Những dữ liệu bị rò rỉ này không có mật khẩu và bất kỳ người dùng nào trên Internet cũng có thể dễ dàng truy cập được thông qua các website dịch vụ của công ty MC2 Data. MC2 Data là công ty chuyên thu thập và cung cấp dữ liệu giúp cho người dùng tra cứu thông tin để ra quyết định về việc liệu một người có đủ điều kiện để thuê nhà, ứng tuyển làm việc tại công ty hay được cấp khoản vay hay không. Dữ liệu mà MC2 Data thu thập thường từ các nguồn trực tuyến như hồ sơ phạm tội, lịch sử việc làm, dữ liệu gia đình và thông tin liên lạc.

Giống như vụ vi phạm dữ liệu trước đó của công ty National Public Data, đây là một ví dụ khác về các công ty mà hầu hết chúng ta chưa từng nghe đến có cơ sở dữ liệu mở, với lượng dữ liệu cá nhân khổng lồ bị rò rỉ. Trong trường hợp này, các nhà nghiên cứu đã tìm thấy 106.316.633 hồ sơ chứa thông tin riêng tư về công dân của Mỹ bị rò rỉ thông qua dịch vụ của MC2 Data, nghĩa là cứ ba công dân Mỹ thì có một người có thể tìm thấy dữ liệu của mình trong tập dữ liệu công khai này.

Các dịch vụ website mà MC2 Data hiện đang vận hành bao gồm: PrivateRecords, PrivateReports, PeopleSearcher, ThePeopleSearchers, PeopleSearchUSA.

Trong 2,2 TB dữ liệu bị rò rỉ bao gồm: Tên, email, địa chỉ IP, tài khoản người dùng, mật khẩu được mã hóa, một phần của thông tin thanh toán, địa chỉ nhà, ngày sinh, số điện thoại, hồ sơ tài sản, hồ sơ pháp lý, dữ liệu gia đình, lịch sử việc làm. Tệ hơn nữa, dữ liệu của 2.319.873 người dùng đăng ký dịch vụ MC2 Data cũng bị rò rỉ.

Thật khó hiểu khi những dịch vụ như thế này được phép tồn tại mà không có bất kỳ sự kiểm soát hay ý thức trách nhiệm nào. Bất chấp tất cả các quy định và luật lệ mà các công ty này cần tuân thủ, từ đó có thể thấy rằng các biện pháp bảo mật của những công ty này luôn ở mức thấp.

Các nhà nghiên cứu của Cybernews cho biết: “Mặc dù các dịch vụ tra cứu và kiểm tra lý lịch vẫn đang cố gắng ngăn chặn những trường hợp như vậy, nhưng họ vẫn chưa thể ngăn chặn hoàn toàn việc kẻ xấu lợi dụng và sử dụng dịch vụ của họ. Một vụ rò rỉ như vậy là một mỏ vàng cho tội phạm mạng vì nó giúp chúng dễ dàng tiếp cận và giảm rủi ro, cho phép chúng sử dụng những dữ liệu này một cách hiệu quả hơn”.

Cách người dùng tự phòng vệ khi là nạn nhân của vụ vi phạm dữ liệu

Các chuyên gia khuyên cáo một số hành động người dùng có thể thực hiện nếu nghi ngờ mình có thể là nạn nhân của vi phạm dữ liệu như:

- Làm theo khuyến cáo của nhà cung cấp: Mỗi vi phạm đều khác nhau, vì vậy hãy tìm hiểu những khuyến cáo được đưa ra từ nhà cung cấp để tìm hiểu điều gì đã xảy ra và làm theo các lời khuyên cụ thể mà họ đưa ra.

- Thay đổi và sử dụng mật khẩu mạnh: Người dùng có thể khiến mật khẩu bị đánh cắp trở nên vô dụng với kẻ xấu bằng cách thay đổi thường xuyên, hãy chọn một mật khẩu mạnh mà không sử dụng trên bất kỳ một tài khoản nào khác hoặc sử dụng trình quản lý mật khẩu để lựa chọn một mật khẩu phù hợp và an toàn.

- Bật xác thực hai yếu tố (2FA): Nếu có thể, hãy sử dụng khóa phần cứng, máy tính xách tay hoặc điện thoại tuân thủ giao thức xác thực FIDO2 (được Liên minh FIDO phát triển). Một số hình thức 2FA có thể bị lừa đảo dễ dàng nhưng khi sử dụng 2FA dựa trên FIDO2 thì người dúng có thể tránh được bị lừa đảo.

- Hãy cẩn thận với những nhà cung cấp giả mạo: Tin tặc có thể liên lạc với người dùng dưới danh nghĩa là nhà cung cấp dịch vụ, hãy kiểm tra trang web chính thức của nhà cung cấp đó để xem họ có liên lạc với người dùng hay không và xác minh danh tính của bất kỳ ai liên lạc bằng nhiều hình thức khác nhau.

- Hãy cần trọng với các yêu cầu cấp bách: Các cuộc tấn công lừa đảo thường mạo danh những người hoặc thương hiệu mà người dùng biết và tin tặc thường yêu cầu cung cấp các thông tin mang tính khẩn cấp, chẳng hạn như giao hàng bị nhỡ, tài khoản bị đình chỉ và cảnh báo bảo mật.

- Cân nhắc việc lưu trữ thông tin thẻ: Chắc chắn người dùng sẽ tiện lợi hơn khi sử dụng việc ghi nhớ thông tin thẻ trên các ứng dụng trực tuyến, nhưng các chuyên gia khuyến cáo rằng việc này có thể khiến người dùng bị lộ các thông tin khi ứng dụng bị kẻ xấu xâm nhập.

- Thiết lập giám sát danh tính: Sử dụng các tiện ích giám sát danh tính trên thiết bị di động và các ứng dụng web sẽ cảnh báo người dùng nếu thông tin cá nhân bị phát hiện đang được giao dịch bất hợp pháp trực tuyến và giúp người dùng có thể xử lý an toàn chúng.