức cụ thể này là điển hình cho việc lập chỉ mục dữ liệu bị đánh cắp một cách hiệu quả ^[2]. Mặc dù nguồn gốc chính xác vẫn đang được phân tích, cơ sở dữ liệu này bị nghi ngờ có liên quan đến hoạt động tội phạm và mã độc đánh cắp thông tin (infostealing malware) ^[8].

Tác động của vụ lộ dữ liệu này lan rộng trên các nền tảng lớn:

• 48 triệu tài khoản Gmail đã được bao gồm trong vụ rò rỉ ^[5].
• 17 triệu tài khoản Facebook đã được xác định ^[10].
• 6,5 triệu tài khoản Instagram đã bị lộ ^[10].
• Thông tin đăng nhập thuộc về các tên miền .gov từ nhiều quốc gia cũng có mặt ^[4].

---

Ngoài vụ rò rỉ 149 triệu thông tin đăng nhập, bối cảnh đe dọa rộng lớn hơn vào đầu năm 2026 cho thấy sự gia tăng của các dữ liệu hồ sơ cao xuất hiện trực tuyến. Ví dụ, dữ liệu khách hàng từ một cuộc tấn công trước đó vào Under Armour đã xuất hiện công khai trên một diễn đàn hack vào tháng 1 năm 2026 ^[14].

Hơn nữa, các báo cáo chưa được xác minh cho thấy Nike hiện đang điều tra một vụ trộm dữ liệu nội bộ 1,4 TB bị cáo buộc bởi một nhóm có tên là World Leaks ^[9][11]. Vụ trộm bị cáo buộc này được cho là bao gồm mã nguồn, dữ liệu nhân viên và thông tin khách hàng ^[15]. Mặc dù vụ vi phạm của Nike vẫn chưa được xác nhận, nhưng những sự cố song song này làm nổi bật khối lượng lớn các hoạt động buôn bán thông tin đăng nhập hiện đang được các nhà phân tích quan sát thấy ^[11][14].

Lưu ý: Sự hiện diện của các thông tin đăng nhập chính phủ (.gov) trong vụ rò rỉ 149 triệu hồ sơ cho thấy mã độc thu thập dữ liệu đã nhắm mục tiêu vào một phạm vi rộng lớn người dùng, bao gồm cả những người ở các vị trí nhạy cảm trong khu vực công ^[4].

Tự kiểm tra / Chẩn đoán

Việc phát hiện ra 149.404.754 thông tin đăng nhập duy nhất và mật khẩu ^[10] trong một cơ sở dữ liệu 96 GB không được bảo vệ ^[13] cho thấy xác suất bị lộ cao đối với nhiều người dùng. Vì kích thước cơ sở dữ liệu tăng lên trong khoảng thời gian từ khi phát hiện đến khi bị đưa ngoại tuyến, các chuyên gia tin rằng nó được thúc đẩy bởi việc thu thập dữ liệu đang diễn ra từ mã độc đang hoạt động ^[1].

Để xác định xem dữ liệu cá nhân hoặc chuyên nghiệp của bạn có bị xâm phạm hay không, hãy làm theo các bước chẩn đoán sau:

1. Xác minh các nhà cung cấp email chính của bạn: Kiểm tra xem bạn có sử dụng Gmail hay không, vì khoảng 48 triệu tài khoản Gmail đã được xác định trong vụ rò rỉ ^[11]. Cơ sở dữ liệu cũng chứa nhiều thông tin đăng nhập cho Facebook, Instagram, Roblox và các nền tảng tài chính khác nhau ^[1].

2. Kiểm tra thông tin đăng nhập Chính phủ và Công việc: Nếu bạn sử dụng tên miền .gov cho bất kỳ tài khoản nào, bạn nên coi đó là rủi ro cao. Các hồ sơ bị lộ bao gồm thông tin đăng nhập thuộc về các cơ quan chính phủ từ nhiều quốc gia ^[5].

3. Theo dõi các triệu chứng mã độc ở cấp độ thiết bị: Dữ liệu được sắp xếp bằng định dạng host_reversed path (ví dụ: com.example.user.machine) ^[2]. Cấu trúc kỹ thuật này cho thấy thông tin được thu thập trực tiếp từ các thiết bị. Kiểm tra các dấu hiệu của một vụ chiếm quyền điều khiển điện thoại, chẳng hạn như:

• Các thay đổi hoặc yêu cầu mã PIN màn hình khóa không mong muốn ^[8].
• Các ảnh chụp màn hình trái phép xuất hiện trong tệp của bạn ^[8].
• Pin sụt nhanh hoặc mức sử dụng dữ liệu bất thường, có thể cho thấy việc truy cập từ xa ^[12].

