Nhà sản xuất chip NXP của Hà Lan gần đây đã gặp phải một vụ vi phạm khiến nhiều thông tin cá nhân về khách hàng của mình bị lộ. Một vụ vi phạm hồi đầu năm nay đã đánh cắp thông tin về các vụ án, nhân viên và nghi phạm từ Cơ quan Cảnh sát Hoa Kỳ. Các nhà phát triển tại Roblox đã nhận được các cuộc điện thoại quấy rối sau khi công ty đó bị vi phạm an ninh. Vi phạm dữ liệu tại một công ty quản lý mật khẩu lớn có thể ảnh hưởng đến mọi người trên toàn thế giới. Bất kể loại vi phạm nào, dữ liệu của bạn có thể là hành vi tiếp theo.
Chúng tôi ở đây để giúp bạn hiểu vi phạm dữ liệu là gì và đưa ra một số mẹo để bảo vệ cuộc sống cá nhân của bạn khỏi những tác động tồi tệ nhất của vi phạm dữ liệu.
Kẻ trộm dữ liệu muốn gì?
Hãy hình dung một băng nhóm tội phạm đang lái một chiếc xe bọc thép chở đầy những két sắt có giá trị. Có vẻ như họ đã kiếm được một khoản lợi nhuận lớn, nhưng trên thực tế, họ không biết ai sở hữu từng chiếc két sắt, họ không biết bên trong có gì, và họ phải mất nhiều năm ánh sáng mới tìm ra được sự kết hợp. Điều đó rất giống với những gì xảy ra khi kẻ trộm dữ liệu nắm giữ kho dữ liệu được mã hóa từ trình quản lý mật khẩu hoặc công ty tương tự. Khi được triển khai đúng cách, chỉ chủ sở hữu mới có thể mở kho tiền như vậy và tất cả quá trình giải mã diễn ra cục bộ trên thiết bị của chủ sở hữu.
Khi đối mặt với một chiếc két sắt bí ẩn hoặc một khối dữ liệu được mã hóa không xác định, kẻ trộm có khả năng chuyển sang các mục tiêu dễ dàng hơn. Tuy nhiên, ngay cả một chút thông tin bổ sung cũng có thể giúp việc bẻ khóa an toàn dễ dàng hơn. Ví dụ: trong vụ vi phạm LastPass mới nhất, kẻ trộm đã lấy được các phiên bản URL không được mã hóa của mật khẩu trong vault. Điều đó làm cho việc đoán mật khẩu chính trở nên dễ dàng hơn và tất nhiên, khi kẻ trộm có trong tay bản sao kho tiền của bạn, chúng có thể dành bất kỳ khoảng thời gian nào để cố gắng bẻ khóa nó.
Điều gì xảy ra nếu dữ liệu của bạn bị đánh cắp do vi phạm?
Trong một loại vi phạm khác, kẻ trộm có thể nắm giữ toàn bộ hoặc một phần danh sách khách hàng của công ty. Dù họ đột nhập vào văn phòng và lấy danh sách trên giấy hay đột nhập vào cơ sở dữ liệu trực tuyến, kết quả đều như nhau. Trong trường hợp tốt nhất, họ chỉ nhận được những thông tin chi tiết không riêng tư như tên, địa chỉ, số điện thoại và email của bạn. Đúng, họ có thể bán thông tin đó cho các nhà môi giới và tổng hợp dữ liệu. Họ có thể nhận được danh sách các giao dịch mua hàng của bạn, điều này cũng được các nhà môi giới quan tâm.
Có thể dữ liệu bị đánh cắp có thể bao gồm số thẻ tín dụng của bạn, nhưng đó không phải là điều đáng lo ngại như bạn nghĩ. Giao thức Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI-DSS) lâu đời xác định tính bảo mật của các giao dịch thẻ tín dụng một cách cực kỳ chi tiết và nó hoạt động hầu hết mọi lúc, miễn là các doanh nghiệp tuân thủ các quy tắc. Trong mọi trường hợp, bạn không phải trả các khoản phí gian lận trên thẻ tín dụng của mình (ít nhất là ở Hoa Kỳ). Chi tiết thẻ tín dụng của bạn thường nằm ở nhà cung cấp bên thứ ba chứ không phải ở người bán mà bạn đã thanh toán.
