24 tỷ tài khoản và mật khẩu bị đánh cắp đã được tập hợp tại một nơi - trên một máy chủ mở, bất kỳ ai cũng có thể kết nối. Phát hiện của các nhà nghiên cứu Cybernews không chỉ là một "lỗ hổng với N triệu dữ liệu". Đây là một bức tranh toàn cảnh của một ngành công nghiệp: những kẻ đánh cắp thông tin lấy cắp thông tin đăng nhập, các danh sách kết hợp tổng hợp chúng, và các đội quân bot chạy chúng qua các trang web, che giấu mỗi lần thử dưới dạng người dùng thật bằng cách sử dụng proxy dân cư và di động. Chúng ta sẽ phân tích những gì đã được tìm thấy, cách thức thực hiện việc thay thế tài khoản (credential stuffing) và tại sao thị trường ngầm này lại ảnh hưởng đến cả việc thu thập dữ liệu hợp pháp và đa tài khoản.
Điều gì đã xảy ra: 8,3 TB và 24 tỷ bản ghi trên một máy chủ
Vào ngày 12 tháng 6 năm 2026, các nhà nghiên cứu Cybernews đã phát hiện một cụm Elasticsearch mở có dung lượng 8,3 terabyte, trong đó chứa 24 tỷ bản ghi với thông tin đăng nhập. Cơ sở dữ liệu không được bảo vệ bằng mật khẩu hay bất kỳ hình thức xác thực nào - bất kỳ ai biết địa chỉ đều có thể đọc nó. Ngay sau khi công bố phát hiện, máy chủ đã bị đưa vào chế độ ngoại tuyến, vì vậy các nhà nghiên cứu không kịp tìm ra chủ sở hữu.
Mảng dữ liệu được thu thập từ 36 nguồn, và đây là một chi tiết quan trọng. Phần lớn - được gọi là "bộ sưu tập" (khoảng 22,6 tỷ bản ghi), nhưng cấu trúc của phần còn lại đặc biệt đáng chú ý:
- hơn 1,7 tỷ bản ghi được lấy trực tiếp từ các kênh Telegram - hơn 30 trong số 36 nguồn là các kênh nơi công khai buôn bán dữ liệu bị đánh cắp;
- khoảng 260 triệu bản ghi - từ các kênh có liên quan đến "Darkside";
- khoảng 150 triệu - các bản sao lưu cơ sở dữ liệu địa phương;
- khoảng 146 triệu - các tập hợp từ các lỗ hổng trước đó (danh sách kết hợp).
Bên trong - không chỉ là "email và mật khẩu". Một phần đáng kể của mảng dữ liệu là nhật ký của các kẻ đánh cắp thông tin: các phần mềm độc hại như RedLine, Lumma và Vidar, lấy mọi thứ từ trình duyệt bị nhiễm. Trong các nhật ký đầy đủ hơn có chứa mật khẩu đã lưu, cookie phiên và token - bao gồm cả những cái cho phép vượt qua xác thực hai yếu tố, dữ liệu tự động điền, dấu vân tay thiết bị và đôi khi là ví tiền điện tử. Mỗi bản ghi thường được kèm theo URL của dịch vụ mà mật khẩu phù hợp, - tức là một hướng dẫn sẵn có "để đăng nhập ở đâu".
Một điểm đáng lo ngại khác: theo các dấu hiệu gián tiếp (trong mảng dữ liệu đã tìm thấy các liên kết đến các tài liệu mới nhất cho đến năm 2026), có thể thấy rằng chủ sở hữu thường xuyên cập nhật cơ sở dữ liệu. Đây không phải là một bãi rác lưu trữ, mà là một công cụ sống động, được cập nhật thường xuyên.
Cách biến mật khẩu bị rò rỉ thành tiền: thay thế tài khoản
Bản thân danh sách "tên đăng nhập-mật khẩu" là vô dụng, cho đến khi nó được kiểm tra trên các trang web thực tế. Điều này được thực hiện thông qua credential stuffing - thay thế tài khoản: các bot tự động lấy các cặp bị đánh cắp và thử đăng nhập hàng loạt trên hàng trăm dịch vụ, hy vọng rằng người dùng sử dụng một mật khẩu ở nhiều nơi khác nhau.
