Vụ lộ 160 triệu tài khoản của VNG

Cập nhật 2/5/2018: con số tài khoản có thông tin cá nhân tăng từ 34 triệu lên 75 triệu vì tôi tính luôn những tài khoản có tên và ngày sinh. Tôi thấy tính như vầy chính xác hơn.

Cập nhật 5/5/2018: vào đây để xem có lộ thông tin hay không. Công cụ do bạn Quân Nguyễn Đức làm.

Cập nhật 9/5/2018: Google đã gửi thông báo cho khoảng 500.000 người có tài khoản Gmail bị lộ mật khẩu.

Cuối tuần rồi, ngay trước kỳ nghỉ lễ dài ngày ở Việt Nam, một người nào đó tung lên mạng bộ cơ sở dữ liệu người dùng của VNG, công ty game và Internet lớn nhất Việt Nam. Tôi tìm được một bản copy và tôi đánh giá đây là dữ liệu thật, trải dài từ 2005 đến giữa năm 2015, chứa khoảng 160 triệu tài khoản, bao gồm thông tin cá nhân, mật khẩu và câu trả lời cho câu hỏi bí mật. Đây là vụ lộ dữ liệu lớn nhất trong lịch sử ở Việt Nam, có thể xem là một vụ Equifax của Việt Nam. Nếu bạn từng chơi game hay sử dụng các sản phẩm của VNG, bạn nên đổi mật khẩu và câu trả lời cho câu hỏi bí mật càng sớm càng tốt.

Nếu có thời gian tôi sẽ làm một website để mọi người có thể tự kiểm tra xem thông tin cá nhân và mật khẩu của mình có bị lộ hay chưa. Kỳ thực tôi hi vọng VNG sẽ làm chuyện này. VNG nói rằng họ biết vụ lộ thông tin này từ năm 2015 và đã khóa các tài khoản liên quan, nhưng tôi không thấy họ nói họ đã thông báo cho các khách hàng bị ảnh hưởng. Một sự cố như vầy có thể ảnh hưởng đến sự an toàn và riêng tư của hàng chục triệu người, vì rất nhiều người chỉ sử dụng một mật khẩu duy nhất, bị lộ ở một nơi là coi như lộ hết tất cả tài khoản ở các nơi khác. Ở California vừa rồi Yahoo! bị phạt 35 triệu đôla Mỹ vì đã "ém" một sự cố tương tự.

Trong số 160 triệu tài khoản có khoảng 75 triệu tài khoản có thông tin có thể xác định chính xác từng người (dân trong nghề gọi là PII - personally identifiable information): tên, ngày sinh, email, số điện thoại, số chứng minh thư hoặc địa chỉ.

Ngoài PII ra còn có thông tin nhạy cảm là mật khẩu. Mật khẩu được lưu trữ ở một định dạng rất dễ bẻ khóa. Trong hai ngày cuối tuần, tôi đã bẻ khóa được hơn 124 triệu tài khoản. Tôi không sử dụng công cụ hay công nghệ gì đặc biệt, tất cả đều là phần mềm tải về từ Internet, chạy trên chiếc laptop cùi bắp đời 2015. Một người trang bị tốt hơn và có nhiều thời gian hơn sẽ không mất nhiều thời gian để bẻ khóa 99% mật khẩu.

Vì dữ liệu mà tôi có không hoàn hảo, trong các thống kê dưới đây tôi chỉ tập trung vào 75 triệu tài khoản này, số tài khoản còn lại tôi thấy phần lớn là tài khoản bot chơi game tự động, nên cũng không có nhiều thông tin thú vị.




Tiếp theo: Người Việt Nam chọn mật khẩu như thế nào?

Comments

Unknown said…
Hiện tại, Database đó rất nhiều người hóng, trong đó cũng có rất nhiều người download =)).
Và nó được bán với giá 8 credit và 8$ = 30 credit. Và cũng có rất nhiều người Việt Nam tải về chứ :)). Haha.
An Phu said…
@Ajack Ti: miễn phí mà, chỉ post vài bài là có 8 credit rồi.
Unknown said…
Chào a Thái
Trong bài thư ngỏ này a có nhắc đến VNG như là 1 cty bảo mật tốt
https://vnhacker.blogspot.jp/2016/11/thu-ngo-gui-ban-sinh-vien-muon-co-luong.html

5/ Tìm cơ hội làm thực tập sinh có trả lương cho các công ty nước ngoài hoặc các công ty trong nước có đội làm security tốt như Viettel hay VNG.

Thế nhưng hiện tại thì có vê như bảo mật của vng ko đc tốt cho lắm, vậy sao trc kia a lại đánh giá là tốt ạ?
Thai Duong said…
Ở Việt Nam thì nhóm security của VNG vẫn là một trong những nhóm có năng lực nhất.

Tôi nghĩ đây là trường hợp công ty có người giỏi, nhưng họ không được lắng nghe hoặc không được lãnh đạo ủng hộ. Có thể là chuyện lục đục nội bộ, các nhóm không làm việc chung với nhau được.
quangntenemy said…
“Security is like a chain. It is as strong as its weakest link”
Thai Duong said…
> “Security is like a chain. It is as strong as its weakest link”

Not if you use blockchain!
> > “Security is like a chain. It is as strong as its weakest link”
>
> Not if you use blockchain!

Do you mean that blockchain is still secure if a node is broken?
What happens if someone controls half the nodes?
Unknown said…
Hi anh Thái, tool kiểm tra hôm bữa em rảnh nên viết rồi, anh có thể dùng luôn nếu không thấy phiền:

https://vngchecker.herokuapp.com/
Thai Duong said…
Hay quá Quân. Tôi sẽ cập nhật bài viết để mọi người có thể tự kiểm tra. Một bước tiếp theo mình có thể cân nhắc làm là chủ động email cho những người bị ảnh hưởng để họ biết đổi mật khẩu.
Tung Dang said…
Chuyên gia làm ơn cho hỏi nếu tra số điện thoại thấy có bị lộ thông tin thì có thể biết thêm là đã bị lộ thông tin gì không?
quangntenemy said…
> > “Security is like a chain. It is as strong as its weakest link”
>
> Not if you use blockchain!

It’s the same with blockchain if you know what “weakest link” means.
Hint: usually it’s not the software that’s at fault.