4. Xem xét các mối liên hệ bán lẻ và doanh nghiệp: Theo các báo cáo chưa được xác nhận, nhóm World Leaks tuyên bố đã đánh cắp 1,4 TB dữ liệu từ Nike ^[3][9]. Nếu bạn là nhân viên hoặc khách hàng của Nike, hãy theo dõi các cập nhật liên quan đến vụ trộm mã nguồn, dữ liệu nhân viên và thông tin khách hàng ^[7][24].

---

Tóm tắt tình trạng lộ dữ liệu

Loại dữ liệu	Trạng thái	Tác động tiềm tàng
Thông tin đăng nhập	Đã xác nhận [10]	149 triệu tài khoản duy nhất bị lộ.
Tài khoản Email	Đã xác nhận [11]	~48 triệu tài khoản Gmail bị ảnh hưởng.
Siêu dữ liệu thiết bị	Đã xác nhận [46]	Bao gồm địa chỉ IP và ID thiết bị.
Dữ liệu bán lẻ (Nike)	Chưa xác nhận [23]	Cáo buộc 1,4 TB thông tin nội bộ bị đánh cắp.
Dữ liệu vị trí	Tiềm năng [83]	Có thể bao gồm vị trí địa lý chính xác.

---

5. Kiểm tra quyền của ứng dụng và Cookie: Xem lại cài đặt quyền riêng tư của bạn để xem ứng dụng nào truy cập vào vị trí địa lý chính xác, lịch sử duyệt web và dữ liệu tìm kiếm ^[4][12]. Các mã định danh kỹ thuật như cookie trình duyệt và ID thiết bị thường được các dịch vụ theo dõi sử dụng và có thể được tổng hợp trong các vụ rò rỉ quy mô lớn để xây dựng hồ sơ người dùng chi tiết ^[15][83].

6. Kiểm tra bằng chứng "Host-Reversed": Nếu bạn tìm thấy dữ liệu của mình trên một trang web theo dõi vi phạm, hãy tìm định dạng com.company.service. Phương pháp lập chỉ mục này là một dấu hiệu mạnh mẽ cho thấy dữ liệu bắt nguồn từ một thiết bị bị nhiễm mã độc thay vì một vụ vi phạm máy chủ của một trang web cụ thể ^[2].

Giải pháp / Cần làm gì

Việc lộ 149.404.754 thông tin đăng nhập duy nhất ^[2] trong một cơ sở dữ liệu 96 GB không được bảo vệ ^[6] đòi hỏi các phản ứng bảo mật ngay lập tức từ những người dùng bị ảnh hưởng. Mặc dù cơ sở dữ liệu đã được đưa ngoại tuyến khoảng một tháng sau khi được báo cáo ^[9][14], bằng chứng cho thấy số lượng hồ sơ đã tăng lên trong giai đoạn phát hiện, cho thấy hoạt động thu thập dữ liệu tích cực của mã độc ^[7].

Các bước bảo mật ngay lập tức

• Cập nhật mật khẩu: Người dùng liên quan đến Gmail (khoảng 48 triệu), Facebook (17 triệu) và Instagram (6,5 triệu) nên đặt lại thông tin đăng nhập của họ ngay lập tức ^[3][4]. Điều này đặc biệt quan trọng vì dữ liệu được sắp xếp theo định dạng host_reversed path, giúp những kẻ tấn công dễ dàng liên kết mật khẩu với các dịch vụ cụ thể ^[1].
• Cài đặt các bản vá khẩn cấp: Microsoft đã phát hành bản vá khẩn cấp cho một lỗ hổng zero-day, CVE-2026-21509, liên quan đến các đối tượng OLE trong Office ^[13]. Khuyến nghị áp dụng bản cập nhật này để ngăn chặn khả năng khai thác liên quan đến trộm cắp thông tin đăng nhập ^[13].
• Xác minh bảo mật mạng xã hội: Người dùng Moltbook, một mạng xã hội được xây dựng bằng AI, nên theo dõi tài khoản của họ sau một sự cố bảo mật làm rò rỉ 35.000 địa chỉ email ^[10][12]. Các báo cáo chỉ ra rằng lỗ hổng đã được khắc phục trong vòng vài giờ sau khi có thông báo vào ngày 2 tháng 2 năm 2026 ^[10].