Quy mô của vấn đề được thể hiện rõ trong dữ liệu Verizon DBIR năm 2025. Thay thế tài khoản chiếm 19% tất cả các nỗ lực đăng nhập hàng ngày trong các nhật ký của các nhà cung cấp SSO, trong các doanh nghiệp lớn tỷ lệ này lên đến 25%, và trong ngày tồi tệ nhất được ghi nhận - lên đến 44% tổng lưu lượng đăng nhập. Các thông tin đăng nhập bị đánh cắp là yếu tố khởi đầu trong 22% các vụ xâm nhập đã được xác nhận. Chỉ trong năm 2025, từ các danh sách kết hợp trên dark web đã thu thập khoảng 2 tỷ cặp duy nhất - và giờ đây trên một máy chủ có ngay 24 tỷ bản ghi.
Và đây là phần liên quan trực tiếp đến ngành công nghiệp proxy. Để không bị phát hiện ngay từ những nỗ lực đầu tiên, các kẻ tấn công chạy các yêu cầu qua các nhóm proxy dân cư và di động: mỗi lần đăng nhập được gửi từ một địa chỉ IP mới của nhà cung cấp thực tế hoặc nhà mạng di động. Đối với việc bảo vệ trang web, điều này không giống như một máy tính nghi ngờ đang cố gắng đăng nhập hàng nghìn lần, mà là như một nghìn "người dùng bình thường" khác nhau từ nhiều thành phố khác nhau. Bảo vệ cổ điển dựa trên tần suất yêu cầu từ một IP gần như vô dụng trong trường hợp này.
Tại sao điều này ảnh hưởng đến việc thu thập dữ liệu hợp pháp và đa tài khoản
Có vẻ như không liên quan gì đến những người đang thu thập dữ liệu một cách hợp pháp, tự động hóa SMM hoặc điều hành nhiều tài khoản cho doanh nghiệp? Điều này liên quan đến việc các hệ thống chống bot không phân biệt ý định - chúng phân biệt các mẫu. Càng nhiều kẻ xấu cố gắng che giấu việc thay thế tài khoản dưới dạng lưu lượng truy cập thật thông qua các IP dân cư, thì Cloudflare, Akamai, DataDome và AWS WAF càng siết chặt các biện pháp bảo vệ cho tất cả.
Do đó, việc phát hiện đã chuyển từ cấp độ IP sang cấp độ danh tính. Ngày nay, các bộ lọc không chỉ xem xét địa chỉ mà còn xem cách khách hàng hành xử và hình dạng của dấu vân tay mạng của họ:
- TLS- và HTTP-fingerprinting (JA3/JA4) - nếu quá trình bắt tay không khớp với trình duyệt đã khai báo, khách hàng sẽ bị đánh dấu là nghi ngờ;
- phân tích hành vi thời gian - một người bình thường có khoảng thời gian giữa các hành động "biến động", trong khi các kịch bản thường cho ra các khoảng thời gian gần như giống hệt nhau;
- anomalies in success ratios - những lần đăng nhập thành công hiếm hoi, phân tán trên nhiều tài khoản, - là dấu hiệu đặc trưng của việc thay thế tài khoản;
- khoảng trống trong tiêu đề và JavaScript - các bot không render toàn bộ trang sẽ mất cookie và các giá trị mà JS thiết lập.
Đó là lý do tại sao vào năm 2026, việc thu thập dữ liệu ngày càng trở thành một trò chơi về danh tính, chứ không phải là cuộc đua về số lượng IP - chúng tôi đã phân tích chi tiết cơ chế TLS- và JA4-fingerprinting riêng. Đối với các dự án hợp pháp, bài học đơn giản: chất lượng và "sự sạch sẽ" của proxy giờ đây quan trọng hơn số lượng của chúng. Một IP mà hôm qua được sử dụng để thử nghiệm mật khẩu của người khác, hôm nay đã nằm trong danh sách đen của các hệ thống uy tín - và kéo theo lưu lượng hợp pháp của bạn.
