Sáng 23/4, dẫn thông tin từ SITE Intelligence Group, The Washington Post cho biết, ai đó (chưa xác định) đã chia sẻ gần 25.000 địa chỉ email kèm mật khẩu lên mạng internet. Các thông tin này được cho là của Viện Y tế Quốc gia Hoa Kỳ (NIH), Tổ chức Y tế Thế giới (WHO), quỹ Gates Foundation và các nhóm khác hoạt động trong "cuộc chiến" chống lại đại dịch COVID-19.
Theo báo cáo của SITE, nhóm email và mật khẩu bị rò rỉ nhiều nhất là của NIH với 9.938. Trung tâm Kiểm soát và Phòng ngừa dịch bệnh Hoa Kỳ (CDC) có số lượng cao thứ hai với 6.857. Ngân hàng Thế giới có 5.120 địa chỉ email được tìm thấy trong dữ liệu rò rỉ. Còn danh sách các địa chỉ và mật khẩu liên quan tới WHO là 2.732.
Mặc dù SITE không thể xác minh liệu các địa chỉ email và mật khẩu rò rỉ có thật hay không, nhưng họ cho biết thông tin được công bố hôm Chủ nhật và thứ Hai đã ngay lập tức được kẻ gian sử dụng để cố gắng thực hiện các cuộc tấn công mạng cũng như quấy rối.
Trong khi đó, một chuyên gia an ninh mạng của Úc, Robert Potter cho biết, ông có thể xác minh các địa chỉ email và mật khẩu của WHO như rò rỉ là có thật. Về phía WHO, cơ quan này cũng đã chính thức xác nhận việc rò rỉ ít nhất 6.835 địa chỉ email, nhưng chỉ 457 trong số đó là còn hiệu lực và khớp với mật khẩu. Hiện, 457 địa chỉ email nói trên đều đã được thay đổi mật khẩu.
Ngân hàng Thế giới từ chối bình luận, trong khi CDC không trả lời yêu cầu bình luận. Quỹ Gates Foundation thì cho biết trong một tuyên bố rằng: "Chúng tôi đang theo dõi tình hình cùng với việc đánh giá bảo mật dữ liệu của chúng tôi. Hiện, chúng tôi không nhận thấy dấu hiệu vi phạm dữ liệu".
Nguy cơ xâm nhập trái phép từ việc để lộ địa chỉ email và mật khẩu là khó lường, vì chính phủ và các tổ chức kinh doanh thường sử dụng xác thực nhiều lớp, như yêu cầu mã OTP tạm thời hoặc khóa vật lý để truy cập hệ thống máy tính - ngay cả khi kẻ tấn công có mật khẩu hợp lệ. Thực tế, các cơ quan Chính phủ Hoa Kỳ sử dụng xác thực nhiều lớp rộng rãi, mặc dù không phải triển khai ở tất cả các cơ quan trên toàn cầu.