Từ vụ 160 triệu tài khoản Zing ID bị hack: Ngã ngửa với kiểu đặt mật khẩu của người Việt_kết quả giải bóng đá ý

Cụ thể,ừvụtriệutàikhoảnZingIDbịhackNgãngửavớikiểuđặtmậtkhẩucủangườiViệkết quả giải bóng đá ý theo một bài viết có tiêu đề "Người Việt Nam chọn mật khẩu như thế nào?" đăng tải trên blog cá nhân, anh Dương Ngọc Thái cho rằng các mật khẩu bị lộ trong vụ việc này rất dễ bị "dân trong nghề" bẻ gãy bằng "thuật toán MD5, một round duy nhất, không salt gì cả". Theo phân tích của chuyên gia bảo mật này, trong số 160 triệu tài khoản VNG bị lộ có gần 75 triệu tài khoản là của những người có thể xác định được chính xác ngoài đời và gắn với 75 triệu tài khoản này là hơn 22 triệu mật khẩu tương ứng (do cùng chung ý tưởng khi đặt mật khẩu, tương tự cách mà các website hẹn hò thường xếp cặp giữa những người có chung mật khẩu).

Theo anh Thái, đây cũng là vụ lộ mật khẩu người dùng Việt lớn nhất từ trước tới nay. Do vậy, việc bẻ khóa từ dữ liệu bị công bố này sẽ cung cấp các thông tin hiếm hoi về cách mà người Việt Nam chọn mật khẩu của mình. Vì mức độ nhạy cảm nên anh Thái chỉ công bố những mật khẩu phổ biến và các mật khẩu mang tính hài hước. Trong số đó, có không ít mật khẩu bị lộ trùng với các mật khẩu tệ hại phổ biến trên thế giới và đó đều liên quan tới các con số như 123456, 124567, 111111, 12345678 và1234567890.

Dương Ngọc Thái (Ảnh: Tuổi Trẻ)

Dưới đây là một vài thống kê do chuyên gia bảo mật Dương Ngọc Thái đưa ra từ vụ lộ 163 triệu tài khoản Zing ID của VNG sau khi thử "bẻ khóa" 37% số tài khoản bị lộ của VNG qua một chiếc laptop Macbook Pro đời 2015 trong khoảng thời gian tầm một ngày:

- Có nhiều người Việt đặt mật khẩu rất vui vẻ: lonlonlonlonlonlonlonlonlonlon (chắc nhà nuôi nhiều lợn) hoặc cucucucucucucucucucu (đây có lẽ là con cú dài nhất Việt Nam) .

- anhyeuem là mật khẩu phổ biến thứ 5, có đến hơn 900.000 người chọn mật khẩu này, trong khi chỉ có hơn 90.000 người chọn emyeuanh. Chứng tỏ đàn ông yêu nhiều hơn đàn bà?!

- Rất nhiều đàn ông nghĩ họ đẹp trai: có đến 95.749 tài khoản sử dụng từ "deptrai". Chỉ có vài phụ nữ nghĩ họ đẹp gái: chỉ có 1517 tài khoản sử dụng từ "depgai".

- Cũng có rất nhiều người nghĩ họ xinh (xinh mà không đẹp nghĩa là sao??): có 106014 tài khoản có từ "xinh" trong mật khẩu (thống kê này đã loại trừ các từ như xinhayquenanh).

- Dữ liệu cho thấy có nhiều người dùng ở Sài Gòn hơn các Hà Nội, nhưng chỉ có 10.000 người chọn Sài Gòn làm bí mật, so với 20.000 chọn Hà Nội.

- Có đến 108 "boyhanoi", nhưng lại không có em "gaiphoco" nào cả. Chỉ có 396 "chandai" nhưng lại có đến 32726 "daigia".

- Chỉ có 29 người thích ăn nem nướng, nhưng có đến 327 người thích bún chả.

- Có 23 người thích phở tái, nhưng chỉ có 1 người thích phở chín! Số người thích phở bò là 380, gấp đôi số người thích phở gà!

- Số người thích "bunrieu" là 184, chỉ là con số nhỏ so với 1934 người thích "hutieu".

Các thống kê liên quan tới mật khẩu Zing ID trích xuất từ thông tin rò rỉ (Ảnh chụp màn hình)

Vào ngày 26/4/2018, một số người Việt bất ngờ phát hiện có hơn 163.000.400 tài khoản Zing ID bị rao bán trên một diễn đàn nước ngoài (được đóng gói bằng các tệp dữ liệu có tổng dung lượng khoảng 7,5GB) và sau đó thông tin này bị lan rộng trên mạng xã hội trước khi được VNG phát hiện vào tối cùng ngày, vụ việc rúng động này được các trang báo trong nước đưa tin và mổ xẻ. Sau đó một ngày, VNG chính thức phát đi thông cáo phủ nhận khả năng ảnh hưởng của sự cố này tới các tài khoản Zing ID hiện tại, cũng như cho biết không có sự liên kết giữa Zing ID và các dịch vụ khác của công ty như Zalo hay Zalo Pay.

Cụ thể, Zing ID là hệ thống quản lý tài khoản cho các sản phẩm game của VNG và công ty đã ghi nhận khả năng bị lộ 160 triệu tài khoản Zing ID từ năm 2015 thông qua một bộ phận tệp khách hàng chơi game của công ty, sau đó công ty đã thực hiện các biện pháp kỹ thuật để ngăn chặn sự rò rỉ này cho tới khi được rao bán công khai trên mạng vào tuần trước. Phía VNG cho rằng, "phạm vi người dùng bị tác động thực sự bởi sự cố này không lớn, tập trung ở các khách hàng chơi game và không ảnh hưởng tới các sản phẩm khác của VNG. Hơn nữa, gần 99% số tài khoản Zing ID nói trên đã không phát sinh hoạt động nào trong hơn 1 năm trở lại đây" và họ cũng ngỏ lời xin lỗi khách hàng về sự cố trên.