---

Các ưu tiên giảm thiểu rủi ro

Cơ sở dữ liệu chứa thông tin rủi ro cao, bao gồm thông tin đăng nhập cho các tên miền .gov và tài khoản tài chính ^[1][8]. Bảng dưới đây phác thảo mức độ ưu tiên phản ứng được khuyến nghị:

Mục hành động	Dịch vụ/Nền tảng bị ảnh hưởng	Mức độ ưu tiên
Đặt lại mật khẩu	Gmail, Facebook, Instagram, Roblox [1][3][4]	Nghiêm trọng
Cập nhật phần mềm	Microsoft Office (CVE-2026-21509) [13]	Nghiêm trọng
Kiểm tra thông tin đăng nhập	Tài khoản Chính phủ (.gov) và Tài chính [8]	Cao
Kiểm tra nền tảng	Mạng xã hội AI Moltbook [10]	Cao

---

Chiến lược bảo mật dài hạn

Việc áp dụng các biện pháp bảo mật chủ động có thể giảm đáng kể tác động tiềm tàng của các vụ rò rỉ thông tin đăng nhập trong tương lai. Mặc dù không có hệ thống nào có thể được mô tả là hoàn toàn không có rủi ro, nhưng các bước này giúp giảm thiểu khả năng truy cập trái phép.

1. Triển khai xác thực đa yếu tố (MFA): Thêm một lớp xác minh thứ hai có thể bảo vệ tài khoản ngay cả khi mật khẩu bị lộ trong một cơ sở dữ liệu công khai ^[2][15].
2. Quản lý thông tin đăng nhập duy nhất: Sử dụng mật khẩu duy nhất cho mọi dịch vụ. Vì vụ rò rỉ này bao gồm mật khẩu cho các nền tảng đa dạng—bao gồm các trang web hẹn hò và tài khoản tài chính—việc sử dụng lại thông tin đăng nhập làm tăng đáng kể rủi ro về "hiệu ứng domino" trên nhiều nền tảng ^[1].
3. Theo dõi chủ động: Luôn cập nhật thông tin từ các công ty an ninh mạng. Ví dụ, các nỗ lực khắc phục vụ rò rỉ Moltbook đã diễn ra nhanh chóng sau khi nhà nghiên cứu thông báo ^[10], chứng minh rằng nhận thức sớm có thể dẫn đến việc bảo vệ tài khoản nhanh hơn.
4. Sự cảnh giác của nhân viên chính phủ: Do việc xác định các thông tin đăng nhập tên miền .gov trong vụ rò rỉ, nhân viên chính phủ nên tuân thủ các quy trình cụ thể của cơ quan họ đối với việc xâm phạm thông tin đăng nhập ^[8].

---

Rủi ro và Giới hạn

Điều quan trọng cần lưu ý là việc thay đổi mật khẩu chỉ bảo vệ tài khoản từ thời điểm đó trở đi; nó không "hủy rò rỉ" dữ liệu đã bị các tác nhân độc hại thu thập ^[7]. Người dùng nên cảnh giác với các nỗ lực lừa đảo có mục tiêu bằng cách sử dụng các địa chỉ email bị lộ ^[10]. Nếu bạn nghi ngờ dữ liệu của mình có liên quan đến vụ lộ 149 triệu hồ sơ, hãy theo dõi các báo cáo tài chính và lịch sử đăng nhập tài khoản của bạn trong vài tháng ^[1][14].

Rủi ro, Giới hạn và Khi nào nên dừng lại

Mặc dù việc thực hiện hành động ngay lập tức có thể giảm đáng kể tác động của một vụ vi phạm dữ liệu, nhưng vẫn có những rủi ro cố hữu và giới hạn kỹ thuật cần xem xét. Việc quản lý một vụ xâm phạm ở quy mô này đòi hỏi phải điều hướng qua các mối đe dọa đang hoạt động và cấu trúc dữ liệu phức tạp.