Người bán trực tuyến và các trang web khác có nhiệm vụ bảo vệ chi tiết tài khoản của bạn. Nhiều người làm rất tốt, mã hóa tất cả dữ liệu và sử dụng các kỹ thuật Zero Knowledge cho phép họ xác thực mật khẩu đăng nhập của bạn mà không cần biết hoặc lưu trữ mật khẩu đó. Nhưng nếu một trang web lưu trữ mật khẩu của bạn không an toàn đến mức bị lộ do vi phạm thì bạn sẽ mất quyền kiểm soát tài khoản đó. Tùy thuộc vào loại trang web, tin tặc có thể đặt hàng, thực hiện chuyển khoản ngân hàng, gửi email dưới tên của bạn và thậm chí khóa bạn bằng cách thay đổi mật khẩu.
Nó trở nên tồi tệ hơn theo hai cách. Đầu tiên, nếu bạn chưa tìm cách tranh thủ sự trợ giúp của trình quản lý mật khẩu, bạn có thể sử dụng cùng một mật khẩu trên nhiều trang web. Tin tặc biết điều này và nhanh chóng kiểm tra thông tin đăng nhập bị đánh cắp trên các trang web phổ biến khác. Thứ hai, nếu họ có quyền truy cập vào tài khoản email của bạn, họ thường có thể sử dụng cơ chế đặt lại mật khẩu tiêu chuẩn để chiếm được nhiều tài khoản trực tuyến của bạn hơn. Một hành vi vi phạm làm lộ mật khẩu của bạn có thể nhanh chóng chuyển thành hành vi trộm cắp danh tính toàn diện.
Phần mềm chống trộm danh tính tốt nhất mà chúng tôi đã thử nghiệm
Xem tất cả (5 sản phẩm)
Ngay cả khi xác thực Zero Knowledge không được triển khai một cách hoàn hảo, nó sẽ tạo ra những trở ngại nghiêm trọng cho những kẻ bất lương đang cố gắng bẻ khóa bảo mật. Ngược lại, khi các công ty bỏ qua công nghệ này, kết quả có thể rất thảm khốc. Thông tin chi tiết vẫn đang được tiết lộ, nhưng có vẻ như công ty anh em LastPass GoTo cũng đã bị hack, làm mất dữ liệu của người dùng một số dòng sản phẩm của họ, bao gồm cả các bản sao lưu được mã hóa. Một tuyên bố của công ty tiết lộ rằng “một kẻ đe dọa đã lấy được khóa mã hóa cho một phần bản sao lưu được mã hóa”. Đúng rồi. Với Zero Knowledge, công ty không bao giờ lưu trữ hoặc xem mật khẩu giải mã duy nhất của mỗi người dùng. Nhưng trong trường hợp này, có vẻ như mật khẩu duy nhất được lưu trữ gần với dữ liệu được mã hóa, giống như viết mã số két sắt lên cửa.
Cơ sở dữ liệu bị hack như thế nào?
Tôi đã yêu cầu một chương trình tạo hình ảnh AI vẽ ra “một hacker có quyền truy cập vào cơ sở dữ liệu được mã hóa”. Không có gì ngạc nhiên khi tất cả các kết quả đều mô tả một nhân vật mặc áo hoodie đang viết mã trong khi kiểm tra vô số dòng ký tự khó hiểu. Mức độ hack này có xảy ra nhưng trong đời thực, việc đột nhập vào tài khoản có thể đơn giản hơn nhiều.
Vi phạm Trình quản lý mật khẩu Norton là một ví dụ điển hình. Những kẻ tấn công không vi phạm tính bảo mật của Norton và không đánh cắp dữ liệu được mã hóa. Thay vào đó, họ sử dụng tên người dùng và mật khẩu từ các vụ trộm khác để bắt đầu một quá trình gọi là nhồi thông tin xác thực. Nó rất đơn giản. Họ chỉ sử dụng một tập lệnh để thử hàng nghìn tổ hợp tên người dùng và mật khẩu, cẩn thận ghi nhận một số tổ hợp mang lại quyền truy cập vào tài khoản của ai đó. Một vi phạm PayPal năm 2023 cũng liên quan đến việc nhồi thông tin xác thực.
Nhóm đã đánh cắp kho dữ liệu được mã hóa từ LastPass vẫn còn lớn và họ có thể cố gắng không ngừng để đoán mật khẩu chính sẽ mở các kho dữ liệu đó. Sẽ không mất nhiều thời gian để thử hàng trăm (hoặc nghìn) mật khẩu phổ biến nhất đối với từng kho lưu trữ. Nếu nỗ lực này phá hủy được dù chỉ một mục tiêu trong một trăm mục tiêu thì bọn trộm đang làm rất tốt.
