Ngày 12/6/2026, một tài khoản hacker có biệt danh “Orcinus orca” bất ngờ đăng tải bài viết tuyên bố cho rằng đã xâm nhập thành công hạ tầng của Cục Điều tra Liên bang Mỹ (FBI), đồng thời tung ra một phần dữ liệu được cho là “bằng chứng” cho cuộc tấn công này.
Bài đăng nhanh chóng gây chú ý trên nhiều diễn đàn an ninh mạng khi hacker liên tục dùng những lời lẽ thách thức như “chỉ mất 20 phút để bóc trần lớp bảo mật của FBI”, hay khẳng định đã sử dụng hai kỹ thuật zero-day tự phát triển để vượt qua hệ thống phòng thủ của Cloudflare và AWS WAF mà “không để lại bất kỳ log nào”.
Theo mô tả của hacker, hai kỹ thuật mang tên TWZD (TCP Window Zero Desync) và ACED (Asymmetric Content Eviction) có thể khiến các hệ thống kiểm tra gói tin bị “mù”, từ đó cho phép truy cập trực tiếp vào hệ thống phía sau lớp bảo vệ.
Không chỉ vậy, hacker còn tuyên bố đã khai thác hàng loạt lỗ hổng nghiêm trọng trong các hệ thống liên quan tới FBI và cơ quan chính phủ Mỹ. Trong đó có cấu hình CORS sai trên "api.usa.gov" với tham số “Access-Control-Allow-Origin: *”, một API thuộc hệ thống dữ liệu tội phạm của FBI cho phép truy cập mà không cần khóa xác thực, cùng danh sách liên lạc của nhiều cơ quan liên bang, bao gồm cả một đơn vị thuộc CIA.
Bài đăng nhanh chóng gây chú ý trên nhiều diễn đàn an ninh mạng khi hacker liên tục dùng những lời lẽ thách thức như “chỉ mất 20 phút để bóc trần lớp bảo mật của FBI”, hay khẳng định đã sử dụng hai kỹ thuật zero-day tự phát triển để vượt qua hệ thống phòng thủ của Cloudflare và AWS WAF mà “không để lại bất kỳ log nào”.
Theo mô tả của hacker, hai kỹ thuật mang tên TWZD (TCP Window Zero Desync) và ACED (Asymmetric Content Eviction) có thể khiến các hệ thống kiểm tra gói tin bị “mù”, từ đó cho phép truy cập trực tiếp vào hệ thống phía sau lớp bảo vệ.
Không chỉ vậy, hacker còn tuyên bố đã khai thác hàng loạt lỗ hổng nghiêm trọng trong các hệ thống liên quan tới FBI và cơ quan chính phủ Mỹ. Trong đó có cấu hình CORS sai trên "api.usa.gov" với tham số “Access-Control-Allow-Origin: *”, một API thuộc hệ thống dữ liệu tội phạm của FBI cho phép truy cập mà không cần khóa xác thực, cùng danh sách liên lạc của nhiều cơ quan liên bang, bao gồm cả một đơn vị thuộc CIA.
Ảnh: Internet
Bài đăng còn khoe đã thu thập được gần 400 tập tin dữ liệu, chứa hồ sơ thương vong lực lượng thực thi pháp luật Mỹ trong nhiều năm, dữ liệu nhân sự cảnh sát toàn quốc, hồ sơ tội phạm truy nã và cả báo cáo tội phạm mạng IC3 năm 2025 chưa công bố. Tuy nhiên, sau khi giới nghiên cứu an ninh mạng phân tích gói dữ liệu được phát tán, bức tranh thực tế dần lộ rõ và khác khá xa với những gì hacker mô tả.
Các thư mục bên trong gói dữ liệu cho thấy phần lớn thông tin thực chất được lấy từ API công khai của FBI, các tệp PDF có sẵn trên website chính phủ Mỹ và dữ liệu được thu thập bằng kỹ thuật Google Dork (sử dụng cú pháp tìm kiếm đặc biệt để gom tài liệu công khai trên internet).
Nhiều file JSON trong thư mục “cde-api” chỉ chứa dữ liệu trống hoặc phản hồi lỗi. Một số tệp khác đơn giản là dữ liệu từ API danh sách truy nã công khai của FBI. Thư mục “dorking” còn để lộ dấu vết việc dùng Google để tìm và tải hàng loạt báo cáo PDF công khai, bao gồm cả các báo cáo IC3 hay thống kê tội phạm.
Đáng chú ý, nhiều file mang mốc thời gian tương lai như tháng 7 đến tháng 11/2026 chỉ có dung lượng vài chục byte, đây là dấu hiệu cho thấy công cụ thu thập dữ liệu đang tự động quét API theo lịch, chứ không phải bằng chứng về việc duy trì quyền truy cập bí mật trong hệ thống nội bộ FBI.
Nói cách khác, đến thời điểm hiện tại chưa có bằng chứng xác thực nào cho thấy hacker đã thực sự xâm nhập sâu vào mạng nội bộ của FBI hay đánh cắp dữ liệu mật chưa công bố.
Dù vậy, vụ việc vẫn khiến giới an ninh mạng chú ý vì nó phơi bày một số vấn đề bảo mật có thật. Cấu hình CORS quá mở trên API chính phủ hay các điểm truy cập dữ liệu không yêu cầu xác thực đều có thể trở thành mắt xích nguy hiểm nếu bị kết hợp với những lỗ hổng khác.
Ngay cả khi dữ liệu là công khai, việc cấu hình sai vẫn có thể bị lợi dụng cho các cuộc tấn công đánh cắp dữ liệu xuyên trang hoặc tự động hóa thu thập thông tin quy mô lớn.
Một chi tiết khác cũng gây tranh cãi là hacker cho biết từng gửi báo cáo lỗi thông qua chương trình tiếp nhận lỗ hổng của Bộ Tư pháp Mỹ nhưng không được xử lý thỏa đáng. Điều này làm dấy lên câu hỏi về tốc độ phản hồi và cơ chế phối hợp với cộng đồng nghiên cứu bảo mật của các cơ quan chính phủ.
Hiện FBI chưa đưa ra kết luận chính thức về vụ việc.
Dựa trên các dữ liệu hiện có, nhiều chuyên gia cho rằng đây giống một màn “phô diễn kỹ thuật” kết hợp khai thác dữ liệu công khai hơn là một cuộc tấn công tình báo nghiêm trọng như hacker tuyên bố. Tuy nhiên, vụ việc vẫn là lời nhắc đáng chú ý rằng ngay cả các hệ thống công khai của cơ quan chính phủ cũng cần được kiểm tra bảo mật thường xuyên, đặc biệt là với API, cấu hình điện toán đám mây và cơ chế kiểm soát truy cập dữ liệu.
Trước đó, chính hacker “Orcinus orca” cũng từng xuất hiện trên các diễn đàn khi tuyên bố sở hữu một lỗ hổng zero-day có khả năng ảnh hưởng tới hạ tầng cốt lõi của Google trên phạm vi toàn cầu.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