Rủi ro của việc thu thập dữ liệu đang diễn ra

Một trong những rủi ro đáng kể nhất liên quan đến vụ rò rỉ cụ thể này là bằng chứng về việc thu thập dữ liệu đang diễn ra. Các nhà nghiên cứu bảo mật quan sát thấy kích thước cơ sở dữ liệu tăng lên trong khoảng thời gian từ khi phát hiện đến khi nó cuối cùng bị hạn chế ^[1][4][9].

Sự gia tăng này cho thấy mã độc chịu trách nhiệm đánh cắp các thông tin đăng nhập này có thể vẫn hoạt động trong suốt thời gian điều tra ^[9][11]. Những người dùng thay đổi mật khẩu trong khi thiết bị của họ vẫn bị nhiễm mã độc đang hoạt động có thể vô tình cung cấp cho những kẻ tấn công thông tin đăng nhập mới của họ ngay sau khi đặt lại.

---

Giới hạn kỹ thuật và phạm vi

Quy mô tuyệt đối và cách tổ chức dữ liệu đặt ra những thách thức cho cả các nhà nghiên cứu và các cá nhân bị ảnh hưởng:

• Quy mô khổng lồ: Cơ sở dữ liệu không được bảo vệ chứa 149.404.754 thông tin đăng nhập duy nhất và mật khẩu ^[5].
• Khối lượng dữ liệu: Tổng dung lượng của dữ liệu thông tin đăng nhập thô lên tới 96 GB ^[8].
• Lập chỉ mục kỹ thuật: Dữ liệu được sắp xếp bằng định dạng host_reversed path (ví dụ: com.example.user.machine) ^[1][15]. Cấu trúc kỹ thuật này được sử dụng để lập chỉ mục dữ liệu bị đánh cắp nhưng có thể khiến người dùng không chuyên về kỹ thuật khó diễn giải nguồn gốc của vụ rò rỉ nếu họ gặp phải dữ liệu thô ^[15].
• Cửa sổ lộ dữ liệu: Cơ sở dữ liệu vẫn có thể truy cập được trong gần một tháng sau khi phát hiện ban đầu trước khi bị nhà cung cấp dịch vụ lưu trữ đưa ngoại tuyến ^[13][14]. Trong thời gian này, thông tin có khả năng bị nhiều bên trái phép xâm nhập.

---

Đánh giá rủi ro cho người dùng bị ảnh hưởng

Tác động của vụ rò rỉ này thay đổi tùy thuộc vào loại tài khoản và độ nhạy cảm của dữ liệu liên quan.

Mức độ rủi ro	Loại dữ liệu liên quan	Tác động tiềm tàng
Rủi ro cao	Tên miền .gov, tài khoản tài chính [1][6]	Tiềm ẩn nguy cơ đánh cắp danh tính hoặc xâm phạm hệ thống chính phủ.
Rủi ro trung bình	Mạng xã hội (Facebook, Instagram), Netflix [1][9]	Truy cập trái phép vào tin nhắn riêng tư và gian lận đăng ký dịch vụ.
Rủi ro đang hoạt động	Tài khoản trên các thiết bị hiện đang bị nhiễm mã độc [1][11]	Tiếp tục bị đánh cắp thông tin đăng nhập ngay cả sau khi đặt lại mật khẩu.

---

Khi nào nên dừng lại và tìm kiếm sự trợ giúp chuyên nghiệp

Việc cố gắng tự giải quyết một vụ vi phạm bảo mật theo cách thủ công có những giới hạn của nó. Thông thường, bạn nên tìm kiếm sự hỗ trợ chuyên nghiệp hoặc liên hệ với bộ phận IT trong các tình huống sau:

• Xâm phạm dai dẳng: Nếu các tài khoản tiếp tục hiển thị hoạt động trái phép ngay cả sau khi mật khẩu đã được thay đổi và xác thực hai yếu tố đã được bật.
• Thiết bị không ổn định: Nếu máy tính hoặc thiết bị di động có dấu hiệu bị nhiễm mã độc đang hoạt động, chẳng hạn như bị treo máy bất ngờ, hiệu suất chậm hoặc các cài đặt phần mềm trái phép.
• Tài khoản Chính phủ hoặc Doanh nghiệp: Vì cơ sở dữ liệu bao gồm thông tin đăng nhập cho các tên miền .gov từ nhiều quốc gia, nên tuân thủ các quy trình bảo mật IT chính thức cho bất kỳ tài khoản công việc hoặc chính phủ nào ^[1][6].
• Bằng chứng về đánh cắp danh tính: Nếu có bằng chứng cho thấy các tài khoản tài chính đã bị truy cập hoặc các tài khoản mới đang được mở dưới tên của bạn.

