Trong tuần qua, Thủ tướng Chính phủ giao Cục A05, Bộ Công an ba nhiệm vụ và năm nội dung quan trọng trong năm mới. Thông tin về địa điểm đặt bốn trạm mặt đất Starlink tại Việt Nam. Hơn 1 tỷ dữ liệu cá nhân rò rỉ, trong đó người Việt cũng chịu ảnh hưởng. Bên cạnh đó là các tin tức quốc tế đáng chú ý về cảnh báo các lỗ hổng, phần mềm độc hại, thông tin các bản vá bảo mật, kỹ thuật
ĐIỂM TIN TRONG NƯỚC
Thủ tướng Chính phủ giao Cục A05, Bộ Công an ba nhiệm vụ và năm nội dung quan trọng trong năm mới
Trong chuyến thăm, chúc Tết cán bộ, chiến sĩ Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an, Thủ tướng Phạm Minh Chính nhấn mạnh yêu cầu đơn vị thực hiện tốt ba nhiệm vụ then chốt: nắm chắc tình hình để tham mưu kịp thời, tăng cường quản lý nhà nước về an ninh mạng và trực tiếp đấu tranh, ngăn chặn tội phạm trên không gian mạng.
Để hoàn thành tốt nhiệm vụ, Thủ tướng đề nghị lực lượng tập trung vào 5 nội dung quan trọng: tiếp tục hoàn thiện thể chế, đặc biệt là xây dựng cơ chế thu hút - bảo vệ - giữ chân nhân tài; hiện đại hóa cơ sở vật chất, dữ liệu và hạ tầng chiến lược; tăng cường tiếp nhận, chuyển giao công nghệ hiện đại; thực hiện quản trị thông minh, tận dụng nguồn lực bên ngoài theo tinh thần “đứng trên vai người khổng lồ”; đặc biệt chú trọng nâng cao chất lượng nguồn nhân lực.
Địa điểm đặt bốn trạm mặt đất Starlink tại Việt Nam
Starlink, dịch vụ Internet vệ tinh của Elon Musk, đặt bốn trạm mặt đất (gateway) ở Phú Thọ, Đà Nẵng và hai địa điểm tại TP HCM. Theo giấy phép được Cục Tần số vô tuyến điện, Bộ Khoa học và Công nghệ cấp, công ty Starlink Services Việt Nam được sử dụng tần số và đặt thiết bị vô tuyến điện cho dịch vụ cố định qua vệ tinh tại phường Liên Chiểu 2 (Đà Nẵng), xã Bình Nguyên (Phú Thọ), phường Tăng Nhơn Phú và phường Tân Thuận (TP.HCM).
Trạm gateway là nơi đặt thiết bị vô tuyến điện, kết nối giữa vệ tinh với hạ tầng mạng mặt đất, đồng thời trung chuyển dữ liệu. Để truy cập Internet, chảo (ăng-ten) của người dùng kết nối vệ tinh, sau đó vệ tinh gửi tín hiệu đến trạm gần nhất. Theo Starlink Insider, đến hết 2025, mạng lưới có 150 gateway đang hoạt động trên toàn cầu, 13 trạm đang xây dựng và 19 trạm chờ phê duyệt.
Hơn 1 tỷ dữ liệu cá nhân rò rỉ, người Việt cũng chịu ảnh hưởng
Nhóm nghiên cứu của Cybernews gần đây đã phát hiện ra một cơ sở dữ liệu mở khổng lồ chứa gần một Terabyte dữ liệu. Các dữ liệu bị rò rỉ bao gồm hàng loạt thông tin cá nhân nhạy cảm như họ tên, địa chỉ, giới tính, địa chỉ email, giấy tờ tùy thân và số điện thoại. Lượng cơ sở dữ liệu này chứa thông tin người dùng từ 26 quốc gia. Theo nhóm nghiên cứu, dữ liệu này dường như liên quan đến IDMerit, một nhà cung cấp dịch vụ xác minh danh tính kỹ thuật số dựa trên trí tuệ nhân tạo (AI).
Đáng chú ý, trong hơn 1 tỷ dữ liệu bị rò rỉ, có 204 triệu dữ liệu thuộc về người dùng tại Mỹ, 123 triệu dữ liệu của người dùng Mexico, 60 triệu dữ liệu của người dùng tại Đức. Người dùng tại thị trường Việt Nam cũng chịu ảnh hưởng khi có hơn 21 triệu dữ liệu bị rò rỉ.
