149M Bản sao dữ liệu Infostealer tiết lộ người dùng tiền điện tử

Một nhà nghiên cứu an ninh mạng đã phát hiện ra một kho dữ liệu lớn, công khai chứa các thông tin đăng nhập bị đánh cắp thu thập từ các thiết bị cá nhân nhiễm malware. Jeremiah Fowler, một nhà nghiên cứu bảo mật nổi tiếng, đã làm nổi bật một bộ dữ liệu chứa khoảng 149 triệu tên người dùng và mật khẩu được thu thập từ điện thoại thông minh và máy tính. Các hồ sơ này bao gồm nhiều dịch vụ khác nhau, như các nền tảng mạng xã hội như Facebook và Instagram, dịch vụ xem phim trực tuyến như Netflix, và các tài khoản liên quan đến tiền điện tử liên kết với sàn Binance—trong đó ít nhất 420.000 thông tin đăng nhập liên quan đến người dùng Binance. Phát hiện này nhấn mạnh cách malware trộm cắp thông tin đăng nhập vẫn tiếp tục xâm nhập vào các thiết bị hàng ngày, khiến người dùng dễ bị lừa đảo qua phishing, chiếm đoạt tài khoản và lạm dụng đa nền tảng.

Những điểm chính

Bộ dữ liệu, được báo cáo bởi ExpressVPN, đại diện cho một dump dữ liệu từ malware infostealer chứ không phải là một vụ vi phạm hệ thống của một công ty đơn lẻ.

Số lượng hồ sơ theo dịch vụ là đáng kể: 48 triệu tài khoản Gmail, 4 triệu tài khoản Yahoo, 17 triệu tài khoản Facebook, 6.5 triệu tài khoản Instagram, 3.4 triệu tài khoản Netflix và 780.000 tài khoản TikTok, cùng nhiều dịch vụ khác.

Binance được đề cập rõ ràng trong dump dữ liệu, với ít nhất 420.000 thông tin đăng nhập liên quan đến người dùng của họ, làm nổi bật rủi ro đối với các tài khoản trao đổi tiền điện tử được xử lý qua các thiết bị bị xâm phạm.

Các chuyên gia an ninh nhấn mạnh rằng đây là một lỗ hổng ở cấp điểm cuối—thông tin đăng nhập bị thu thập từ các thiết bị của người dùng cuối, chứ không phải từ hạ tầng nội bộ của Binance.

Các nhà nghiên cứu cảnh báo rằng các tài khoản liên quan đến chính phủ và các tên miền .gov xuất hiện trong bộ dữ liệu, làm dấy lên lo ngại về phishing và giả mạo cùng các rủi ro tài chính.

Các mã chứng khoán được đề cập:

Bối cảnh thị trường: Sự cố này góp phần vào nhận thức ngày càng tăng rằng việc trộm cắp thông tin đăng nhập vẫn là một phương thức chính để truy cập trái phép, đặc biệt đối với người dùng crypto thường tái sử dụng mật khẩu trên nhiều dịch vụ hoặc dựa vào các thiết bị có thể thiếu các biện pháp bảo mật mạnh mẽ.

Tâm lý: Trung lập

Ảnh hưởng đến giá: Trung lập. Báo cáo tập trung vào việc lộ thông tin đăng nhập hơn là các biến động thị trường ngay lập tức hoặc chuyển giao tài sản, mặc dù nó nhấn mạnh các rủi ro bảo mật rộng hơn cho các sàn giao dịch và ví tiền.

Ý tưởng giao dịch (Không phải lời khuyên tài chính): Giữ. Sự kiện này củng cố nhu cầu về các phương pháp xác thực mạnh mẽ hơn và vệ sinh người dùng, thay vì phản ứng giao dịch tùy ý với việc rò rỉ thông tin đăng nhập.