Việc khắc phục thủ công thường là bước đầu tiên, nhưng nó có thể không đủ để loại bỏ mã độc ăn sâu hoặc giải quyết sự phức tạp của một cơ sở dữ liệu 96 GB chứa các hồ sơ bị đánh cắp ^[8]. Các chuyên gia cho rằng các mô hình AI, mặc dù hữu ích cho việc phòng thủ, nhưng cũng "dễ mắc lỗi" và nên được sử dụng thận trọng trong các quá trình khôi phục nhạy cảm ^[7][30].

FAQ (Câu hỏi thường gặp)

Những dịch vụ nào bị ảnh hưởng nặng nề nhất bởi vụ rò rỉ 149 triệu thông tin đăng nhập?

Tài khoản Gmail chiếm phần lớn nhất trong vụ rò rỉ, với khoảng 48 triệu tài khoản bị lộ ^[3]. Các nền tảng khác bị ảnh hưởng đáng kể bao gồm Facebook với 17 triệu tài khoản và Instagram với 6,5 triệu tài khoản ^[2]. Cơ sở dữ liệu cũng chứa thông tin đăng nhập cho các tài khoản tài chính, Roblox và các trang web hẹn hò khác nhau ^[1].

Thông tin bị đánh cắp được cấu trúc như thế nào trong cơ sở dữ liệu?

Dữ liệu được sắp xếp bằng cấu trúc lập chỉ mục kỹ thuật được gọi là host_reversed path ^[1]. Định dạng này hiển thị các mục nhập dưới dạng com.example.user.machine thay vì các URL tiêu chuẩn ^[1]. Phương pháp này thường được các tác nhân độc hại sử dụng để phân loại và tìm kiếm hiệu quả qua khối lượng lớn dữ liệu bị đánh cắp.

Việc phát hiện ra cơ sở dữ liệu này có nghĩa là mối đe dọa đã kết thúc?

Bằng chứng cho thấy mối đe dọa có thể vẫn đang tiếp diễn. Các nhà phân tích quan sát thấy số lượng hồ sơ trong cơ sở dữ liệu tăng lên trong khoảng thời gian từ khi phát hiện ban đầu đến khi nó được đưa ngoại tuyến ^[4]. Sự gia tăng này cho thấy cơ sở dữ liệu có khả năng đang được lấp đầy bởi mã độc đang hoạt động thu thập dữ liệu từ các thiết bị bị nhiễm theo thời gian thực ^[4].

Có lỗ hổng bảo mật lớn nào khác hiện đang hoạt động không?

Ngoài vụ rò rỉ thông tin đăng nhập này, Microsoft gần đây đã phát hành bản vá khẩn cấp cho một lỗ hổng zero-day của Microsoft Office ^[14]. Lỗi này, được xác định là CVE-2026-21509, đã được báo cáo vào tháng 1 năm 2026 ^[14]. Hơn nữa, dữ liệu từ một cuộc tấn công vào tháng 11 vào Under Armour đã bắt đầu xuất hiện trên các diễn đàn hack công khai vào đầu năm 2026, ảnh hưởng đến ước tính 72 triệu người dùng ^[8].

Tổng dung lượng và phạm vi của vụ lộ dữ liệu là bao nhiêu?

Cơ sở dữ liệu không được bảo vệ chứa chính xác 149.404.754 thông tin đăng nhập và mật khẩu duy nhất ^[6]. Tổng khối lượng dữ liệu thô được phát hiện lên tới 96 GB ^[7]. Mặc dù cơ sở dữ liệu cuối cùng đã được bảo mật, nhưng thông tin mà nó chứa có thể được truy cập bởi bất kỳ ai có kết nối internet trước khi nó bị gỡ bỏ ^[6][15].

---

Tóm tắt các phát hiện chính:

• 48 triệu tài khoản Gmail và 17 triệu tài khoản Facebook nằm trong số 149 triệu thông tin đăng nhập bị lộ ^[2][3][6].
• Cơ sở dữ liệu đang tăng lên, cho thấy hoạt động thu thập mã độc đang diễn ra ^[4].
• Người dùng cũng nên lưu ý về lỗ hổng zero-day của Microsoft Office CVE-2026-21509 đã được vá vào tháng 1 năm 2026 ^[14].
• Tổng dung lượng dữ liệu của vụ rò rỉ là 96 GB ^[7].