ĐIỂM TIN QUỐC TẾ
Google vá lỗi bảo mật zero-day đầu tiên của Chrome bị khai thác trong các cuộc tấn công năm 2026
Google đã phát hành các bản cập nhật khẩn cấp để khắc phục lỗ hổng bảo mật nghiêm trọng trên Chrome bị khai thác trong các cuộc tấn công zero-day, đánh dấu lỗ hổng bảo mật đầu tiên được vá kể từ đầu năm nay. Gã khổng lồ công nghệ cho biết họ nhận thức được rằng một lỗ hổng bảo mật liên quan đến CVE-2026-2441 đang tồn tại. Theo lịch sử Chromium commit, lỗ hổng use-after-free (được báo cáo bởi nhà nghiên cứu bảo mật Shaheen Fazim) là do lỗi vô hiệu hóa trình lặp trong CSSFontFeatureValuesMap, cách triển khai các giá trị thuộc tính phông chữ CSS của Chrome. Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công gây ra sự cố sập trình duyệt, các vấn đề hiển thị, hỏng dữ liệu hoặc các hành vi không xác định khác.
Tây Ban Nha yêu cầu NordVPN và ProtonVPN chặn các trang web vi phạm bản quyền LaLiga
Một tòa án tại Tây Ban Nha đã ban hành các biện pháp phòng ngừa đối với NordVPN và ProtonVPN, yêu cầu hai nhà cung cấp VPN phổ biến này chặn 16 trang web tạo điều kiện cho việc phát tán trái phép các trận đấu bóng đá. Các hạn chế này sẽ áp dụng cho một danh sách địa chỉ IP động tại Tây Ban Nha và các biện pháp được thực hiện theo hình thức “I vànaudita parte”, nghĩa là các bị cáo không được triệu tập tham gia phiên điều trần. LaLiga - đơn vị tổ chức các giải bóng đá chuyên nghiệp của quốc gia và đối tác phát sóng của họ, Telefónica, được yêu cầu phải “lưu giữ đủ bằng chứng kỹ thuật số về việc truyền tải trái phép các nội dung được bảo vệ”.
Các lỗ hổng trong các tiện ích mở rộng phổ biến của VSCode khiến các nhà phát triển dễ bị tấn công
Theo cảnh báo từ công ty an ninh mạng Ox Security, các lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các tiện ích mở rộng phổ biến của Visual Studio Code (VSCode) với tổng số lượt tải xuống hơn 128 triệu lần, có thể bị khai thác để đánh cắp các tập tin cục bộ và thực thi mã từ xa. Các sự cố ảnh hưởng đến Live Server (CVE-2025-65715), Code Runner (CVE-2025-65716), Markdown Preview Enhanced (CVE-2025-65717) và Microsoft Live Preview (chưa có mã định danh).
Ox Security đã công bố các báo cáo cho từng lỗ hổng trên và cảnh báo rằng việc giữ lại các tiện ích mở rộng độc hại này có thể khiến môi trường doanh nghiệp dễ bị tấn công từ bên ngoài, đánh cắp dữ liệu và chiếm quyền kiểm soát hệ thống.
Dữ liệu hành khách của Eurail bị đánh cắp hiện đang được rao bán trên dark web
Eurail BV, đơn vị vận hành cung cấp quyền truy cập vào 250.000 km đường sắt châu Âu, đã xác nhận rằng dữ liệu bị đánh cắp trong một vụ xâm phạm hồi đầu năm nay đang được rao bán trên các diễn đàn dark web. Công ty cho biết một kẻ tấn công cũng đã công bố một mẫu dữ liệu trên nền tảng Telegram, nhưng họ vẫn đang cố gắng xác định loại hồ sơ và số lượng khách hàng bị ảnh hưởng. Tháng trước, công ty tiết lộ đã bị tấn công dữ liệu khi tin tặc truy cập trái phép vào cơ sở dữ liệu khách hàng, làm lộ thông tin nhạy cảm, bao gồm họ tên, chi tiết hộ chiếu, số CMND, số tài khoản ngân hàng, thông tin sức khỏe và thông tin liên lạc (địa chỉ email, số điện thoại).
Khách sạn Washington ở Nhật Bản tiết lộ sự cố bị tấn công bằng mã độc tống tiền
Mới đây, chuỗi khách sạn Washington tại Nhật Bản thông báo rằng các máy chủ của họ đã bị tấn công bằng mã độc tống tiền, làm lộ nhiều dữ liệu kinh doanh. Theo thông báo của công ty, tin tặc đã xâm nhập mạng lưới của họ vào ngày 13/2/2026, lúc 22:00 (giờ địa phương). Nhân viên công nghệ thông tin đã ngay lập tức ngắt kết nối các máy chủ khỏi mạng Internet để ngăn chặn cuộc tấn công lan rộng trên mạng. Mặc dù cuộc điều tra vẫn đang tiếp diễn, khách sạn Washington xác nhận rằng kẻ tấn công đã truy cập được vào nhiều dữ liệu kinh doanh được lưu trữ trên các máy chủ bị ảnh hưởng.
