Tranh cãi về cảnh báo bảo mật của Gmail: thực sự đã xảy ra chuyện gì?
Hầu như mọi hãng tin công nghệ lớn (và cả không phải công nghệ, xét cho cùng) gần đây đều đưa tin về một cảnh báo bảo mật được gửi — hoặc không được gửi — tới vài tỷ người dùng Gmail, kêu gọi họ đổi mật khẩu. Nói ngắn gọn, đúng là đã có một vụ rò rỉ, và Google đã xác nhận, nhưng công ty cho biết kẻ xấu chỉ lấy được một số thông tin liên hệ công việc và họ tên, chứ không phải thông tin đăng nhập Gmail. Tuy vậy, điều này không có nghĩa là bạn không nên đổi mật khẩu Gmail: tốt nhất nên thực hiện việc này định kỳ để an toàn, bất kể bạn đã bật xác thực hai yếu tố (2FA) hay chưa.
Muốn biết toàn bộ câu chuyện? Đọc tiếp.
Vụ rò rỉ thực sự đã kích hoạt các tin tức về cảnh báo đổi mật khẩu Gmail
Đầu năm 2025, một nhóm tin tặc có tên ShinyHunters đã xâm nhập vào một trong các cơ sở dữ liệu Salesforce của Google và đánh cắp thông tin về một số lượng người dùng chưa được tiết lộ (ít nhất chúng tôi chưa tìm thấy con số). Như đã đề cập ở trên, đó là các thông tin liên hệ công việc và họ tên.
Google thừa nhận vụ rò rỉ, cho biết nó xảy ra thông qua một tiện ích mở rộng của Salesforce. Đến đầu tháng 8 năm 2025, công ty đã hoàn tất việc thông báo cho những người bị ảnh hưởng.
Tuy nhiên, có vẻ truyền thông đã diễn giải sai tình hình: đã có các bài viết liên kết sự cố nói trên với một cảnh báo hàng loạt được cho là do Google gửi đi, kêu gọi người dùng Gmail — hơn 2,5 tỷ người — đổi mật khẩu.
Những bài viết này lan truyền chóng mặt và buộc công ty phải phản hồi: ngày 1 tháng 9 năm 2025, Google đã đăng một bài viết có tiêu đề “Các biện pháp bảo vệ của Gmail mạnh mẽ và hiệu quả, và các tuyên bố về một cảnh báo bảo mật lớn của Gmail là sai” trên blog Workspace của mình. Trong bài, gã khổng lồ này bác bỏ việc từng gửi cảnh báo đó, gọi các tuyên bố liên quan là không chính xác. Ngoài ra, Google khẳng định rằng “các biện pháp bảo vệ của họ tiếp tục chặn hơn 99,9% các nỗ lực lừa đảo và phần mềm độc hại trước khi đến tay người dùng.”
Làm thế nào để tự bảo vệ khỏi phishing và vishing?
Chúng tôi đã đề cập các dạng tấn công này trong “Kỹ nghệ xã hội trong hacking: các phương thức phổ biến và biện pháp bảo vệ”; nếu bạn bỏ lỡ, hãy đọc bài đó, có nhiều thông tin hữu ích. Tóm lược một phần, dưới đây là những biện pháp theo lẽ thường để tự bảo vệ trước các nỗ lực độc hại như vậy.
Hãy tin nhưng phải kiểm chứng; tốt hơn nữa là đừng vội tin. Nếu email có chút đáng ngờ — chẳng hạn một quảng cáo không mời mà đến hoặc một đề nghị bất ngờ từ người quen cũng đã đủ đáng ngờ — thì đừng nhấp vào các liên kết trong đó.
Bật xác thực hai yếu tố bất cứ khi nào có thể, và ưu tiên ứng dụng tạo mã xác thực thay vì SMS. Cân nhắc chuyển sang passkey, điều này sớm muộn cũng sẽ xảy ra.
Sử dụng trình quản lý mật khẩu, cấu hình tường lửa đúng cách, cân nhắc đăng ký VPN và thiết lập quy trình sao lưu — nói chung, hãy làm theo các khuyến nghị mà chúng tôi đã đưa ra trong “An ninh mạng cho số đông: thực hành tốt nhất và công cụ.”
Hãy giữ an toàn!
