Rò rỉ dữ liệu WIRED: 2.3 triệu bản ghi nguy hiểm bị lộ

Các tin tức bảo mật mới nhất đã xác nhận vụ rò rỉ dữ liệu nghiêm trọng tại Condé Nast, công ty mẹ của tạp chí WIRED. Hơn 2.3 triệu bản ghi của người đăng ký WIRED đã bị tin tặc công bố, đánh dấu một data breach quy mô lớn và đặt ra nhiều thách thức về an toàn thông tin.

Sự cố này được công bố bởi một tác nhân đe dọa với biệt danh “Lovely”, người tuyên bố đây chỉ là bước khởi đầu và có thể sẽ tiết lộ thêm tới 40 triệu bản ghi khác từ các thương hiệu nổi tiếng khác của Condé Nast như Vogue và The New Yorker. Security Affairs đã đưa tin chi tiết về vụ việc này.

Phân Tích Chi Tiết Vụ Rò Rỉ Dữ Liệu WIRED

Dữ liệu bị rò rỉ, được đăng tải trên các diễn đàn hacker như Breach Stars và BreachForums vào khoảng Lễ Giáng Sinh 2025, bao gồm một lượng lớn thông tin cá nhân (PII) nhạy cảm.

Các Loại Dữ Liệu Bị Đánh Cắp

• 2.3 triệu địa chỉ email
• 285.936 tên đầy đủ
• 102.479 địa chỉ nhà
• 32.426 số điện thoại

Các bản ghi được định dạng JSON, bao gồm các trường như ID người dùng, ngày tạo hồ sơ từ 2011 đến 2022 và hoạt động gần đây nhất ghi nhận đến ngày 8 tháng 9 năm 2025. Các ảnh chụp màn hình từ vụ rò rỉ cho thấy danh sách tệp mở rộng và chi tiết người đăng ký đã được ẩn danh trên các trang web của Condé Nast.

Cơ Chế Khai Thác Lỗ Hổng Bảo Mật

Các tin tặc đã tận dụng các lỗ hổng bảo mật nghiêm trọng trong hệ thống của Condé Nast để thực hiện cuộc tấn công này. Hai kỹ thuật chính được xác định là Insecure Direct Object References (IDOR) và Broken Access Controls.

Lỗ Hổng IDOR (Insecure Direct Object References)

Kẻ tấn công đã khai thác các lỗ hổng Insecure Direct Object References (IDOR). Kỹ thuật này cho phép chúng truy cập và thu thập các hồ sơ người dùng bằng cách lặp lại qua các ID người dùng. Điều này dẫn đến việc xuất dữ liệu JSON với số lượng lớn mà không cần quyền truy cập hợp lệ vào từng tài khoản cụ thể.

Kiểm Soát Truy Cập Bị Hỏng (Broken Access Controls)

Bên cạnh IDOR, các lỗ hổng về kiểm soát truy cập bị hỏng trên các điểm cuối tài khoản đã cho phép truy cập trái phép và thậm chí sửa đổi email, mật khẩu và hồ sơ mà không cần xác thực đầy đủ. Những điểm yếu này trong nền tảng tập trung đã tạo điều kiện cho việc đánh cắp dữ liệu hàng loạt mà không bị ngăn chặn hiệu quả.

Xác Minh Dữ Liệu và Rủi Ro An Toàn Thông Tin

Các nhà nghiên cứu tại Hudson Rock đã xác minh tính hợp pháp của dữ liệu WIRED bị rò rỉ. Họ đã đối chiếu thông tin này với các nhật ký từ các công cụ đánh cắp thông tin (infostealer) như RedLine và Raccoon, xác nhận mức độ chồng chéo cao của các thông tin đăng nhập bị xâm phạm.

Công ty cũng cảnh báo về một vụ rò rỉ dữ liệu tiềm tàng khác với 40 triệu dòng thông tin nhắm vào hệ thống nhận dạng chung của Condé Nast, bao gồm các ấn phẩm như Vanity Fair, GQ và Architectural Digest.

Các Rủi Ro Tiềm Ẩn Từ Việc Rò Rỉ Dữ Liệu Cá Nhân

Mặc dù dữ liệu ban đầu không chứa mật khẩu hay thông tin thanh toán, việc lộ thông tin cá nhân (PII) vẫn gây ra nhiều rủi ro nghiêm trọng cho người dùng, bao gồm:

• Phishing (Lừa đảo trực tuyến): Thông tin liên hệ có thể được sử dụng để tạo ra các cuộc tấn công lừa đảo tinh vi hơn.
• Doxing: Tiết lộ thông tin cá nhân công khai, gây nguy hiểm cho quyền riêng tư và an toàn của cá nhân.
• Swatting: Một hình thức quấy rối nguy hiểm khi thông báo giả về tình huống khẩn cấp được gửi đến các dịch vụ khẩn cấp, dẫn đến việc lực lượng SWAT đến địa chỉ của nạn nhân.
• Tấn công chuỗi: Với việc sử dụng chung hệ thống đăng nhập trên nhiều thương hiệu Condé Nast, một lỗ hổng có thể gây ra hiệu ứng dây chuyền trên các dịch vụ khác.

Phản Ứng Của Condé Nast và Vấn Đề Công Khai Lỗ Hổng

Vào tháng 11 năm 2025, tác nhân “Lovely” đã giả dạng một nhà nghiên cứu với tên “Dissent Doe” và liên hệ với DataBreaches.net để hỗ trợ thông báo cho Condé Nast về sáu lỗ hổng bảo mật. Mặc dù đã có nhiều nỗ lực tiếp cận, bao gồm thông qua các phóng viên của WIRED và đội ngũ bảo mật, Condé Nast đã không đưa ra bất kỳ phản hồi công khai nào hoặc cung cấp tệp security.txt.

Do sự im lặng và thiếu phản ứng, “Lovely” đã công bố dữ liệu của WIRED như một “món quà Giáng Sinh tồi tệ” (“Christmas Lump of Coal”), cáo buộc công ty đã bỏ qua người dùng. Sự im lặng của Condé Nast làm tăng thêm rủi ro, đặc biệt khi thông tin đăng nhập chung có thể ảnh hưởng đến các thương hiệu khác. Trang web Have I Been Pwned cũng đã thêm vụ việc này vào cơ sở dữ liệu các vụ xâm phạm của mình.

Khuyến Nghị Bảo Mật Sau Sự Cố

Để giảm thiểu rủi ro sau vụ rò rỉ dữ liệu này, các chuyên gia an ninh mạng khuyến nghị người đăng ký WIRED và các ấn phẩm liên quan của Condé Nast thực hiện các biện pháp sau:

• Thay đổi mật khẩu: Ngay lập tức thay đổi mật khẩu trên tài khoản WIRED và bất kỳ dịch vụ nào khác sử dụng cùng một mật khẩu hoặc thông tin đăng nhập tương tự.
• Kích hoạt xác thực đa yếu tố (MFA): Bật MFA cho tất cả các tài khoản trực tuyến quan trọng để tăng cường lớp bảo vệ.
• Theo dõi hoạt động đáng ngờ: Chủ động kiểm tra các email lừa đảo, tin nhắn lạ hoặc bất kỳ hoạt động bất thường nào trên tài khoản của mình.
• Cảnh giác với các cuộc tấn công phi kỹ thuật: Nhận thức về các mối đe dọa như phishing và doxing, đặc biệt khi thông tin cá nhân đã bị lộ.