Bạn muốn vào két sắt? Chỉ cần ăn cắp sự kết hợp. Tin xấu mới nhất từ LastPass tiết lộ rằng một hacker quyết tâm và tập trung đã cài đặt phần mềm độc hại keylogger trên máy tính cá nhân của một kỹ sư cấp cao, một trong bốn người duy nhất nắm giữ chìa khóa của dữ liệu công ty cực kỳ nhạy cảm. Kiểu tấn công có mục tiêu này không phổ biến nhưng rõ ràng nó có hiệu quả.
Bạn có thể làm gì sau khi vi phạm dữ liệu?
Thật dễ dàng để coi những tin tức mới nhất chỉ là một vụ vi phạm dữ liệu nhàm chán khác, nhưng bạn thực sự nên chú ý. Bạn có tài khoản hoặc kết nối khác với thực thể bị vi phạm không? Sự vi phạm nghiêm trọng đến mức nào? Một bài báo đôi khi sẽ đánh vần nó, có thể không nêu rõ điều gì ngoài email và địa chỉ thực của khách hàng đã bị lộ (ôi!) hoặc việc vi phạm liên quan đến thông tin tài chính cụ thể. Trong những câu chuyện khác, bạn sẽ thấy ít chi tiết hơn, vì công ty bị ảnh hưởng vẫn chưa biết những gì đã mất hoặc vì họ không muốn thừa nhận điều đó.
Một điều bạn không thể làm là đợi một thực thể bị vi phạm cho bạn biết liệu bạn có bị ảnh hưởng hay không. Một vụ hack như thế này vừa đáng xấu hổ vừa tốn kém. Vì lý do pháp lý, các công ty nạn nhân rất thận trọng với những gì họ tiết lộ. Trong một số trường hợp, một luật sư giỏi có thể đưa ra một tuyên bố như “Xin lỗi, chúng tôi đã làm mất dữ liệu của bạn” thành một vụ kiện tập thể. Trong trường hợp đó, chỉ cần giả sử dữ liệu của bạn đã bị vi phạm.
Nếu bạn có tài khoản với công ty bị vi phạm, hãy thay đổi mật khẩu của bạn. Hiện nay! Việc bạn có chắc chắn mình đã bị lộ hay không không quan trọng. Cứ làm đi. Đừng trở thành một trong sáu người Mỹ vô tình không làm gì sau khi vi phạm. Sử dụng mật khẩu mạnh, duy nhất do trình quản lý mật khẩu của bạn tạo.
Đừng dừng lại ở đó—hãy tìm kiếm trình quản lý mật khẩu của bạn để tìm bất kỳ trang web nào khác mà bạn đã sử dụng mật khẩu bị lộ và sửa các mật khẩu đó. Đây là một hành động quan trọng về mặt thời gian. Kẻ trộm dữ liệu không thể truy cập đồng thời mọi tài khoản bị đánh cắp và nếu hành động nhanh chóng, bạn có thể vượt lên trước chúng.
Được đề xuất bởi các biên tập viên của chúng tôi
Trong khi bạn mở trang web (hoặc các trang web) bị ảnh hưởng, hãy kiểm tra xem liệu xác thực đa yếu tố (MFA) có phải là một tùy chọn hay không. MFA là vũ khí mạnh nhất của bạn để chống lại việc chiếm đoạt tài khoản. Kích hoạt nó nếu có. Khi đó, việc đăng nhập sẽ yêu cầu cả mật khẩu của bạn và một yếu tố khác, chẳng hạn như ứng dụng xác thực trên điện thoại hoặc khóa bảo mật vật lý. Mật khẩu bị đánh cắp sẽ vô ích nếu không có yếu tố bổ sung đó.
Ngay cả sau khi bạn thay đổi mật khẩu, hãy để mắt đến công ty bị ảnh hưởng trong một thời gian. Đăng nhập và kiểm tra xem mọi lệnh hoặc hành động đang chờ xử lý có phải là việc bạn đã làm không. Xem liệu công ty có đưa ra bất kỳ hình thức bồi thường nào cho nạn nhân hay không. Việc cung cấp cho bạn đăng ký theo dõi tín dụng miễn phí không phải là điều không cần thiết. Sau vụ vi phạm Experian vào năm 2015, Experian đã cung cấp cho nạn nhân hai năm dịch vụ giám sát báo cáo tín dụng và giải quyết danh tính.
Nếu kho quản lý mật khẩu của bạn bị đánh cắp thì đó là tin xấu. Mọi thứ đặc biệt rắc rối nếu công ty bị ảnh hưởng không tuân thủ chính xác các giao thức Zero Knowledge hoặc nếu bạn bảo vệ mật khẩu của mình bằng mật khẩu chính yếu hoặc được sử dụng lại. Việc thay đổi mật khẩu của bạn sẽ không ngăn được kẻ trộm cố gắng bẻ khóa bảo mật vì dữ liệu bị đánh cắp vẫn mở bằng mật khẩu cũ. Điều tương tự cũng đúng với việc thêm MFA sau thực tế. Cách giải quyết thực sự duy nhất của bạn là chuyển sang một trình quản lý mật khẩu đáng tin cậy hơn và sau đó nhanh chóng tạo ra các mật khẩu mới, duy nhất cho mỗi trang web an toàn.
