Nhìn ra thế giới

"Sóng dữ" tấn công mạng càn quét loạt ông lớn Bumble, Panera Bread và Match Group

Hàng loạt doanh nghiệp lớn tại Mỹ gồm Bumble, Panera Bread, Match Group và CrunchBase vừa trở thành nạn nhân của một làn sóng tấn công mạng mới. Các chuyên gia cảnh báo đây là chiến dịch sử dụng kỹ thuật "thao túng tâm lý" (social engineering - kỹ nghệ xã hội) tinh vi nhắm vào các tập đoàn hàng đầu.

10:17, 29/01/2026

Thiệt hại bước đầu tại Bumble, Panera Bread và Match Group

Bumble - công ty mẹ của các ứng dụng hẹn hò nổi tiếng như Bumble, Badoo và BFF, cho biết đã liên hệ với cơ quan thực thi pháp luật sau khi tài khoản của một nhà thầu bị xâm nhập thông qua một vụ lừa đảo giả mạo (phishing).

Người phát ngôn của Bumble xác nhận tin tặc đã có “quyền truy cập trái phép trong thời gian ngắn vào một phần nhỏ của mạng lưới nội bộ”, nhưng khẳng định các dữ liệu quan trọng như cơ sở dữ liệu thành viên, tin nhắn trực tiếp hay hồ sơ người dùng vẫn an toàn.

Tương tự, chuỗi cửa hàng Panera Bread cũng đã phát đi cảnh báo sau khi phát hiện tin tặc xâm nhập vào một ứng dụng phần mềm lưu trữ dữ liệu của công ty. “Dữ liệu bị ảnh hưởng là các thông tin liên hệ”, người phát ngôn của Panera cho biết nhưng không đi sâu vào chi tiết.

Trong khi đó, Match Group (đơn vị sở hữu Tinder) xác nhận vào thứ Tư rằng một lượng nhỏ dữ liệu người dùng đã bị ảnh hưởng và công ty đang trong quá trình thông báo tới khách hàng. Đại diện Match khẳng định chưa có dấu hiệu cho thấy thông tin đăng nhập, dữ liệu tài chính hay các cuộc hội thoại riêng tư bị rò rỉ. 

Riêng phía CrunchBase cho biết các tài liệu trong mạng lưới doanh nghiệp của họ đã bị tác động, nhưng sự cố đã sớm được khống chế.

Lộ diện nhóm tin tặc ShinyHunters

Các chuyên gia an ninh mạng nhận định đây là một phần trong chiến dịch tấn công kỹ nghệ xã hội quy mô lớn nhắm vào các công ty Mỹ, được thực hiện bởi nhóm tin tặc tự xưng là ShinyHunters. Dù Bloomberg chưa thể xác minh độc lập, nhóm này đã lên tiếng nhận trách nhiệm về các vụ tấn công vào cả bốn doanh nghiệp trên.

Mandiant, công ty an ninh mạng thuộc sở hữu của Google (Alphabet), tuần trước đã đưa ra cảnh báo về chiến dịch của ShinyHunters. Nhóm này sử dụng kỹ thuật “vishing” (lừa đảo qua giọng nói) mới lạ để chiếm đoạt thông tin đăng nhập một lần (SSO) từ các tổ chức nạn nhân, từ đó truy cập trái phép vào hệ thống từ xa.

Ông Charles Carmakal, Giám đốc Công nghệ của Mandiant, giải thích thêm: “Sau khi xâm nhập được vào hệ thống máy tính, tin tặc sẽ chuyển hướng sang các môi trường phần mềm dịch vụ (SaaS) để đánh cắp dữ liệu nhạy cảm”. Ông cũng tiết lộ rằng ShinyHunters đã tiếp cận một số nạn nhân để yêu cầu thanh toán tiền chuộc (tống tiền). Hiện các công ty liên quan vẫn chưa đưa ra bình luận về yêu cầu tống tiền này.

Lệ Thanh (theo Bloomberg)

Nhìn ra thế giới
Mỹ tấn công mạng social engineering kỹ nghệ xã hội Bumble Panera Bread Match Group CrunchBase SSO SaaS

Các nước Bắc Âu và Estonia triển khai hệ thống thanh toán thẻ ngoại tuyến đề phòng mất kết nối Internet

Công ty an ninh mạng CrowdStrike sa thải hàng trăm nhân viên

Bình luận

Sự kiện & Quan điểm
Thượng tướng Phạm Thế Tùng trao tặng 1.000 suất quà Tết, 390 xe lăn tại TP Cần Thơ

Thượng tướng Phạm Thế Tùng trao tặng 1.000 suất quà Tết, 390 xe lăn tại TP Cần Thơ

Chiều 30/01/2026, Bộ Công an phối hợp Hiệp hội An ninh mạng Quốc gia, Công ty Cổ phần Công nghệ An ninh mạng Quốc gia Việt Nam (NCS) và Tập đoàn CT&D tổ chức trao 1.000 suất quà Tết, 390 xe lăn cùng máy tính, thiết bị y tế cho các gia đình chính sách, người yếu thế và cơ sở giáo dục, y tế tại Cần Thơ, lan tỏa tinh thần “vì Nhân dân phục vụ”.