Nhồi nhét thông tin đăng nhập hay nhồi nhét thông tin xác thực () là một dạng tấn công mạng, trong đó kẻ tấn công thu thập thông tin đăng nhập bị đánh cắp – thường là danh sách tên người dùng hoặc địa chỉ email kèm theo mật khẩu (chủ yếu được lấy từ các vụ rò rỉ dữ liệu) – sau đó sử dụng chúng để truy cập trái phép vào tài khoản người dùng trên các hệ thống khác. Quá trình này được thực hiện thông qua các yêu cầu đăng nhập tự động trên quy mô lớn nhằm vào một ứng dụng web. Không giống như bẻ khóa thông tin xác thực, các cuộc tấn công nhồi nhét thông tin xác thực không cố gắng sử dụng kỹ thuật brute force hoặc đoán mật khẩu. Thay vào đó, kẻ tấn công chỉ đơn giản tự động hóa quá trình đăng nhập với số lượng lớn (hàng nghìn đến hàng triệu) cặp thông tin xác thực đã bị lộ trước đó, bằng cách sử dụng các công cụ tự động hóa web tiêu chuẩn như Selenium, cURL, PhantomJS hoặc các công cụ chuyên biệt cho loại tấn công này như Sentry MBA, SNIPR, STORM, Blackbullet và Openbullet.
Các cuộc tấn công nhồi nhét thông tin xác thực có thể xảy ra do nhiều người dùng tái sử dụng cùng một cặp tên đăng nhập/mật khẩu trên nhiều website khác nhau. Một khảo sát cho thấy có 81% người dùng đã sử dụng lại mật khẩu trên ít nhất hai website, và 25% người dùng sử dụng cùng một mật khẩu cho phần lớn tài khoản của họ. Năm 2017, Ủy ban Thương mại Liên bang Hoa Kỳ (FTC) đã đưa ra một khuyến nghị, đề xuất các biện pháp mà các công ty cần thực hiện để chống lại nhồi thông tin xác thực, chẳng hạn như yêu cầu có mật khẩu đủ an toàn và bảo vệ hệ thống trước các cuộc tấn công. Theo Shuman Ghosemajumder, cựu giám đốc mảng chống gian lận nhấp chuột của Google, các cuộc tấn công nhồi thông tin xác thực thường có tỷ lệ thành công lên đến 2%, nghĩa là với một triệu thông tin đăng nhập bị đánh cắp, kẻ tấn công có thể chiếm đoạt hơn 20.000 tài khoản. Tạp chí Wired cho rằng cách tốt nhất để bảo vệ khỏi kiểu tấn công này là sử dụng mật khẩu độc lập cho mỗi tài khoản (chẳng hạn như mật khẩu được tạo tự động bởi trình quản lý mật khẩu), kích hoạt xác thực hai yếu tố và yêu cầu các công ty phát hiện cũng như ngăn chặn các cuộc tấn công kiểu vậy.
Rò rỉ thông tin đăng nhập
Rò rỉ thông tin đăng nhập, còn được gọi là rò rỉ thông tin xác thực hoặc rò rỉ dữ liệu, xảy ra khi các cá nhân hoặc nhóm không được phép truy cập trái phép vào thông tin đăng nhập nhạy cảm do tổ chức lưu trữ. Các thông tin này thường bao gồm tên người dùng, địa chỉ email và mật khẩu. Hậu quả của rò rỉ thông tin xác thực có thể nghiêm trọng, khiến người dùng đối mặt với nhiều rủi ro như đánh cắp danh tính, gian lận tài chính và xâm nhập trái phép vào tài khoản.
Các cuộc tấn công nhồi thông tin xác thực được coi là một trong những mối đe dọa hàng đầu đối với các ứng dụng web và di động do số lượng lớn các vụ rò rỉ dữ liệu. Chỉ trong năm 2016, hơn ba tỷ thông tin đăng nhập đã bị rò rỉ từ các vụ rò rỉ dữ liệu trực tuyến.
Nguồn gốc thuật ngữ
Thuật ngữ này được đặt ra bởi Sumit Agarwal, đồng sáng lập Shape Security, khi ông đang giữ chức Phó Trợ lý Bộ trưởng Quốc phòng tại Lầu Năm Góc.
