Một cơ sở dữ liệu quy mô cực lớn vừa xuất hiện trên các kênh chia sẻ dữ liệu ngầm (underground). Theo những gì các chuyên gia và cộng đồng ANM nhận định được cho đến thời điểm hiện tại thì đây không phải là một vụ tấn công mới vào các nền tảng mạng xã hội, mà là một website tổng hợp và liên kết dữ liệu từ nhiều nguồn rò rỉ khác nhau, cho phép tìm kiếm và lọc thông tin người dùng theo nhiều tiêu chí.
Một "kho dữ liệu" được tổng hợp từ nhiều nền tảng
Theo thông tin được chia sẻ trên các kênh tình báo dữ liệu rò rỉ ngày 13/7/2026, website mới này được cộng đồng underground gọi là "Treasure Site" (宝藏站). Dữ liệu được quảng bá là đã tổng hợp từ nhiều nguồn khác nhau với quy mô rất lớn, bao gồm:
- LinkedIn: khoảng 760 triệu hồ sơ
- Facebook: khoảng 560 triệu hồ sơ
- X (Twitter): khoảng 230 triệu hồ sơ
- Instagram: khoảng 61 triệu hồ sơ
- TikTok: chưa công bố số lượng cụ thể
- GitHub: khoảng 1,97 triệu hồ sơ
- Ngoài ra còn xuất hiện dữ liệu được gắn nhãn Web3, tuy nhiên chưa xác định rõ nguồn gốc.
Nếu cộng dồn các bộ dữ liệu được quảng bá, quy mô có thể vượt 1,6–1,7 tỷ bản ghi. Tuy nhiên, chưa có bằng chứng độc lập xác nhận đây là số lượng người dùng duy nhất, bởi nhiều tài khoản có thể xuất hiện ở nhiều nền tảng khác nhau.
Theo mô tả, một hồ sơ người dùng có thể bao gồm:
- Họ và tên
- Địa chỉ email
- Số điện thoại
- Giới tính
- Tuổi
- Quốc gia
- Khu vực sinh sống
- Ngành nghề
- Mức lương (đối với một số hồ sơ)
- Tài khoản mạng xã hội liên quan
Website cũng cho phép phân loại dữ liệu theo:
- Quốc gia/khu vực
- Ngành nghề
- Giới tính
- Nền tảng mạng xã hội
- Nhóm người dùng có giá trị cao
Việc kết hợp dữ liệu từ nhiều nguồn giúp tạo nên hồ sơ cá nhân khá đầy đủ, thay vì chỉ chứa một vài trường thông tin như các bộ dữ liệu rò rỉ thông thường.
Dữ liệu đang được cập nhật theo từng quốc gia
Theo quan sát của người theo dõi các diễn đàn underground, website này còn khá mới. Dữ liệu dường như được tải lên theo thứ tự chữ cái tên quốc gia, và đến thời điểm được ghi nhận mới chỉ cập nhật tới nhóm quốc gia bắt đầu bằng chữ C. Do đó mới xuất hiện dữ liệu của một số quốc gia như:
- Australia
- Austria
- Belgium
- Canada
Điều này cho thấy kho dữ liệu vẫn đang tiếp tục được bổ sung.
Đối tượng có thể hưởng lợi nhiều nhất là hoạt động spam và lừa đảo
Các nhà quan sát nhận định bộ dữ liệu này đặc biệt hấp dẫn đối với:
- Các nhóm gửi email marketing hàng loạt (EDM)
- Hoạt động bán hàng xuyên biên giới
- Quảng cáo mục tiêu
- Thu thập khách hàng tiềm năng
- Các chiến dịch phishing và lừa đảo có chủ đích
Khác với các danh sách email thông thường, dữ liệu còn chứa nhiều thông tin giúp phân loại nạn nhân theo:
- Nghề nghiệp
- Quốc gia
- Thu nhập
- Giới tính
- Nền tảng mạng xã hội đang sử dụng
Điều này có thể giúp các chiến dịch lừa đảo xây dựng nội dung thuyết phục hơn, từ đó tăng tỷ lệ nạn nhân mắc bẫy.
Chưa có bằng chứng đây là vụ tấn công mới vào các nền tảng mạng xã hội
Đến nay, chưa có thông tin cho thấy LinkedIn, Facebook, X, Instagram, TikTok hay GitHub vừa bị xâm nhập trong một vụ tấn công mới. Các dấu hiệu hiện tại cho thấy website chủ yếu tổng hợp, chuẩn hóa và liên kết nhiều bộ dữ liệu đã từng bị rò rỉ hoặc được công khai trên các diễn đàn ngầm trước đây. Đây là xu hướng ngày càng phổ biến khi các nhóm tội phạm mạng tái sử dụng dữ liệu cũ để tạo ra các kho dữ liệu có giá trị cao hơn.
Cùng thời điểm, Aura xác nhận sự cố rò rỉ dữ liệu
Ngoài "Treasure Site", các kênh tình báo dữ liệu còn ghi nhận Aura (một công ty Mỹ cung cấp dịch vụ bảo vệ danh tính và an toàn số) đã bị nhóm ShinyHunters tuyên bố xâm nhập. Theo thông tin được chia sẻ:
- Khoảng 900.000 bản ghi người dùng bị ảnh hưởng.
- Gói dữ liệu có dung lượng khoảng 12 GB.
- Phần lớn là dữ liệu marketing từ các công ty Aura từng mua lại, với khoảng 865.000 khách hàng không còn hoạt động.
- Dữ liệu bao gồm họ tên, email, số điện thoại, địa chỉ và một số nội dung trao đổi với bộ phận chăm sóc khách hàng.
Theo các thông tin được công bố, không có bằng chứng cho thấy số An sinh xã hội (SSN), thông tin thẻ ngân hàng hoặc dữ liệu tài chính cốt lõi bị rò rỉ trong sự cố này.
Sự xuất hiện của các kho dữ liệu tổng hợp như "Treasure Site" cho thấy nguy cơ không chỉ đến từ các vụ rò rỉ mới, mà còn từ việc các bộ dữ liệu cũ được kết hợp để tạo nên hồ sơ cá nhân đầy đủ hơn. Người dùng nên rà soát và áp dụng luôn một số biện pháp sau để đảm bảo an toàn:
Sự xuất hiện của các kho dữ liệu tổng hợp như "Treasure Site" cho thấy nguy cơ không chỉ đến từ các vụ rò rỉ mới, mà còn từ việc các bộ dữ liệu cũ được kết hợp để tạo nên hồ sơ cá nhân đầy đủ hơn. Người dùng nên rà soát và áp dụng luôn một số biện pháp sau để đảm bảo an toàn:
- Cảnh giác với email, tin nhắn hoặc cuộc gọi từ người lạ nhưng biết nhiều thông tin cá nhân.
- Không cung cấp mã OTP hoặc thông tin đăng nhập khi nhận được yêu cầu bất thường.
- Sử dụng mật khẩu khác nhau cho từng dịch vụ và bật xác thực đa yếu tố (MFA).
- Thường xuyên kiểm tra xem email của mình có xuất hiện trong các vụ rò rỉ dữ liệu hay không và thay đổi mật khẩu nếu cần.
Lưu ý: Các số liệu về "Treasure Site" hiện chủ yếu đến từ quan sát trên các diễn đàn ngầm và các kênh tình báo dữ liệu. Chưa có xác minh độc lập về quy mô thực tế hoặc nguồn gốc của toàn bộ dữ liệu được quảng bá, do đó không nên coi đây là bằng chứng về một vụ xâm nhập mới đối với các nền tảng mạng xã hội được nhắc đến.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview