Nguyễn Tiến Đạt
Intern Writer
Dashlane vừa xác nhận một vụ tấn công mạng nhằm vào tài khoản người dùng, trong đó kẻ tấn công đã thành công tải xuống các kho dữ liệu được mã hóa của chưa đến 20 người dùng gói cá nhân. Công ty khẳng định hệ thống nội bộ không bị xâm nhập và dữ liệu trong các kho lưu trữ vẫn được bảo vệ bằng lớp mã hóa mạnh.
Theo thông báo được công bố ngày 31/5/2026, một tác nhân đe dọa bên ngoài đã tiến hành chiến dịch tấn công vét cạn mật khẩu (brute-force attack) nhắm vào một số tài khoản Dashlane. Mục tiêu của cuộc tấn công là vượt qua các biện pháp xác thực hai yếu tố (2FA) và đăng ký thiết bị mới trên các tài khoản hiện có.
Dashlane cho biết số lượng tài khoản bị nhắm mục tiêu không được tiết lộ cụ thể. Tuy nhiên, lưu lượng đăng nhập bất thường từ cuộc tấn công đã kích hoạt các cơ chế bảo mật tự động của nền tảng, dẫn đến việc một số tài khoản bị tạm khóa và phát sinh sự cố xác thực trong thời gian ngắn.
Mặc dù phần lớn các nỗ lực tấn công đã bị ngăn chặn, công ty xác nhận rằng trong một số trường hợp, kẻ tấn công đã vượt qua được các lớp bảo vệ và tải xuống bản sao kho dữ liệu được mã hóa của dưới 20 người dùng cá nhân.
'Chúng tôi đã trực tiếp thông báo cho từng người dùng bị ảnh hưởng. Nếu bạn là người dùng Dashlane và chưa nhận được thông báo liên quan đến rủi ro kho dữ liệu, tài khoản của bạn không nằm trong số các trường hợp bị ảnh hưởng', công ty cho biết.
Điều đáng chú ý là các kho dữ liệu bị tải xuống vẫn ở trạng thái mã hóa. Theo Dashlane, kẻ tấn công sẽ không thể truy cập nội dung bên trong nếu không có Mật khẩu Chính (Master Password) của người dùng. Với các mật khẩu chính đủ mạnh, dài và khó đoán, khả năng giải mã thành công được đánh giá là rất thấp.
Công ty cũng nhấn mạnh rằng sự cố không ảnh hưởng đến cơ sở hạ tầng nội bộ, máy chủ hay hệ thống vận hành của Dashlane. Đây được xem là một cuộc tấn công nhắm vào tài khoản người dùng thay vì một vụ xâm nhập vào hệ thống của nhà cung cấp dịch vụ.
Trước sự cố này, Dashlane khuyến nghị người dùng kiểm tra danh sách thiết bị đã đăng ký trên tài khoản, xóa các thiết bị không nhận dạng được, kích hoạt xác thực hai yếu tố nếu chưa sử dụng và đảm bảo Mật khẩu Chính đủ mạnh để giảm thiểu rủi ro.
Vụ việc một lần nữa cho thấy tầm quan trọng của việc sử dụng mật khẩu mạnh và các biện pháp xác thực bổ sung, đặc biệt đối với các dịch vụ quản lý mật khẩu – nơi lưu trữ những thông tin đăng nhập quan trọng nhất của người dùng.
Theo thông báo được công bố ngày 31/5/2026, một tác nhân đe dọa bên ngoài đã tiến hành chiến dịch tấn công vét cạn mật khẩu (brute-force attack) nhắm vào một số tài khoản Dashlane. Mục tiêu của cuộc tấn công là vượt qua các biện pháp xác thực hai yếu tố (2FA) và đăng ký thiết bị mới trên các tài khoản hiện có.
Dashlane cho biết số lượng tài khoản bị nhắm mục tiêu không được tiết lộ cụ thể. Tuy nhiên, lưu lượng đăng nhập bất thường từ cuộc tấn công đã kích hoạt các cơ chế bảo mật tự động của nền tảng, dẫn đến việc một số tài khoản bị tạm khóa và phát sinh sự cố xác thực trong thời gian ngắn.
Mặc dù phần lớn các nỗ lực tấn công đã bị ngăn chặn, công ty xác nhận rằng trong một số trường hợp, kẻ tấn công đã vượt qua được các lớp bảo vệ và tải xuống bản sao kho dữ liệu được mã hóa của dưới 20 người dùng cá nhân.
'Chúng tôi đã trực tiếp thông báo cho từng người dùng bị ảnh hưởng. Nếu bạn là người dùng Dashlane và chưa nhận được thông báo liên quan đến rủi ro kho dữ liệu, tài khoản của bạn không nằm trong số các trường hợp bị ảnh hưởng', công ty cho biết.
Điều đáng chú ý là các kho dữ liệu bị tải xuống vẫn ở trạng thái mã hóa. Theo Dashlane, kẻ tấn công sẽ không thể truy cập nội dung bên trong nếu không có Mật khẩu Chính (Master Password) của người dùng. Với các mật khẩu chính đủ mạnh, dài và khó đoán, khả năng giải mã thành công được đánh giá là rất thấp.
Công ty cũng nhấn mạnh rằng sự cố không ảnh hưởng đến cơ sở hạ tầng nội bộ, máy chủ hay hệ thống vận hành của Dashlane. Đây được xem là một cuộc tấn công nhắm vào tài khoản người dùng thay vì một vụ xâm nhập vào hệ thống của nhà cung cấp dịch vụ.
Trước sự cố này, Dashlane khuyến nghị người dùng kiểm tra danh sách thiết bị đã đăng ký trên tài khoản, xóa các thiết bị không nhận dạng được, kích hoạt xác thực hai yếu tố nếu chưa sử dụng và đảm bảo Mật khẩu Chính đủ mạnh để giảm thiểu rủi ro.
Vụ việc một lần nữa cho thấy tầm quan trọng của việc sử dụng mật khẩu mạnh và các biện pháp xác thực bổ sung, đặc biệt đối với các dịch vụ quản lý mật khẩu – nơi lưu trữ những thông tin đăng nhập quan trọng nhất của người dùng.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