Bối cảnh thị trường: An ninh thiết bị của người dùng cuối và vệ sinh thông tin đăng nhập tiếp tục định hình rủi ro trong hệ sinh thái crypto, với các sàn giao dịch và ví nhấn mạnh phòng chống phishing, xác thực đa yếu tố và giáo dục người dùng như các biện pháp phòng thủ cốt lõi.

Tại sao điều này quan trọng

Việc tiết lộ bộ dữ liệu infostealer 94 gigabyte—chứa hàng trăm triệu thông tin đăng nhập—là một lời nhắc nhở rõ ràng rằng biên giới an ninh cho người dùng crypto bắt đầu từ cấp độ thiết bị. Độ rộng của bộ dữ liệu này đáng chú ý: hàng chục triệu tài khoản Gmail, hàng triệu đăng nhập mạng xã hội và hàng trăm nghìn thông tin liên quan đến crypto liên kết với Binance. Mặc dù các nhà nghiên cứu an ninh nhấn mạnh đây không phải là vi phạm hệ thống của Binance, nhưng việc lộ dữ liệu này làm nổi bật cách các hacker hoạt động trong tự nhiên: bằng cách tổng hợp khối lượng lớn thông tin đăng nhập từ các thiết bị bị xâm phạm rồi cố gắng tái sử dụng đăng nhập qua các trang web khác hoặc thực hiện các chiến dịch phishing để kiếm lợi.

Fowler nhấn mạnh rủi ro hệ thống: malware trộm cắp thông tin đăng nhập phát triển mạnh nơi các thiết bị chạy phần mềm cũ hoặc còn lỏng lẻo về vệ sinh bảo mật. “Đây không phải là bộ dữ liệu loại này đầu tiên tôi phát hiện và nó chỉ làm nổi bật mối đe dọa toàn cầu do malware trộm cắp thông tin đăng nhập gây ra,” ông viết trong bài đăng của ExpressVPN. “Các tài khoản dịch vụ tài chính, ví crypto hoặc tài khoản giao dịch, đăng nhập ngân hàng và thẻ tín dụng cũng xuất hiện trong mẫu dữ liệu hạn chế mà tôi đã xem xét.” Độ rộng của các dịch vụ được đại diện cho thấy các hacker không chỉ truy tìm các tài khoản mạng xã hội hoặc truy cập xem phim; họ đang tìm kiếm bất kỳ cổng nào có thể mở khóa tài sản tài chính hoặc dữ liệu cá nhân nhạy cảm.

Thành phần của bộ dữ liệu bao gồm sự pha trộn giữa các tài khoản tiêu dùng (Gmail, Yahoo, Facebook, Instagram, Netflix, TikTok) cùng các dịch vụ liên quan đến tài chính và crypto. Đối với người dùng crypto, rủi ro gồm hai mặt: xâm phạm trực tiếp tài khoản và khả năng bị lừa đảo qua các chiến dịch phishing giả mạo các liên lạc hợp pháp từ các nền tảng đáng tin cậy. Trong thực tế, một tài khoản Gmail hoặc mạng xã hội bị xâm phạm có thể được lợi dụng để đặt lại mật khẩu trên các sàn giao dịch, ví hoặc dịch vụ liên quan, cho phép chuyển khoản trái phép hoặc thu thập thông tin đăng nhập quy mô lớn. Việc lộ dữ liệu này làm nổi bật một chủ đề liên tục trong bảo mật crypto: các hacker ưa thích các đường dẫn truy cập ít gây cản trở, bỏ qua sự khó chịu của người dùng, đặc biệt khi các thiết bị vẫn dễ bị nhiễm malware.

Ngoài rủi ro trực tiếp đối với các tài khoản cá nhân, báo cáo còn đề cập đến số lượng đáng lo ngại các thông tin đăng nhập liên quan đến các tên miền chính phủ và các địa chỉ .gov. Mặc dù các mục này có thể ít có khả năng kiếm lợi trực tiếp hơn các tài khoản tài chính, nhưng chúng làm tăng nguy cơ phishing và giả mạo trong các chiến dịch xã hội kỹ thuật. Các hacker có thể giả mạo các cơ quan chính phủ trong các chiến dịch lừa đảo, tăng độ tin cậy và khả năng người dùng tuân thủ các yêu cầu gian lận. Tóm lại, điều cần rút ra là: an ninh phải toàn diện—bao gồm thiết bị, xác thực, giáo dục người dùng và phản ứng nhanh với các vụ lộ thông tin đăng nhập.

