Hơn 4 tỷ hồ sơ người dùng trên Internet bao gồm tài khoản mạng xã hội (Facebook, Twitter, LinkedIn...) địa chỉ email và số điện thoại bị phát hiện trên máy chủ Elaticsearch, có thể truy cập bởi kỳ ai. Điều thậm chí kỳ lạ hơn, không ai biết chắc làm thế nào trang web này có một lượng lớn dữ liệu như vậy.
Nhiều mối hiểm họa từ việc rò rỉ thông tin. Ảnh: Mashable.
Cụ thể, vào tháng 10, 2 chuyên gia an ninh mạng Bob Diachenko và Vinny Troia đã phát hiện ra vụ rò rỉ. 4 TB dữ liệu họ tìm thấy chứa thông tin 4 tỷ tài khoản, 650 triệu địa chỉ email. Chúng ảnh hưởng đến 1,2 tỷ người.
Tuy nhiên, rất may là dữ liệu không bao gồm những thứ nhạy cảm như mật khẩu hay số thẻ tín dụng. Vinny Troia cũng nói rằng máy chủ đã dừng hoạt động và anh ta đã báo cáo vụ việc này tới FBI.
Mặc dù không biết làm thế nào dữ liệu xuất hiện trên máy chủ này, nhưng Troia phát hiện ra vài điều. Đầu tiên, thông tin đến từ nhiều nguồn tổng hợp lại, một số từ nhà môi giới - People Data Labs (PDL) cung cấp cho các thương hiệu để quảng cáo sản phẩm.
Thứ 2, máy chủ mà thông tin được tìm thấy không thuộc về PDL. Trong khi, máy chủ chứa dữ liệu bí ẩn kia đang cư trú một nơi nào đó thiếu sự bảo vệ, có lẽ trên Google Cloud hoặc Amazon Web Services.
Troia cũng nói rằng có thể một số dữ liệu đến từ các nhà môi giới dữ liệu khác. Oxydata một công ty phân phối thông tin đã phủ nhận rằng họ không vi phạm dữ liệu điều đó nghĩa là nó được lấy hoàn toàn hợp pháp.
Để giúp vụ việc làm sáng tỏ, Troia đã cung cấp dữ liệu cho dịch vụ thanh toán bù trừ HaveIBeenPwned. Nó cho phép người dùng xem liệu tài khoản của họ có bị xâm phạm hay không.
Điều đáng sợ nhất, như Troia chỉ ra, nếu đây thực sự chỉ là sai lệch về dữ liệu hợp pháp thì sẽ không có gì xảy ra. Chẳng ai bị bắt và những kẻ buôn bán tráo trở vẫn nhởn nhơ ngoài kia. "Vì những lo ngại về quyền riêng tư, các nhà cung cấp dịch vụ đám mây sẽ không chia sẻ bất kỳ thông tin nào về khách hàng của họ, khiến vụ việc đi đến ngõ cụt", Troia chia sẻ.
"Các cơ quan như FBI có thể yêu cầu thông tin này thông qua quy trình pháp lý, nhưng họ không được thẩm quyền buộc các tổ chức phải tiết lộ chi tiết vì chưa xuất hiện dấu hiệu rò rỉ thông tin", ông cũng nói thêm.