16 Tỷ Mật Khẩu Bị Rò Rỉ: Cách Kiểm Tra Xem Bạn Có Bị Ảnh Hưởng

Vào tháng 1 năm 2026, các nhà nghiên cứu bảo mật đã phát hiện 30 cơ sở dữ liệu không được bảo vệ chứa khoảng 16 tỷ cặp tên người dùng-mật khẩu — vụ rò rỉ thông tin đăng nhập lớn nhất lịch sử. Dữ liệu bị lộ bao gồm thông tin đăng nhập của Google, Apple, Facebook, GitHub, Telegram và thậm chí cả các nền tảng chính phủ.

Nếu bạn sử dụng internet, có khả năng cao thông tin đăng nhập của bạn nằm trong vụ rò rỉ này.

Những Gì Đã Bị Lộ

Vụ rò rỉ bao gồm:

• 16 tỷ thông tin đăng nhập trên 30 bộ dữ liệu
• Một số bộ dữ liệu chứa tới 3,5 tỷ bản ghi mỗi bộ
• Thông tin đăng nhập từ hầu như tất cả dịch vụ trực tuyến lớn
• Cả dữ liệu từ các vụ rò rỉ cũ và log infostealer mới
• Trong nhiều trường hợp còn có token phiên, cookie và metadata

Đây không chỉ là dữ liệu tái chế từ các vụ rò rỉ cũ. Các nhà nghiên cứu đã tìm thấy dữ liệu mới được biên soạn, có cấu trúc sẵn sàng để khai thác — bao gồm log malware infostealer gần đây với token phiên đang hoạt động.

Cách Kiểm Tra Xem Bạn Có Bị Ảnh Hưởng

Bước 1: Kiểm Tra Have I Been Pwned

Truy cập haveibeenpwned.com và nhập địa chỉ email của bạn. Cơ sở dữ liệu này được cập nhật thường xuyên với dữ liệu rò rỉ và sẽ cho bạn biết những vụ rò rỉ nào chứa thông tin đăng nhập của bạn.

Bước 2: Sử Dụng Giám Sát Rò Rỉ của Trình Quản Lý Mật Khẩu

Hầu hết trình quản lý mật khẩu đều cung cấp giám sát rò rỉ:

• 1Password: Watchtower cảnh báo bạn về tài khoản bị xâm phạm
• Bitwarden: Báo cáo Rò rỉ Dữ liệu hiển thị thông tin đăng nhập bị lộ
• Dashlane: Giám sát Dark Web quét thông tin của bạn
• Google Password Manager: Kiểm tra mật khẩu tại passwords.google.com

Bước 3: Kiểm Tra Bảo Mật Zalo và Dịch Vụ Nội Địa

Đối với người dùng Việt Nam:

1. Zalo: Cài đặt → Tài khoản và bảo mật → Thiết bị đã đăng nhập
2. Ngân hàng: Kiểm tra lịch sử đăng nhập trong app ngân hàng
3. Nếu phát hiện đăng nhập đáng ngờ, đổi mật khẩu ngay lập tức

Bước 4: Giám Sát Tài Khoản Tài Chính

Ngay cả khi email của bạn không xuất hiện trong các vụ rò rỉ đã biết, hãy giám sát sao kê ngân hàng và thẻ tín dụng để phát hiện hoạt động trái phép. Kẻ tấn công thường kiểm tra thông tin đăng nhập trên dịch vụ tài chính trước.

Phải Làm Gì Nếu Bị Xâm Phạm

Hành Động Ngay Lập Tức

1. Đổi mật khẩu bị xâm phạm ngay lập tức

Bắt đầu với các tài khoản quan trọng nhất:

• Tài khoản email (được dùng để đặt lại mật khẩu)
• Dịch vụ ngân hàng và tài chính
• Lưu trữ đám mây (Google Drive, iCloud, Dropbox)
• Tài khoản mạng xã hội

2. Bật xác thực hai yếu tố ở mọi nơi

Ngay cả khi kẻ tấn công có mật khẩu của bạn, 2FA chặn truy cập trái phép:

• Sử dụng ứng dụng xác thực (Google Authenticator, Authy) thay vì SMS
• Cân nhắc khóa phần cứng (YubiKey) cho tài khoản quan trọng
• Bật 2FA cho email trước — đó là chìa khóa chủ cho mọi thứ khác

3. Kiểm tra truy cập trái phép

Xem xét hoạt động gần đây trên tài khoản của bạn:

• Google: myactivity.google.com
• Zalo: Cài đặt → Tài khoản và bảo mật → Thiết bị đã đăng nhập
• Facebook: Cài đặt → Bảo mật → Nơi bạn đã đăng nhập

4. Thu hồi phiên đáng ngờ

Đăng xuất khỏi tất cả thiết bị và phiên mà bạn không nhận ra. Hầu hết dịch vụ có tùy chọn "Đăng xuất khỏi tất cả thiết bị".

