Hàng nghìn người dùng Spotify vừa học được một bài học đắt giá rằng tại sao bạn không nên sử dụng lại mật khẩu.
Công ty bảo mật mạng VPN Mentor đã phát hiện ra một cơ sở dữ liệu với gần 380 triệu hồ sơ cá nhân được bảo mật không đúng cách chứa địa chỉ email, mật khẩu, tên tài khoản và thông tin cá nhân khác cho hàng nghìn tài khoản Spotify. Tin tặc đã tổng hợp dữ liệu này với sự trợ giúp từ các rò rỉ hoặc thông qua nhồi nhét thông tin xác thực (Credential stuffing), thay vì tấn công trực tiếp vào chính Spotify. Tuy nhiên, hoạt động khai thác này đã cho phép họ đột nhập thành công hơn 300.000 tài khoản.
* Credential stuffing – nhồi nhét thông tin xác thực là một cuộc tấn công chiếm đoạt tài khoản tự động, trong đó tội phạm mạng sử dụng bot để tấn công các trang web với nỗ lực đăng nhập bằng thông tin tài khoản truy cập đã đánh cắp được. Chúng tận dụng vi phạm dữ liệu xảy ra ở các trang web khác để tìm thấy sự kết hợp phù hợp giữa thông tin xác thực truy cập “cũ” và một trang web mới và có được quyền truy cập. Thông thường áp dụng một số hình thức xác thực đa yếu tố sẽ giảm thiểu nguy cơ tài khoản bị xâm phạm, nhưng Spotify không hỗ trợ tùy chọn này.
Bạn có nguy cơ bị tấn công không?
Để đối phó với vụ rò rỉ, Spotify đã buộc phải đặt lại mật khẩu cho 300.000 tài khoản bị ảnh hưởng vào tháng 7, nhưng không phải ai cũng làm theo. Nếu bạn chưa đăng nhập Spotify trong một thời gian, có lẽ bạn nên cập nhật mật khẩu của mình ngay bây giờ. Việc bật xác thực hai yếu tố và cài đặt trình quản lý mật khẩu được mã hóa cũng vậy.
Tuy nhiên, đừng cho rằng bạn an toàn nếu Spotify chưa yêu cầu bạn đặt lại mật khẩu: Theo VPN Mentor, cơ sở dữ liệu vẫn được tin tặc sử dụng tích cực, vì vậy các cuộc tấn công tiếp theo là có thể xảy ra. Có khả năng sẽ có nhiều người dùng Spotify sử dụng cùng một email, tên người dùng và mật khẩu trên nhiều ứng dụng hoặc trang web và thậm chí có nhiều ngườ isử dụng thông tin dễ truy cập làm mật khẩu của họ — những thứ như địa chỉ đường phố, tên, ngày sinh của họ, v.v. chi tiết cũng có thể bị xâm phạm do rò rỉ dữ liệu hoặc với một chút kỹ thuật xã hội
Bạn nên làm gì để bảo vệ tài khoản Spotify của bạn?
Nếu một tin tặc xâm nhập, họ có thể chiếm đoạt tài khoản Spotify của bạn và lấy thông tin cá nhân của bạn để sử dụng ở nơi khác. Điều này càng trở nên khó khăn hơn đối với những người dùng Spotify đăng nhập bằng tài khoản Facebook, Google hoặc Apple, vì họ lưu trữ quá nhiều thông tin cá nhân và liên kết với hàng chục ứng dụng khác.
Bởi vậy bạn nhất định không được chủ quan mà hãy cập nhật mật khẩu Spotify của bạn ở mức độ mạnh hơn. Bạn cũng nên thực hiện thường xuyên kiểm tra mật khẩu, và để kiểm tra tài khoản của bạn bằng HaveIBeenPwned. Nhiều trình quản lý mật khẩu cũng bao gồm cả kiểm tra tình trạng mật khẩu tích hợp. Bạn chỉ cần gửi địa chỉ email của bạn đến Have I Been Pwned thông qua tính năng “thông báo cho tôi” của trang web và bạn sẽ nhận được cảnh báo bất cứ khi nào địa chỉ email của bạn (và bất kỳ thứ gì liên quan đến nó) xuất hiện vi phạm. Không có lý do gì để không sử dụng dịch vụ miễn phí này cả.
Cuối cùng, hãy bật xác thực hai yếu tố (2FA). Tôi biết, thêm một bước đăng nhập bổ sung rất khó chịu, nhưng nó đáng giá. Ngay cả những mật khẩu độc nhất, khó đoán được lưu trữ an toàn trong trình quản lý mật khẩu cũng có thể bị xâm nhập do rò rỉ dữ liệu và 2FA có thể ngăn chặn hoặc cảnh báo bạn về những nỗ lực đột nhập tài khoản .