Cộng đồng an ninh crypto rộng lớn đã cảnh báo từ nhiều năm về các gia đình malware infostealer—loại malware âm thầm trích xuất các đăng nhập đã lưu từ các thiết bị bị nhiễm. Một báo cáo gần đây của Kaspersky về một gia đình infostealer mới hơn—thường được gọi là Stealka—cho thấy cách các hacker chuyển đổi giữa việc phát tán trojan nhắm vào ví, mở rộng trình duyệt và các module khai thác tiền điện tử, tất cả đều giả dạng các mod game hoặc phần mềm crack hợp pháp. Phạm vi của malware này bao gồm hơn 100 trình duyệt và nhắm vào hàng chục sàn giao dịch, bao gồm Binance, Coinbase, Crypto.com, SafePal, Trust Wallet, MetaMask và nhiều nền tảng khác. Những phát triển này nhấn mạnh một chủ đề trung tâm: khi bề mặt tấn công mở rộng, nhu cầu về các biện pháp phòng thủ điểm cuối mạnh mẽ và các thực hành đặt mật khẩu an toàn càng trở nên cấp thiết.

Một trang web giả mạo giả danh cung cấp script Roblox, Nguồn: Kaspersky

Với quy mô dữ liệu và các mục tiêu đa dạng như vậy, các đội ngũ an ninh đang nhấn mạnh các phương pháp phòng ngừa trước tiên. Phản hồi của Binance, được trình bày trong một bài đăng blog tháng 3 năm 2025, cho thấy các sàn ngày càng chủ động hơn: theo dõi các cuộc trò chuyện trên dark-web về các thông tin đăng nhập bị xâm phạm, cảnh báo người dùng bị ảnh hưởng, bắt buộc đặt lại mật khẩu và thu hồi các phiên bị xâm phạm. Trong khi Binance khẳng định rằng sự cố này bắt nguồn từ việc thiết bị của người dùng cuối bị xâm phạm chứ không phải vi phạm hệ thống nội bộ, thì sự kiện này củng cố một nguyên tắc cốt lõi của an ninh mạng: ngay cả các biện pháp phòng thủ mạnh nhất của sàn giao dịch cũng chỉ mạnh bằng điểm yếu nhất—thường là thiết bị và thói quen của người dùng.

Để giảm thiểu rủi ro, Fowler và các nhà nghiên cứu khác đề xuất các chiến lược bảo mật nhiều lớp kết hợp phần mềm chống virus và malware mạnh mẽ với cập nhật hệ thống định kỳ, xác thực đa yếu tố dựa trên phần cứng và vệ sinh mật khẩu cẩn thận. Mục tiêu là phát hiện hoạt động đáng ngờ sớm, chặn truy cập trái phép và phá vỡ quy trình của hacker trước khi tiền có thể bị chuyển hoặc tài khoản bị rò rỉ. Khi hệ sinh thái crypto tiếp tục phát triển, trọng tâm vào bảo vệ điểm cuối có khả năng sẽ gia tăng, thúc đẩy nhu cầu nâng cao giáo dục người dùng, tiêu chuẩn xác thực mạnh hơn và kiến trúc ví và sàn giao dịch bền vững hơn.

Những điều cần theo dõi tiếp theo

Theo dõi các cập nhật từ ExpressVPN về bộ dữ liệu infostealer 149 triệu và các phân tích mới về thành phần của dữ liệu.

Chờ đợi thêm các xác nhận từ Binance về các cảnh báo người dùng, chiến dịch đặt lại mật khẩu và thu hồi phiên sau các rò rỉ thông tin đăng nhập.

