Ảnh minh họa. Syber Security News

Tin tặc công khai khối lượng lớn dữ liệu người dùng

Theo thông tin được đăng tải trên các diễn đàn tin tặc như Breach Stars và BreachForums vào dịp Giáng sinh năm 2025, dữ liệu bị rò rỉ bao gồm khoảng 2,3 triệu địa chỉ email, gần 286.000 họ tên, hơn 102.000 địa chỉ nhà riêng và 32.000 số điện thoại của người đăng ký WIRED.

Các bản ghi được lưu trữ dưới dạng JSON, chứa nhiều trường thông tin như ID người dùng, thời điểm tạo tài khoản (từ năm 2011 đến 2022) và dữ liệu hoạt động gần nhất cập nhật đến ngày 8/9/2025. Một số ảnh chụp màn hình được lan truyền cho thấy danh sách tập tin lớn cùng thông tin thuê bao (đã che một phần) trải rộng trên nhiều nền tảng thuộc Condé Nast.

Nguy cơ rò rỉ lan rộng tới hàng chục triệu người dùng

Nhóm tin tặc tự xưng là “Lovely” cho biết đây mới chỉ là bước khởi đầu, đồng thời đe dọa sẽ tiếp tục công bố tới 40 triệu bản ghi khác liên quan đến các thương hiệu lớn của Condé Nast như Vogue, The New Yorker, Vanity Fair, GQ hay Architectural Digest.

Các nhà nghiên cứu thuộc công ty an ninh mạng Hudson Rock cho biết đã kiểm tra tính xác thực của dữ liệu WIRED bằng cách đối chiếu với các nhật ký thu thập từ mã độc đánh cắp thông tin như RedLine và Raccoon, qua đó phát hiện mức độ trùng khớp cao về thông tin đăng nhập bị xâm phạm.

Mặc dù trong gói dữ liệu ban đầu không xuất hiện mật khẩu hay thông tin thanh toán, việc lộ dữ liệu nhận dạng cá nhân (PII) vẫn tiềm ẩn nhiều rủi ro nghiêm trọng, bao gồm lừa đảo qua email (phishing), xâm phạm đời tư (doxing) hoặc thậm chí đe doạ giả mạo khẩn cấp (swatting).

Lỗ hổng kỹ thuật và phản ứng khó hiểu của Condé Nast

Theo phân tích kỹ thuật, tin tặc đã khai thác lỗ hổng Insecure Direct Object Reference (IDOR), một dạng lỗi kiểm soát truy cập phổ biến bằng cách lần lượt thử các ID người dùng để thu thập hàng loạt hồ sơ dưới dạng xuất dữ liệu JSON, định dạng kỹ thuật thường dùng để quản lý hồ sơ người dùng, cho phép truy xuất đầy đủ và có hệ thống các thông tin cá nhân trong từng tài khoản.

Ngoài ra, hệ thống còn tồn tại các điểm cuối tài khoản (account endpoints) với cơ chế kiểm soát truy cập yếu, cho phép truy cập trái phép, thậm chí chỉnh sửa email, mật khẩu và hồ sơ người dùng mà không cần xác thực đầy đủ.

Do Condé Nast sử dụng nền tảng nhận dạng tập trung cho nhiều ấn phẩm, các lỗ hổng này đã tạo điều kiện cho việc trích xuất dữ liệu quy mô lớn.

Đặc biệt là, từ tháng 11/2025, nhóm “Lovely” từng liên hệ với trang DataBreaches.net dưới danh nghĩa một nhà nghiên cứu bảo mật có tên “Dissent Doe”, nhằm thông báo cho Condé Nast về 6 lỗ hổng bảo mật. Tuy nhiên, theo nhóm tin tặc, dù đã nhiều lần cố gắng liên lạc, kể cả thông qua phóng viên WIRED và các nhóm an ninh mạng, tập đoàn này không đưa ra phản hồi công khai, cũng không công bố tệp security.txt để tiếp nhận báo cáo lỗ hổng.

Tức giận trước sự im lặng này, “Lovely” tuyên bố việc công bố dữ liệu WIRED là một “món quà nóng Giáng sinh”, nhằm chỉ trích Condé Nast vì phớt lờ rủi ro của người dùng.

Người dùng bị ảnh hưởng, nguy cơ rủi ro dây chuyền

Sau vụ việc, nhiều người đăng ký WIRED cho biết họ đã nhận được cảnh báo từ các công cụ giám sát chợ đen, trong đó có Have I Been Pwned, nền tảng đã chính thức bổ sung sự cố này vào cơ sở dữ liệu các vụ rò rỉ.

Các chuyên gia an ninh mạng cảnh báo rằng việc Condé Nast sử dụng tài khoản dùng chung giữa nhiều thương hiệu có thể khiến rủi ro lan rộng theo hiệu ứng dây chuyền. Người dùng được khuyến nghị đổi mật khẩu, bật các biện pháp bảo mật bổ sung và theo dõi sát các dấu hiệu lừa đảo.

Vụ việc cũng một lần nữa làm dấy lên những chỉ trích về quy trình tiếp nhận và xử lý báo cáo lỗ hổng bảo mật tại các tập đoàn truyền thông lớn, khi dữ liệu người dùng đang trở thành mục tiêu hấp dẫn đối với tin tặc để thực hiện các hành vi tội phạm mạng.

An Lâm (Theo Cyber Security News)