Cách bảo vệ bản thân trước hành vi vi phạm dữ liệu
Như đã lưu ý, các cuộc tấn công nhồi thông tin xác thực chỉ cần sử dụng một tập lệnh tự động kiểm tra nhanh chóng các mật khẩu phổ biến nhất đối với nhiều tài khoản. Nếu bạn đang cố gắng ghi nhớ mật khẩu mà không có sự trợ giúp, rất có thể bạn đang rút ra từ một nhóm mật khẩu tệ nhất hoặc sử dụng cùng một mật khẩu ở mọi nơi. Đó là một vấn đề lớn. Hãy tải ngay trình quản lý mật khẩu và bắt đầu sử dụng nó. Chọn một tổ chức tập trung mạnh vào bảo mật, đặc biệt là bảo mật Zero Knowledge. Không có Kiến thức có nghĩa là không ai khác có thể mở kho tiền của bạn, không phải công ty mật khẩu, không phải một nhân viên bất mãn, thậm chí không phải NSA.
Trình quản lý mật khẩu tốt nhất mà chúng tôi đã thử nghiệm
Xem tất cả (4 mục)
Chọn trình quản lý mật khẩu cung cấp báo cáo bảo mật mật khẩu có thể thực hiện được. Nếu bạn đã được trang bị một công cụ như vậy, hãy sử dụng nó. Thay thế tất cả mật khẩu yếu bằng mật khẩu mạnh. Khi báo cáo hiển thị mật khẩu trùng lặp, hãy tạo mật khẩu mới cho mỗi trang web. Đừng trì hoãn việc này; bạn không biết lần vi phạm tiếp theo sẽ xảy ra ở đâu.
Bạn đã nghe điều này trước đây, nhưng tôi sẽ nói lại lần nữa. Bảo vệ kho tàng mật khẩu của bạn bằng mật khẩu dài, mạnh và dễ nhớ. Sau đó, thêm xác thực đa yếu tố. Nếu bạn được lựa chọn, xác thực bằng ứng dụng điện thoại thông minh hoặc khóa bảo mật vật lý sẽ tốt hơn loại xác thực dựa vào việc nhắn tin cho bạn một mã. Sau khi hoàn thành những nhiệm vụ đó, bạn nên quay lại và bật MFA cho mọi tài khoản hỗ trợ nó.
Các trang web mua sắm và những trang tương tự không thể tiết lộ dữ liệu cá nhân mà họ không có. Có, thật thuận tiện khi cho phép trang web lưu thông tin giao hàng và thẻ tín dụng của bạn, nhưng khi có sự lựa chọn, hãy từ chối sự tiện lợi đó. Bạn luôn có thể sử dụng trình quản lý mật khẩu của mình để điền dữ liệu đó nếu cần. Và nếu một trường không được đánh dấu là bắt buộc, hãy để trống.
Trừ khi bạn cắt đứt mọi liên lạc với thế giới kỹ thuật số, nếu không thông tin cá nhân của bạn sẽ bị rải rác khắp nơi trên web. Một số trang web lưu giữ dữ liệu quý giá của bạn không bảo vệ dữ liệu đó đúng cách, điều này thường dẫn đến vi phạm. Bạn không thể ngăn điều đó xảy ra nhưng bạn có thể giảm thiểu rủi ro bằng cách làm theo các đề xuất của chúng tôi và tối đa hóa cơ hội phục hồi bằng cách chú ý khi xảy ra vi phạm và hành động ngay lập tức.
Giống như những gì bạn đang đọc?
Đăng ký nhận bản tin SecurityWatch để biết những câu chuyện hàng đầu về quyền riêng tư và bảo mật của chúng tôi được gửi thẳng đến hộp thư đến của bạn.
Bản tin này có thể chứa quảng cáo, giao dịch hoặc liên kết liên kết. Đăng ký nhận bản tin thể hiện sự đồng ý của bạn với Điều khoản sử dụng và Chính sách quyền riêng tư của chúng tôi. Bạn có thể hủy đăng ký nhận bản tin bất cứ lúc nào.
Đăng ký của bạn đã được xác nhận. Hãy chú ý đến hộp thư đến của bạn!
Đăng ký nhận bản tin khác