Tin tặc Trung Quốc khai thác lỗ hổng bảo mật zero-day của Dell từ giữa năm 2024
Một nhóm tin tặc đến từ Trung Quốc đã âm thầm khai thác một lỗ hổng bảo mật nghiêm trọng của Dell trong các cuộc tấn công zero-day bắt đầu từ giữa năm 2024. Ngày 17/2, các nhà nghiên cứu bảo mật từ Mandiant và nhóm tình báo mối đe dọa của Google (GTIG) tiết lộ rằng, các tin tặc UNC6201 đã khai thác lỗ hổng liên quan đến thông tin đăng nhập được mã hóa cứng (CVE-2026-22769) trong Dell RecoverPoint for Virtual Machines, một giải pháp được sử dụng để sao lưu và phục hồi máy ảo VMware. Nếu khai thác thành công, kẻ tấn công có thể truy cập trái phép vào hệ điều hành và duy trì quyền quản trị ở cấp độ root.
Notepad++ tăng cường bảo mật cập nhật với cơ chế Double-lock
Mới đây, Notepad++ đã áp dụng thiết kế Double-lock cho cơ chế cập nhật của mình để giải quyết các lỗ hổng bảo mật bị khai thác gần đây dẫn đến sự xâm phạm chuỗi cung ứng. Cơ chế mới này tích hợp vào Notepad++ phiên bản 8.9.2, được phát hành ngày 16/2 vừa qua. Theo đó, các thay đổi bổ sung liên quan đến bảo mật được áp dụng cho trình cập nhật tự động bao gồm: xóa libcurl.dll để loại bỏ nguy cơ DLL sideloading không cần thiết; xóa hai tùy chọn SSL không bảo mật của cURL: CURLSSLOPT_ALLOW_BEAST và CURLSSLOPT_NO_REVOKE và hạn chế việc thực thi quản lý plugin đối với các chương trình được ký với cùng chứng thư số WinGUp.
Phiên bản Android 17 Beta tăng cường thiết kế bảo mật mặc định nhằm bảo vệ quyền riêng tư và an ninh ứng dụng
Mới đây, Google đã công bố phiên bản beta đầu tiên của Android 17, bao gồm một số cải tiến về quyền riêng tư và bảo mật. Các nhà phát triển mô tả một số cải tiến liên quan đến hiệu năng, ứng dụng đa phương tiện và camera, khả năng kết nối và năng suất của nhà phát triển. Về mặt bảo mật và quyền riêng tư, họ đã công bố hai thay đổi lớn: loại bỏ thuộc tính văn bản gốc và giới thiệu giao diện nhà cung cấp dịch vụ (SPI) công khai cho mật mã lai HPKE.
Sự cố ngừng hoạt động của Microsoft Teams ảnh hưởng đến người dùng tại Mỹ và châu Âu
Microsoft đang nỗ lực khắc phục sự cố ngừng hoạt động kéo dài ảnh hưởng đến người dùng Microsoft Teams, gây ra tình trạng chậm trễ và khiến một số người không thể truy cập dịch vụ. Theo báo cáo của người dùng trên nền tảng DownDetector, sự cố đang diễn ra này gây ra vấn đề khi tham gia cuộc họp bằng ứng dụng Teams trên máy tính để bàn, truy cập ứng dụng Teams và đăng nhập. Trước thông tin trên, gã khổng lồ công nghệ cho biết: “Người dùng có thể gặp phải tình trạng chậm trễ và lỗi khi gửi, nhận tin nhắn trò chuyện có chứa nội dung đa phương tiện (hình ảnh, đoạn mã, video). Sự cố này ảnh hưởng cụ thể đến một số người dùng tại Mỹ và châu Âu”.
Phát hiện phần mềm độc hại Keenadu mới trong firmware Android và ứng dụng Google Play
Một loại phần mềm độc hại Android tinh vi mới được phát hiện có tên Keenadu đã được tìm thấy nhúng trong phần mềm của nhiều thương hiệu thiết bị, cho phép nó xâm nhập tất cả các ứng dụng đã cài đặt và giành quyền kiểm soát không hạn chế đối với các thiết bị bị nhiễm. Theo một báo cáo từ Kaspersky, Keenadu có nhiều cơ chế phát tán, như thông qua image firmware bị xâm nhập được phân phối qua mạng (OTA), thông qua các backdoor,... Mã độc thậm chí còn theo dõi các truy vấn tìm kiếm mà người dùng nhập vào trình duyệt Chrome ở chế độ ẩn danh.