Sự cố
Vào ngày 20 tháng 8 năm 2018, nhà bán lẻ mỹ phẩm và chăm sóc sức khỏe Superdrug (Anh) đã trở thành mục tiêu của một vụ tống tiền, trong đó tin tặc đưa ra bằng chứng cho thấy chúng đã xâm nhập vào website của công ty và tải xuống dữ liệu của 20.000 người dùng. Tuy nhiên, bằng chứng này nhiều khả năng được thu thập từ các vụ tấn công và rò rỉ dữ liệu trước đó, sau đó được sử dụng làm nguồn cho các cuộc tấn công nhồi nhét thông tin đăng nhập nhằm lấy thêm thông tin để tạo ra bằng chứng giả mạo.
Vào tháng 10 và tháng 11 năm 2016, tin tặc đã truy cập vào kho mã nguồn riêng tư trên GitHub được các nhà phát triển của Uber (Uber BV và Uber UK) sử dụng, bằng cách khai thác tên người dùng và mật khẩu của nhân viên đã bị lộ từ các vụ rò rỉ trước đó. Họ tuyên bố đã chiếm đoạt tài khoản của 12 nhân viên bằng phương pháp nhồi nhét thông tin xác thực, do các địa chỉ email và mật khẩu của họ được tái sử dụng trên nhiều nền tảng khác. Mặc dù có sẵn xác thực đa yếu tố, nhưng tính năng này đã không được kích hoạt cho các tài khoản bị ảnh hưởng. Tin tặc sau đó tìm thấy thông tin đăng nhập vào kho dữ liệu AWS của công ty trong các tệp của kho GitHub và sử dụng chúng để truy cập vào hồ sơ của 32 triệu người dùng ngoài Mỹ, 3,7 triệu tài xế ngoài Mỹ, cùng với nhiều dữ liệu khác trong hơn 100 bucket S3. Nhóm tấn công đã liên hệ với Uber, yêu cầu khoản tiền chuộc 100.000 USD để xóa dữ liệu. Công ty đã thanh toán số tiền này thông qua chương trình tiền thưởng lỗi (bug bounty) nhưng không thông báo cho các bên bị ảnh hưởng trong hơn một năm. Sau khi vụ việc bị phanh phui, Uber đã bị Văn phòng Ủy viên Thông tin Vương quốc Anh (ICO) phạt 385.000 bảng Anh (sau đó giảm xuống còn 308.000 bảng).
Năm 2019, công ty nghiên cứu an ninh mạng Knight Lion Security tuyên bố trong một báo cáo rằng nhồi thông tin xác thực là phương thức tấn công ưa thích của nhóm tin tặc GnosticPlayers.
Kiểm tra thông tin xác thực bị xâm nhập
Kiểm tra thông tin xác thực bị xâm nhập là một kỹ thuật cho phép các website, trình duyệt web hoặc các trình quản lý mật khẩu thông báo cho người dùng khi mật khẩu của họ bị rò rỉ.
Vào tháng 2 năm 2018, nhà khoa học máy tính người Anh Junade Ali đã tạo ra một giao thức truyền thông sử dụng k-anonymity và hàm băm mật mã để kiểm tra một cách ẩn danh xem một mật khẩu có bị rò rỉ hay không mà không tiết lộ hoàn toàn mật khẩu được tìm kiếm. Giao thức này đã được triển khai dưới dạng API công khai và hiện được nhiều website, dịch vụ, bao gồm các trình quản lý mật khẩu và tiện ích mở rộng trình duyệt sử dụng. Phương pháp này sau đó đã được Google áp dụng trong tính năng Trình kiểm tra Mật khẩu (Password Checkup). Ali cũng đã hợp tác với các nhà nghiên cứu tại Đại học Cornell để phát triển các phiên bản mới của giao thức này, được gọi là Frequency Smoothing Bucketization (FSB) và Identifier-Based Bucketization (IDB). Vào tháng 3 năm 2020, kỹ thuật lớp đệm mật mã (cryptographic padding) đã được bổ sung vào giao thức này.
