Sốc với... Yahoo: Hơn 200 triệu thông tin người dùng bị tin tặc rao bán

• Thiếu kinh nghiệm, hay tham miếng mồi ngon?
• Công bố 3 số điện thoại nóng của ngành y tế Hà Nội
• Verizon mua lại Yahoo với giá 4,8 tỷ USD

Tin tặc đã cứa thêm một nhát dao vào nỗi đau thất bát của Yahoo

Có biệt danh Peace_of_Mind, tin tặc nói trên từng gây ra những vụ tấn công mạng đình đám, và đánh cắp dữ liệu từ hàng loạt hệ thống website như LinkedIn, MySpace, Tumblr, Fling.com và VK.com.

Tính từ năm 2012 tới nay, Peace_of_Mind đã đánh cắp thông tin của tổng cộng hơn 800 triệu người dùng, và thu lời khoảng hơn 65.000 USD.

Được biết, ở vụ rao bán dữ liệu người dùng Yahoo ăn cắp nói trên, Peace_of_Mind đòi giá 3 Bitcoin (khoảng 1.860 USD). Người mua sẽ được sở hữu bộ thông tin gồm tên đăng nhập, mật khẩu mã hóa MD5 và ngày sinh. Một số bản ghi còn chứa cả địa chỉ email backup, quốc gia và mã zip. Tuy nhiên, các dữ liệu khá cũ, từ năm 2012.

Điều đáng lo ngại là dù mật khẩu được mã hóa thì hiện giờ, thuật mã MD5 rất dễ để giải mã.

“Chúng tôi đã biết về đòi hỏi tiền chuộc của tin tặc. Chúng tôi cam kết bảm vệ an ninh thông tin của người dùng, và sẽ xử lý bất kỳ đòi hỏi nào kiểu như vậy một cách cẩn trọng. Đội ngũ an ninh của chúng tôi đang làm việc để xác định cụ thể sự việc. Yahoo luôn nỗ lực hết mình để giữ cho người dùng được an toàn, và chúng tôi khuyến khích người dùng tạo các mật khẩu mạnh, hoặc bỏ hẳn việc dùng mật khẩu để chuyển sang phương thức Yahoo Account Key. Cùng với đó, người dùng cũng được khuyên sử dụng các mật khẩu khác nhau ở các dịch vụ khác nhau”, Yahoo tuyên bố qua SoftPedia.

Tin tặc thậm chí đã chuyển một bộ dữ liệu mẫu gồm 5.000 bản ghi cho báo giới để khẳng định “không có ý chơi đùa”. Trang Motherboard đã thử nghiệm đăng nhập khoảng 20 tài khoản Yahoo và thấy đều chính xác. Nhưng khi các phóng viên thử liên hệ qua email với những tài khoản trong diện bị lộ thông tin, thì rất nhiều trong số đó trả email lại với thông báo “không thể chuyển được”.

Theo phán đoán của giới chuyên gia, có thể Yahoo đã tạm thời vô hiệu hóa các tài khoản bị đánh cắp thông tin, cũng như thiết lập yêu cầu bắt buộc phải thiết lập lại mật khẩu đối với người dùng, để đảm bảo an toàn tài khoản.