Vào ngày 24/4 mới đây, một forum về cơ sở dữ liệu web bất ngờ đăng tải thông tin cùng đường link dẫn đến một tập tin cơ sở dữ liệu, mà theo chủ nhân bài đăng thì tập tin này có chứa hơn 163 triệu tài khoản Zing ID của công ty VNG Việt Nam. Liệu rằng các tài khoản này đã bị rò rỉ?
Cụ thể, tập tin cơ sở dữ liệu "nhạy cảm" này đã được đăng tải lên diễn đàn "RAIDForums" bởi thành viên có tên là Ttestwahaha". Người đăng tin này cũng cho biết, cơ sở dữ liệu này có tổng cộng 163.666.400 hàng dữ liệu cả thảy, là số lượng các tài khoản Zing ID đã bị rò rỉ. Còn các cột trong cơ sở dữ liệu này bao gồm: passportid, accountname, password, gamecode, email, telephone, fullname, birthday, address, IP, regdate, regproductid, regaccountstatus, countryid và cityid. Toàn bộ cơ sở dữ liệu này đã được nén lại thành một tập tin, có dung lượng 7.55 GB và sau đó được cắt ra thành từng tập tin nhỏ hơn để tiện cho việc chia sẻ.
Theo nhận định của giới chuyên gia, cơ sở dữ liệu này "có những dấu hiệu đáng nghi ngờ", bởi không thể nào có chuyện một công ty lớn như VNG lại lưu trữ toàn bộ thông tin người dùng từ tất cả các công ty con vào cùng một cơ sở dữ liệu được. Hoặc cho dù họ có lưu trữ thông tin trong các cơ sở dữ liệu khác nhau, thì việc tải về và ghép chúng lại vào một cơ sở dữ liệu chung duy nhất, với định dạng thống nhất là một công việc cực kỳ tốn thời gian và công sức.
Thông tin hơn 163 triệu tài khoản Zing ID có nguy cơ bị rò rỉ trên diễn đàn. |
Trước sự việc nghiêm trọng này, phía công ty VNG cho biết, họ đã biết đến việc này và hiện đang cùng Bộ Công an tiến hành các biện pháp kiểm tra, kiểm chứng xem liệu thực sự có các dữ liệu nhạy cảm liên quan đến nhiều dịch vụ của hãng, trong đó có dịch vụ nhắn tin Zalo (cực kỳ phổ biến hiện nay), có bị lộ, lọt hay không.
Đến thời điểm này, đường link dẫn đến cơ sở dữ liệu nêu trên đã bị xóa, và chủ đề mà thành viên "Testwahaha" đã đăng trên "RAIDForums" cũng đã bị các quản trị viên xóa bỏ.
Liên quan đến thông tin trên, VNG cũng cho biết, Zing ID là hệ thống quản lý tài khoản cho các sản phẩm game của VNG. Vào năm 2015, VNG đã ghi nhận việc 160 triệu Zing ID có nguy cơ bị rò rỉ và có thể ảnh hưởng tới một bộ phận tệp khách hàng chơi game của công ty. Tuy nhiên, ngay tại thời điểm đó, VNG đã kịp thời có các biện pháp xử lý, ngăn chặn xâm nhập, giới hạn số lượng người dùng bị ảnh hưởng bởi sự cố thông qua các biện pháp kỹ thuật.
"Phạm vi người dùng bị tác động thực sự bởi sự cố này không lớn, tập trung ở các khách hàng chơi game và không ảnh hưởng tới các sản phẩm khác của VNG. Hơn nữa, gần 99% số tài khoản Zing ID nói trên đã không phát sinh hoạt động nào trong hơn 1 năm trở lại đây. Dù vậy, chúng tôi thực sự rất lấy làm tiếc và chân thành xin lỗi khách hàng vì sự bất tiện này", đại diện VNG nhấn mạnh.
Cũng trong thông tin mới phát ra, VNG cho biết, từ đêm 26/4, bằng các biện pháp kỹ thuật nghiệp vụ và sự cảnh báo kịp thời của cộng đồng các chuyên gia an toàn thông tin Việt Nam, đội ngũ kỹ sư của VNG đã nhận diện được động thái bất thường liên quan đến vụ việc của năm 2015. Ngay lập tức, VNG đã gấp rút triển khai các biện pháp tức thời như kiểm chứng thông tin, tăng cường bảo mật hệ thống game, cũng như họp bàn chuẩn bị các giải pháp lâu dài, gốc rễ cho vấn đề, trên tinh thần ưu tiên bảo vệ quyền lợi của tất cả các khách hàng.
"Chúng tôi cam kết sẽ luôn đảm bảo quyền lợi và sự an toàn cho khách hàng, đồng thời sẽ giải quyết triệt để cho khách hàng nếu như có bất cứ vấn đề nào phát sinh, và cũng rất mong người dùng sẽ phối hợp cùng VNG bảo vệ thông tin cá nhân của mình bằng những hướng dẫn cụ thể mà chúng tôi đã gửi tới người dùng khi sử dụng dịch vụ", VNG nhấn mạnh.
Có thể thấy, cơ sở dữ liệu này chứa rất nhiều thông tin nhạy cảm như tên đăng nhập và mật mã người dùng, số điện thoại, tên riêng, ngày sinh, địa chỉ,... Đáng chú ý hơn, mật mã người dùng được lưu trữ dưới dạng MD5 nhưng có thể đảo ngược được. Theo người đăng tin - "Testwahaha", vị này cũng nhấn mạnh rằng, cơ sở dữ liệu nói trên hoàn toàn có thể được mở bằng các chương trình đơn giản như Notepad++ hay EmEditor chứ không khó khăn gì.
Vụ việc này đã thực sự "gióng tiếp hồi chuông cảnh báo" về an ninh mạng cũng như việc bảo mật thông tin cá nhân của người dùng đối với bất cứ tổ chức, doanh nghiệp nào trong thời đại công nghệ hiện nay.