👁️
0 | 🔗 | 💖 | ✨ | 🌍 | ⌚
**Nhồi nhét thông tin đăng nhập** hay **nhồi nhét thông tin xác thực** () là một dạng tấn công mạng, trong đó kẻ tấn công thu thập thông tin đăng nhập bị đánh cắp –
**Đảng Công nhân Đức Quốc gia Xã hội chủ nghĩa** ( - **NSDAP**), thường được gọi là **Đảng Quốc Xã** trong tiếng Việt, là đảng cầm quyền Đức trong thời kỳ Đức Quốc Xã. Lãnh
✅ Áo Khoác Nam Lông Cừu / Áo Măng Tô Nam Siêu Cấp Sans14 với form áo cực đẹp, dày dặn và xịn sang sẽ khiến Quý Khách tăng mạnh độ đẹp trai để luôn
✅ Áo Khoác Nam Lông Cừu / Áo Măng Tô Nam Siêu Cấp Sans14 với form áo cực đẹp, dày dặn và xịn sang sẽ khiến Quý Khách tăng mạnh độ đẹp trai để luôn
**Chiến dịch tranh cử tổng thống năm 2020 của Donald Trump** là **chiến dịch** tái tranh cử thất bại của Tổng thống thứ 45 của Hoa Kỳ Donald Trump, người nhậm chức vào ngày 20
**_Người Nhện siêu đẳng 2: Sự trỗi dậy của Người Điện_** (tên gốc tiếng Anh: **_The Amazing Spider-Man 2_**) là một bộ phim điện ảnh thuộc thể loại siêu anh hùng của Mỹ năm 2014
**_Xenoblade Chronicles_** là trò chơi thuộc thể loại hành động nhập vai, thế giới mở do Monolith Soft phát triển và Nintendo phát hành cho hệ máy Wii. Trò chơi ban đầu được phát hành
**Nicolas Sarkozy** (IPA: nikɔˈla saʁkɔˈzi - ), sinh ngày 28 tháng 1 năm 1955 với tên **Nicolas Paul Stéphane Sarközy de Nagy-Bocsa**, là cựu tổng thống Pháp. Sarkozy kế nhiệm Jacques Chirac vào ngày 16
**_Những Người Canh Giữ_** (tựa gốc tiếng Anh: **_Watchmen_**) là một bộ phim truyền hình giới hạn về thể loại chính kịch siêu anh hùng của Hoa Kỳ dựa trên loạt truyện tranh cùng tên
**_Joker_** là một bộ phim điện ảnh Mỹ thuộc thể loại tâm lý – giật gân ra mắt năm 2019 do Todd Phillips làm đạo diễn kiêm đồng sản xuất, với phần kịch bản do
là một thương hiệu truyền thông kinh dị của Nhật Bản, tập trung vào một loạt các trò chơi điện tử kinh dị sinh tồn, do Toyama Keiichiro sáng tạo, được Konami và công ty
Trong kỷ nguyên số, một bài viết chuẩn SEO không chỉ giúp doanh nghiệp tăng khả năng hiển thị trên Google, mà còn nâng cao độ uy tín và chuyển đổi khách hàng hiệu quả
Khi sở hữu một website phục vụ kinh doanh, việc làm cho website của bạn xuất hiện nhiều trên các nền tảng số, đặc biệt là Google, là điều không thể bỏ qua. Để đạt
Khi sở hữu một website phục vụ kinh doanh, việc làm cho website của bạn xuất hiện nhiều trên các nền tảng số, đặc biệt là Google, là điều không thể bỏ qua. Để đạt
nhỏ|_[[Ōryoku Maru_, một trong những tàu địa ngục bị không quân Mỹ tấn công trên vịnh Manila]] **Tàu địa ngục** (, ) là từ chỉ tàu thủy và tàu chiến được Nhật Bản dùng để
nhỏ|Ecobricks là chai nước uống bằng nhựa được đóng gói bằng chất thải không phân hủy được để tạo thành một loại gạch có thể tái sử dụng **Ecobrick** là một chai nhựa được nhồi
