Trang tin bảo mật Cybernews phát hiện, một thành viên đăng trên diễn đàn hacker một tệp tin có tên RockYou2024 chứa tổng cộng 9.948.575.739 mật khẩu ở dạng văn bản thuần túy, cho phép những thành viên khác có thể tải về. Đây được coi là bảng tổng hợp password rò rỉ lớn nhất từ trước đến nay.
Trước khi công bố RockYou2024, người này đã lập tài khoản từ tháng 5 và từng chia sẻ dữ liệu từ hàng loạt vụ tấn công khác.
Các nhà nghiên cứu phát hiện rằng, RockYou2024 là bản cập nhật của RockYou2021, bảng tổng hợp mật khẩu chứa 8,4 tỷ dữ liệu được tung ra ba năm trước. RockYou2024 được bổ sung 1,5 tỷ mật khẩu mới từ thông tin thu thập trên Internet.
Bản chất RockYou2024 là bản tổng hợp mật khẩu thực tế được sử dụng bởi các cá nhân trên toàn thế giới, tăng dần hàng năm theo cấp số nhân.
Cybernews dẫn lời chuyên gia đánh giá, có thể bản RockYou mới nhất chứa thông tin được thu thập từ hơn 4.000 cơ sở dữ liệu trong hơn hai thập kỷ.
Các chuyên gia lo ngại, với lượng dữ liệu lớn như vậy kẻ gian có thể khai thác và thực hiện nhiều cuộc tấn công xâm nhập tài khoản như vét cạn (brute force - kỹ thuật tấn công bằng cách tự động hóa quy trình đăng nhập, thử hàng triệu mật khẩu khác nhau cho đến khi khớp) hay nhồi thông tin xác thực (credential stuffing - tin tặc sẽ sử dụng các tài khoản và mật khẩu bị lộ để truy cập trái phép vào tài khoản người dùng).
Các nhà nghiên cứu cảnh báo, sau RockYou2024 cả dịch vụ trực tuyến và ngoại tuyến, bao gồm các thiết bị như camera giám sát, phần cứng công nghiệp cũng có nguy cơ bị tấn công. Người dùng nên đổi mật khẩu cho các tài khoản, ưu tiên mật khẩu mạnh và chưa từng được sử dụng ở bất kỳ dịch vụ nào đồng thời bật xác thực đa yếu tố MFA, sử dụng trình quản lý mật khẩu để ngăn chặn nguy cơ tấn công.