Còn có một khía cạnh về uy tín. Các vụ bê bối xung quanh các botnet từ các Smart TV bị xâm nhập và việc gần đây giải tán các mạng proxy ngầm đã chỉ ra rằng một phần của thị trường "dân cư" được nuôi dưỡng từ các nguồn đáng ngờ. Đối với doanh nghiệp, đây là tín hiệu để chọn nhà cung cấp có nguồn gốc IP minh bạch và KYC rõ ràng, chứ không phải là nhóm rẻ nhất với chất lượng không rõ ràng. Các proxy dân cư hợp pháp và proxy di động từ các mạng đã được kiểm chứng cung cấp uy tín "sạch" mà mọi người đang tìm kiếm, - mà không có rủi ro bị đưa vào cùng một phân khúc với lưu lượng credential-stuffing.
Phải làm gì ngay bây giờ
Đối với người dùng thông thường, sự bảo vệ chính chống lại những lỗ hổng như vậy không phải là mật khẩu mà là sự không lặp lại của nó. Một kẻ đánh cắp thông tin, đã lấy cắp mật khẩu của bạn từ một diễn đàn, nguy hiểm đúng bằng mức độ mà mật khẩu đó cũng phù hợp với email và ngân hàng của bạn.
- Mật khẩu duy nhất cho mỗi dịch vụ và một trình quản lý mật khẩu để không phải nhớ chúng. Thay thế tài khoản chỉ tồn tại nhờ việc sử dụng lại.
- Xác thực hai yếu tố hoặc passkeys cho các tài khoản quan trọng - email, ngân hàng, cửa hàng, mạng xã hội. Ngay cả với mật khẩu bị rò rỉ, việc đăng nhập mà không có yếu tố thứ hai sẽ khó khăn hơn.
- Nhớ về các token phiên. Các kẻ đánh cắp thông tin lấy cắp cookie, mà vẫn tồn tại sau khi nhập mật khẩu và 2FA, - vì vậy khi nghi ngờ bị nhiễm, không chỉ nên thay đổi mật khẩu mà còn kết thúc các phiên hoạt động trên tất cả các thiết bị.
- Không chạy bất cứ thứ gì. Các kẻ đánh cắp thông tin lây lan qua quảng cáo độc hại, "cập nhật trình duyệt" giả mạo, phần mềm bị xâm nhập, cheat game, tiện ích mở rộng đáng ngờ và các cuộc tấn công ClickFix, nơi nạn nhân được thuyết phục thực hiện lệnh.
Đối với những người tự động hóa công việc với các trang web một cách hợp pháp, bài học khác: tách biệt các danh tính và không trộn lẫn chúng. Một bộ tài khoản riêng biệt - một IP sạch riêng biệt, một hồ sơ trình duyệt riêng biệt với dấu vân tay nhất quán. Đó là cách xây dựng các kịch bản chống phát hiện, và đó là lý do tại sao một nhóm proxy "xám" rẻ tiền ngày nay nguy hiểm hơn cho dự án so với việc không có proxy.
Kết luận
24 tỷ bản ghi trên một máy chủ không được bảo vệ bằng mật khẩu - không phải là một kỷ lục vì kỷ lục, mà là một bức tranh của một nền kinh tế đang hoạt động: kẻ đánh cắp thông tin ở đầu vào, danh sách kết hợp ở giữa, thay thế tài khoản qua proxy dân cư ở đầu ra. Trong khi mọi người tiếp tục sử dụng lại mật khẩu, dây chuyền này sẽ vẫn sinh lợi, và việc bảo vệ chống bot sẽ ngày càng nghiêm ngặt hơn. Người thua cuộc sẽ là những người phớt lờ vệ sinh: người dùng bình thường không có mật khẩu duy nhất và 2FA - và doanh nghiệp cố gắng tiết kiệm chi phí cho sự sạch sẽ của cơ sở hạ tầng. Trong một thế giới mà việc phát hiện dựa trên danh tính chứ không phải trên IP, việc đặt cược vào sự minh bạch và chất lượng không còn là một sự xa xỉ.