**_Inherent Vice_** là tên một bộ phim hài bí ẩn tân cổ điển biên niên sử của Hoa Kỳ năm 2014 do Paul Thomas Anderson đồng viết kịch bản và đạo diễn dựa trên cuốn
**_Loud_** là album phòng thu thứ năm của nữ ca sĩ người Barbados Rihanna, được hãng đĩa Def Jam Recordings và SRP Records phát hành lần đầu vào ngày 12 tháng 11 năm 2010. Ý
là vị Thiên hoàng thứ 122 của Nhật Bản theo Danh sách Thiên hoàng truyền thống, trị vì từ ngày 13 tháng 2 năm 1867 tới khi qua đời. Ông được đánh giá là một
**Nội chiến Campuchia** là cuộc chiến giữa lực lượng của Đảng Cộng sản Campuchia (được biết đến với tên gọi Khmer Đỏ) và đồng minh của họ, Việt Nam Dân chủ Cộng hòa và Mặt
**Mikhail Sergeyevich Gorbachyov** (chính tả tiếng Anh: **Gorbachev**; phiên âm tiếng Việt: **Goóc-ba-chốp**; 2 tháng 3 năm 1931 – 30 tháng 8 năm 2022) là một chính khách người Nga, nhà lãnh đạo thứ tám
**Sự kiện Vịnh Bắc Bộ** (tiếng Anh: _Gulf of Tonkin incident_) là một cuộc chạm trán tầm cỡ quốc tế dẫn tới việc Hoa Kỳ tham gia trực tiếp hơn vào cuộc Chiến tranh Việt
**Đức hóa** () là quá trình truyền bá ngôn ngữ, con người và văn hóa Đức, hay các chính sách khởi đầu cho những thay đổi này. Vấn đề này từng là nguyên tắc chủ
**Tổ chức Giáo dục, Khoa học và Văn hóa của Liên Hợp Quốc**, viết tắt **UNESCO** là một trong những tổ chức chuyên môn lớn của Liên Hợp Quốc, được thành lập vào năm 1945
**Hiếu Khâm Hiển Hoàng hậu**; (chữ Hán: 孝欽顯皇后; ; ; trước đây La Mã hóa là **Từ Hi Thái hậu T'zu-hsi**; 29 tháng 11 năm 1835 – 15 tháng 11 năm 1908), thường được gọi
**F-35 Lightning II** (Tia chớp) (viết tắt: F-35) là tên gọi chung cho 3 biến thể máy bay khác nhau dựa trên thiết kế cơ sở X-35 của dự án phát triển máy bay tiêm
**Iron Man** (tên thật là _Tony Stark_) là một siêu anh hùng hư cấu xuất hiện trong truyện tranh của Mỹ được xuất bản bởi Marvel Comics, cũng như các phương tiện truyền thông liên
**_Gia đình hiện đại_** () là một loạt phim hài kịch tình huống theo phong cách giả tài liệu về chủ đề gia đình của Mỹ, được sáng tạo bởi Christopher Lloyd và Steven Levitan
**Trại tập trung Auschwitz** ( ) là một mạng lưới các trại tập trung và trại hủy diệt do Đức Quốc Xã dựng lên tại vùng lãnh thổ Ba Lan bị nước này thôn tính
**Cuộc đột kích Cabanatuan** diễn ra tại Philippines vào ngày 30 tháng 1-1945 được thực hiện bởi Biệt kích Hoa Kỳ, Đội trinh sát Alamo và quân du kích Philippines. Kết quả là đã giải
**Hryhorii Savych Skovoroda** (; 3 tháng 12 năm 1722 - 9 tháng 11 năm 1794) là một triết gia người gốc Cossack Ukraine sinh sống và làm việc tại Đế quốc Nga. Ông là một
**Direct Action Everywhere** () viết tắt là **DxE**, là một mạng lưới cơ sở quốc tế của các nhà hoạt động vì quyền động vật được thành lập vào năm 2013 tại Khu vực Vịnh
**_Babel** (tạm dịch: Hỗn độn)_ là một bộ phim tâm lý xã hội chính kịch năm 2006 của đạo diễn Alejandro González Iñárritu và do Guillermo Arriaga viết kịch bản. Phim có sự tham gia
**Robyn Rihanna Fenty** (; sinh ngày 20 tháng 2 năm 1988) là một nữ ca sĩ kiêm doanh nhân người Barbados. Sinh ra tại Saint James, Barbados và lớn lên tại Bridgetown, trong suốt năm
**McAfee, Inc.