Bảo Vệ Dài Hạn

Sử dụng mật khẩu duy nhất cho mỗi tài khoản

Lý do rò rỉ thông tin đăng nhập nguy hiểm là do tái sử dụng mật khẩu. Nếu bạn dùng cùng mật khẩu trên nhiều trang, một vụ rò rỉ sẽ xâm phạm tất cả.

Sử dụng trình quản lý mật khẩu để tạo và lưu trữ mật khẩu duy nhất, mạnh cho mỗi tài khoản.

Cân nhắc chuyển sang passkey

Passkey chống phishing và không thể bị rò rỉ trong các vụ xâm phạm dữ liệu:

• Google, Apple và Microsoft hiện hỗ trợ passkey
• Sử dụng xác thực sinh trắc học (vân tay, khuôn mặt) thay vì mật khẩu
• Không có mật khẩu nghĩa là không có gì để đánh cắp

Thiết lập cảnh báo rò rỉ

• Bật thông báo từ Have I Been Pwned
• Bật giám sát rò rỉ của trình quản lý mật khẩu
• Thiết lập giám sát dark web của Google

Cách Chia Sẻ Thông Tin Đăng Nhập An Toàn Trong Tương Lai

Một lý do thông tin đăng nhập bị rò rỉ là do thực hành chia sẻ không an toàn. Mọi người dán mật khẩu vào:

• Tin nhắn Zalo hoặc Slack (lưu trữ trên máy chủ)
• Email (thường không mã hóa, có thể tìm kiếm)
• Tin nhắn văn bản (sao lưu lên đám mây)
• Tài liệu chia sẻ (truy cập liên tục)

Sử Dụng Kênh An Toàn Có Thời Hạn

Khi bạn cần chia sẻ mật khẩu với ai đó:

1. Không bao giờ gửi mật khẩu dạng văn bản thuần qua tin nhắn thông thường
2. Sử dụng tính năng chia sẻ của trình quản lý mật khẩu nếu cả hai bên dùng cùng trình quản lý
3. Sử dụng ghi chú bảo mật tự hủy cho chia sẻ một lần

Dịch vụ như LOCK.PUB cho phép bạn tạo ghi chú được bảo vệ bằng mật khẩu:

• Tự hủy sau khi đọc một lần
• Hết hạn sau thời gian đã đặt (1 giờ, 24 giờ)
• Không thể truy cập lại sau khi xem

Quy trình ví dụ:

• Tạo ghi chú bảo mật với mật khẩu
• Đặt hết hạn sau 1 giờ
• Gửi liên kết qua một kênh
• Gửi mật khẩu truy cập qua kênh khác
• Thông tin đăng nhập không thể lấy lại sau khi xem

Bức Tranh Lớn Hơn

Vụ rò rỉ 16 tỷ thông tin đăng nhập này là triệu chứng của vấn đề lớn hơn: mật khẩu về cơ bản đã hỏng.

Thống kê quan trọng:

• 94% mật khẩu được tái sử dụng giữa các tài khoản
• Chỉ 3% mật khẩu đáp ứng yêu cầu phức tạp NIST
• Tấn công dựa trên thông tin đăng nhập chiếm gần một nửa tất cả các vụ rò rỉ

Ngành công nghiệp đang chuyển sang passkey và xác thực không mật khẩu. Trong thời gian đó:

• Sử dụng mật khẩu duy nhất ở mọi nơi
• Bật 2FA trên tất cả tài khoản
• Giám sát rò rỉ thường xuyên
• Chỉ chia sẻ thông tin đăng nhập qua kênh an toàn có thời hạn

Kiểm Tra Ngay Bây Giờ

Đừng đợi đến khi phát hiện khoản phí trái phép hoặc tài khoản bị khóa. Dành 10 phút hôm nay để:

1. Kiểm tra haveibeenpwned.com với địa chỉ email của bạn
2. Chạy báo cáo rò rỉ của trình quản lý mật khẩu
3. Bật 2FA trên 10 tài khoản quan trọng nhất
4. Đổi bất kỳ mật khẩu nào xuất hiện trong vụ rò rỉ

Rò rỉ đã xảy ra rồi. Điều quan trọng bây giờ là bạn phản ứng nhanh như thế nào.

Chia sẻ thông tin đăng nhập an toàn với ghi chú tự hủy →