Trên diễn đàn Raidforums, một thành viên đã đăng tệp được cho là thông tin của 163.666.400 triệu tài khoản Zing ID của công ty VNG. Dữ liệu khá chi tiết, bao gồm tên tài khoản, mật khẩu, email, số điện thoại, ngày sinh, địa chỉ, số CMND - hộ chiếu... của các thành viên dùng Zing ID.
Tập thông tin rò rỉ trên có dung lượng tới 7,55 Gigabyte, đăng hôm 24/4 và một số thành viên của diễn đàn này đã tải về. Tuy nhiên, đến tối qua 27/4, file dữ liệu đã bị xoá khỏi Raidforums và chủ đề này bị chuyển vào mục Removed Content (Nội dung đã bị xoá) của diễn đàn, nhưng vẫn cho phép thảo luận.
Thông tin về hơn 163 triệu tài khoản Zing ID được chia sẻ trên Raidforums.
Theo VNG, dữ liệu rò rỉ nói trên nằm trong số 160 triệu tài khoản Zing ID có nguy cơ bị rò rỉ mà công ty phát hiện từ năm 2015. Tại thời điểm đó, công ty đã có biện pháp kỹ thuật nhằm ngăn chặn xâm nhập và hạn chế số người bị ảnh hưởng. 99% tài khoản trên không phát sinh hoạt động trong khoảng một năm gần đây, đồng thời phạm vi tác động tập trung vào các người dùng chơi game của VNG.
Zing ID là tên gọi tài khoản người dùng của VNG. Chỉ với một ID, người dùng có thể sử dụng một số dịch vụ của công ty như chơi game, truy cập mạng xã hội Zing Me.
Trước đây, Zing ID còn sử dụng được với một số tiện ích khác của VNG trong đó có Zing MP3 nhưng từ cuối 2016, công ty đã chuyển sang Zalo ID. Như vậy, theo tập đoàn này, vụ lộ thông tin trên không ảnh hưởng trực tiếp tới các dịch vụ như Zing MP3, Zalo (trò chuyện OTT), dịch vụ trung gian thanh toán Zalo Pay...
Tiếp cận file dữ liệu rò rỉ, chuyên gia bảo mật Nguyễn Hồng Phúc cho biết tập thông tin trên có nhiều dòng trùng nhau nên số tài khoản có nguy cơ rò rỉ sau khi loại bỏ trùng nhau là khoảng 33 triệu Zing ID. Mật khẩu rò rỉ được mã hoá MD5 chứ không phải văn bản thuần nên không phải ai cũng có thể đăng nhập được vào Zing ID từ thông tin lộ trên. Dù thế, mật khẩu mã hoá này có mức độ an toàn không cao do không có chuỗi ký tự ngẫu nhiên (salt).
"Việc thông tin Zing ID bị rò rỉ sẽ ảnh hưởng nhiều tới những người dùng chung mật khẩu cho các dịch vụ khác nhau", ông Phúc đánh giá. "Chẳng hạn từ mật khẩu Zing ID khi đã giải mã, kẻ tấn công có thể thử đăng nhập vào ngân hàng trực tuyến, Zalo, email hay Facebook... vì không ít người có thói quen dùng chung mật khẩu cho mọi tài khoản và khi ấy hậu quả sẽ không hề nhỏ".
Chuyên gia bảo mật này cho rằng người dùng có tài khoản Zing ID nên lập tức đổi mật khẩu, kể cả với những dịch vụ khác nhưng có dùng chung mật khẩu giống của Zing ID. Trong khi đó, VNG cho biết đang tăng cường hệ thống an ninh cho dịch vụ game và giải quyết vấn đề.