** (; còn được biết đến như **Intel Security Group** trong giai đoạn 2014–2017) là một công ty phần mềm an ninh toàn cầu của Mỹ có trụ sở tại Santa Clara, California. Họ
SEO Marketing chính là cách để giúp một trang web chiếm được vị trí cao trên trang tìm kiếm của Googlem hay các mang xã hội, forum...SEO là gì? SEO (Search Engine Optimization) là cách
thumb|, thiết giáp hạm dreadnought cũ nhất còn lại cho đến hôm nay, được hạ thủy vào năm 1912 và hiện là một tàu bảo tàng **Dreadnought** (tiếng Anh có khi còn được viết là
**Trì hoãn** (hay còn có những cách gọi khác với nghĩa tương tự là **tính chần chừ**, hay **thói lề mề**, **sự lần lữa**, **thói rề rà**, **ù lỳ** hay **đình trệ** hoặc là **dây
là một bộ phim điện ảnh hoạt hình Nhật Bản thuộc thể loại tình cảm lãng mạn, kỳ ảo, chính kịch do Shinkai Makoto làm đạo diễn. Phim do hãng CoMix Wave Films sản xuất
Một loạt các cuộc biểu tình chống phong tỏa COVID-19 đã bắt đầu ở Trung Quốc đại lục từ đầu tháng 11 năm 2022. Sự kiện còn được gọi với tên khác không chính thức
phải|nhỏ|Bức _[[Người Vitruvius_ của Leonardo da Vinci thể hiện ảnh hưởng của các tác giả cổ đại lên những nhà tư tưởng thời Phục Hưng. Dựa trên những đặc điểm miêu tả trong cuốn _De
**Thanh Mục Tông** (chữ Hán: 清穆宗; 27 tháng 4 năm 1856 – 1 tháng 6 năm 1875), Tây Tạng tôn vị **Văn Thù Hoàng đế** (文殊皇帝), là vị Hoàng đế thứ 10 của nhà Thanh
**Annelies Marie Frank** (, ; 12 tháng 6 năm 1929 – ) là một nhà văn và tác giả hồi ký người Đức gốc Do Thái. Cô là một trong những nạn nhân người Do
[[Kim Vân Kiều là tác phẩm được thể hiện dưới hình thức mạn họa nhiều nhất xưa nay tại Việt Nam và chưa có dấu hiệu ngưng lại.]] **Truyện tranh Việt Nam** () là thuật
**Quan hệ La Mã – Trung Quốc** là các tiếp xúc chủ yếu gián tiếp, quan hệ mậu dịch, luồng thông tin và các lữ khách đi lại không thường xuyên giữa đế quốc La
**_Jojo Rabbit_** _(tựa Việt: **Nhóc Jojo**)_ là một bộ phim hài - chính kịch năm 2019 của Mỹ Phim có tên ở hạng mục _Phim truyện xuất sắc_ của Oscar 2020. Roman Griffin Davis miêu
**Thuần dưỡng voi rừng** hay còn gọi là **thuần dưỡng voi** là một phương pháp để thuần phục những con voi rừng hoang dã bằng các biện pháp khác nhau để huấn luyện chúng trở
**_The Bourne Identity_** (tạm dịch: _Danh tính của Bourne_) là phần một của loạt phim hành động nổi tiếng dựa theo cuốn tiểu thuyết cùng tên của nhà văn Robert Ludlum. Tài tử điện ảnh
**_Avengers: Đế chế Ultron_** (tựa gốc tiếng Anh: **_Avengers: Age of Ultron_**) là một phim của điện ảnh Hoa Kỳ được xây dựng dựa trên nguyên mẫu các thành viên trong biệt đội siêu anh
**_Người đàn ông thứ ba_** là bộ phim đen năm 1949 của Carol Reed làm đạo diễn, do Graham Greene viết kịch bản và có sự tham gia của Joseph Cotten, Alida Valli, Orson Welles