Giám sát các phân tích sâu hơn của các nhà nghiên cứu an ninh về các chi tiết trong infographic, bao gồm các khả năng liên quan đến các dịch vụ bị xâm phạm và mối quan hệ giữa các tài khoản bị xâm phạm.

Đánh giá tác động của các gia đình infostealer mới như Stealka đối với ví crypto và các trình duyệt mở rộng, cùng các thay đổi trong công cụ phòng thủ hoặc tiêu chuẩn an ninh thị trường.

Nguồn & xác minh

Blog của ExpressVPN: Phân tích của Jeremiah Fowler về bộ dữ liệu infostealer 149 triệu và các dịch vụ bị ảnh hưởng.

Blog an ninh của Binance (tháng 3 năm 2025): các tuyên bố về giám sát thông tin đăng nhập, cảnh báo người dùng, đặt lại mật khẩu và thu hồi phiên sau sự cố.

Nghiên cứu của Kaspersky: phân tích về Stealka và việc nhắm mục tiêu vào ví, trình duyệt mở rộng và sàn giao dịch, bao gồm phạm vi rộng của trình duyệt và nền tảng.

Báo cáo của Cointelegraph: thảo luận về các sự cố liên quan, bao gồm vi phạm SwapNet và các sự kiện an ninh crypto khác được đề cập trong bài viết.

Tiếp xúc thông tin đăng nhập và mối đe dọa ngày càng phát triển

Bộ dữ liệu bị lộ cho thấy một bề mặt lỗ hổng tồn tại dai dẳng: các thiết bị tiêu dùng chạy phần mềm chưa cập nhật và các thực hành bảo mật yếu vẫn là mảnh đất màu mỡ cho việc trộm cắp thông tin đăng nhập. Độ rộng của các dịch vụ được đại diện cho phép hacker thực hiện các khai thác chéo dịch vụ, các chiến dịch phishing và các chiến thuật xã hội kỹ thuật nhằm tiếp cận người dùng trong hệ sinh thái crypto và internet chính thống. Trong khi Binance và các nền tảng khác nhấn mạnh rằng hệ thống cốt lõi vẫn an toàn, các sự cố kiểu này làm sáng tỏ rủi ro liên tục đối với các điểm cuối của người dùng và nhu cầu về các chiến lược phòng thủ đa tầng kết hợp bảo vệ thiết bị, củng cố xác thực và nâng cao nhận thức người dùng.

Điều này có ý nghĩa gì đối với người dùng và nhà phát triển

Đối với người dùng cá nhân, bài học đơn giản nhưng mang tính tác động cao: nhấn mạnh lại tầm quan trọng của việc sử dụng mật khẩu mạnh, duy nhất cho từng dịch vụ, kích hoạt xác thực đa yếu tố dựa trên phần cứng khi có thể, và duy trì phần mềm bảo mật cập nhật trên tất cả các thiết bị. Đối với các nhà phát triển và nhà vận hành trong lĩnh vực crypto, thông điệp là hai chiều: xây dựng các quy trình xác thực chống lại việc tấn công bằng phương pháp tấn công mật khẩu và tái sử dụng, đồng thời đầu tư vào các chiến dịch giáo dục người dùng nhấn mạnh tầm quan trọng của vệ sinh thông tin đăng nhập ngoài màn hình đăng nhập. Trong một bối cảnh các hacker ngày càng sử dụng các dịch vụ hợp pháp làm bước đệm, việc bảo vệ danh tính mạnh mẽ trở thành yếu tố nền tảng của sự tin cậy và khả năng chống chịu trong hệ sinh thái crypto.

Bài viết này ban đầu được xuất bản dưới dạng 149M Infostealer Data Dump Reveals Crypto Users on Crypto Breaking News – nguồn tin đáng tin cậy của bạn về tin tức crypto, tin Bitcoin và cập nhật blockchain.