Nếu bạn không chắc chắn về tình trạng bảo mật hiện tại của mình, việc hỏi ý kiến chuyên gia một lần thường rẻ hơn là sửa chữa sai lầm sau này.

Tóm tắt / Những điểm chính cần lưu ý

• Một cơ sở dữ liệu khổng lồ, không được bảo vệ đã được phát hiện chứa 149.404.754 thông tin đăng nhập duy nhất và mật khẩu, với tổng cộng 96 GB dữ liệu thô ^[8][9].
• Vụ rò rỉ ảnh hưởng đáng kể đến người dùng của các nền tảng toàn cầu lớn, bao gồm 48 triệu tài khoản Gmail, 17 triệu thông tin đăng nhập Facebook và 6,5 triệu thông tin đăng nhập Instagram ^{[1][11][12][14]}.
• Ngoài mạng xã hội, dữ liệu bao gồm thông tin đăng nhập cho các tên miền .gov từ nhiều quốc gia, cũng như các tài khoản cho Netflix, Yahoo Mail và các tổ chức tài chính khác nhau ^[1][5][14].
• Cơ sở dữ liệu được sắp xếp bằng định dạng kỹ thuật host_reversed path và có khả năng bắt nguồn từ việc thu thập mã độc đang hoạt động, vì số lượng hồ sơ tăng lên trong khi cơ sở dữ liệu đang được theo dõi ^[2][3].
• Mặc dù tổng số hồ sơ là rất lớn, nhưng các xu hướng bảo mật cho năm 2025 chỉ ra rằng các thông báo chính thức cho nạn nhân thực tế đã giảm 79% so với cùng kỳ năm ngoái, có khả năng khiến nhiều người dùng không biết về việc mình bị lộ dữ liệu ^[7].

Nếu bạn không chắc chắn, việc hỏi ý kiến chuyên gia một lần thường rẻ hơn là sửa chữa sai lầm sau này.

Nguồn tham khảo

^[1] ExpressVPN: 149M Logins and Passwords Exposed Online Including Financial Accounts, Instag...

^[2] Fox News: 149 million passwords exposed in massive credential leak

^[3] Fox News: Under Armour investigates data breach claims affecting 72 million

^[4] Daily Mail Online: Urgent warning to Gmail users as scammers exploit Google's latest email updat...

^[5] The News Agency (TNA): Massive Data Leak Exposes 149 Million email Addresses, Passwords From Gmail, ...

^[6] TechRadar: Massive Chinese data breach allegedly spills 8.7 billion records - here's wha...

^[7] TechRadar: Coinbase reveals insider breach did take place, customer info compromised

^[8] Security Magazine: 7 Data Breaches, Exposures to Know About (January 2026)

^[9] GB News: Change your password NOW! 149 million online accounts leak, including Gmail, ...

^[10] Raxis: Publicly Accessible Database Discovered Hosting 149 Million Credentials

^[11] Covert Access Team: Google Cloud Leaks 149 Million Account Credentials

^[12] Tom's Guide: Total phone hijack: New Hugging Face malware grants hackers full remote access

^[13] Borns IT- und Windows-Blog: Unsecured Database Leaks 149 Million Passwords (Gmail, Instagram, Netflix)

^[14] The Cryptonomist: Global cybersecurity alarm as binance leak exposes 420,000 crypto accounts in...

^[15] Rod Trent (Substack): Security Check-in Quick Hits: MoltBot AI Risks, 149M Credential Leak, VMware ...

^[23] Rod's Blog (Substack): Security Check-in Quick Hits: MoltBot AI Risks, 149M Credential Leak, VMware ...

^[24] Rod Trent (Substack): Security Check-in Quick Hits: MoltBot AI Risks, 149M Credential Leak, VMware ...

^[25] Rod's Blog (Substack): Security Check-in Quick Hits: MoltBot AI Risks, 149M Credential Leak, VMware ...

^[30] NDTV World: Amid Claims Around Sentient AI, Sundar Pichai's Comment On Models 'Unexpected...

^[46] Yahoo / Engadget: Privacy Settings and Cookie Policy Notice

^[83] AOL: Your privacy choices