Một cơ sở dữ liệu khổng lồ chứa hơn 19 tỷ mật khẩu người dùng đã bị công khai, theo báo cáo mới nhất từ công ty an ninh mạng Cybernews (Lithuania). Dữ liệu này được cho là tập hợp từ hơn 200 vụ vi phạm bảo mật chỉ trong vòng một năm trở lại đây (tính đến tháng 4/2025), đánh dấu một trong những vụ lộ lọt thông tin xác thực lớn nhất từng được ghi nhận.
Điểm đáng lo ngại là cơ sở dữ liệu này không đơn thuần là một tập hợp mật khẩu rời rạc, mà chứa thông tin định danh cụ thể – mật khẩu gắn liền với địa chỉ email. Điều này tạo điều kiện thuận lợi cho các chiến dịch tấn công quy mô lớn như brute-force (thử mật khẩu hàng loạt) hay credential stuffing (tái sử dụng thông tin đăng nhập bị lộ).
Phân tích của Cybernews cho thấy chỉ khoảng 6% trong số 19 tỷ mật khẩu là duy nhất, tương đương hơn 1,1 tỷ dữ liệu mật khẩu. Điều đó đồng nghĩa với việc hơn 94% mật khẩu còn lại đã bị tái sử dụng ở nhiều tài khoản, nhiều nền tảng – một thói quen bảo mật yếu kém tồn tại dai dẳng của người dùng toàn cầu.
Không chỉ trùng lặp, các mật khẩu này còn có độ phức tạp rất thấp. Gần một nửa có độ dài chỉ từ 8 đến 10 ký tự – vốn dễ dàng bị bẻ khóa trong vòng vài chục giây bởi các công cụ tự động hiện nay. Đáng ngại hơn, có tới 27% mật khẩu chỉ bao gồm chữ thường và số, hoàn toàn không đáp ứng các tiêu chuẩn cơ bản về độ mạnh mật khẩu.
Cybernews cũng cảnh báo về sự phổ biến của các mật khẩu mặc định như “admin” hay “password” – vẫn đang được sử dụng ở hàng chục triệu tài khoản. Đây là những chuỗi ký tự luôn nằm trong danh sách thử nghiệm đầu tiên của các công cụ tấn công tự động, cho thấy người dùng chưa có sự chuyển biến rõ rệt trong nhận thức về rủi ro bảo mật.