Ba Lan bắt giữ nghi phạm liên quan đến vụ tấn công mã độc tống tiền Phobos
Cảnh sát Ba Lan mới đây đã bắt giữ một người đàn ông 47 tuổi bị tình nghi có liên hệ với nhóm tin tặc mã độc tống tiền Phobos, đồng thời thu giữ máy tính cùng điện thoại di động chứa thông tin đăng nhập bị đánh cắp, số thẻ tín dụng và dữ liệu truy cập máy chủ. Hành động này là một phần của “Chiến dịch Aether”, một nỗ lực quốc tế rộng lớn hơn do Tổ chức Cảnh sát hình sự quốc tế (Europol) điều phối và nhắm mục tiêu vào cơ sở hạ tầng và các chi nhánh của mã độc tống tiền Phobos.
Microsoft cảnh báo về cuộc tấn công ClickFix lợi dụng việc tra cứu DNS
Microsoft đã cảnh báo người dùng rằng các tác nhân đe dọa đang lợi dụng một biến thể mới của kỹ thuật ClickFix để phát tán phần mềm độc hại. Cuộc tấn công này bao gồm việc tin tặc hiển thị một thông báo lỗi giả mạo trên một trang web bị xâm nhập hoặc độc hại. Thông báo này hướng dẫn nạn nhân khắc phục sự cố bằng cách nhấn và thao tác các phím cụ thể, sau đó thực hiện các bước bổ sung (ví dụ chạy một lệnh).
Trong một vụ tấn công ClickFix gần đây được Microsoft ghi nhận, kẻ tấn công yêu cầu nạn nhân chạy một lệnh thực thi tra cứu DNS tùy chỉnh. “Lệnh ban đầu được chạy thông qua cmd và thực hiện tra cứu DNS với một máy chủ DNS bên ngoài được mã hóa cứng, thay vì trình phân giải mặc định của hệ thống. Kết quả đầu ra được lọc để trích xuất phản hồi DNS Name, sau đó được thực thi như payload giai đoạn thứ hai”, Microsoft giải thích.
Dior, Louis Vuitton, Tiffany bị phạt 25 triệu USD tại Hàn Quốc sau vụ rò rỉ dữ liệu
Vừa qua, Ủy ban Bảo vệ thông tin cá nhân Hàn Quốc (PIPC) thông báo đã phạt nặng một số thương hiệu xa xỉ lớn vì vụ tấn công mạng gần đây dẫn đến rò rỉ dữ liệu quy mô lớn. Các khoản tiền phạt với tổng cộng 36 tỷ won Hàn Quốc (25 triệu USD Mỹ), đã được áp đặt lên Louis Vuitton, Dior và Tiffany, tất cả đều thuộc sở hữu của tập đoàn hàng hóa xa xỉ đa quốc gia LVMH có trụ sở tại Paris. Hàn Quốc cho biết các vụ rò rỉ dữ liệu có liên quan đến việc xâm nhập vào một nền tảng SaaS, nhưng không nêu tên nền tảng đó. Tuy nhiên, Louis Vuitton, Dior và Tiffany nằm trong số hàng chục tổ chức lớn bị ảnh hưởng vào năm ngoái trong một chiến dịch nhắm vào khách hàng của Salesforce.
ETH Zurich phát hiện điểm yếu trong các trình quản lý mật khẩu phổ biến
Một nhóm các nhà nghiên cứu bảo mật từ Viện Công nghệ Liên bang Thụy Sĩ (ETH Zurich) đã phân tích các trình quản lý mật khẩu phổ biến như Bitwarden, Dashlane, LastPass và 1Password, cũng như xác định các cách thức mà tin tặc có thể xâm phạm kho lưu trữ mật khẩu của người dùng và truy cập dữ liệu nhạy cảm. Một số kiểu tấn công đã được thực hiện nhằm vào từng trình quản lý mật khẩu được thử nghiệm để làm giảm mức độ bảo mật, phá vỡ các biện pháp bảo vệ dự kiến và chiếm đoạt hoàn toàn tài khoản người dùng. Đối với mỗi trình quản lý mật khẩu được thử nghiệm, các nhà nghiên cứu đều thành công trong việc xâm nhập kho lưu trữ, bao gồm xâm nhập toàn bộ đối với Bitwarden và LastPass và một phần đối với Dashlane.
Gần 1 triệu hồ sơ người dùng bị xâm phạm trong vụ rò rỉ dữ liệu Figure
Figure Technology Solutions vừa xác nhận với TechCrunch rằng họ bị rò rỉ dữ liệu sau khi một nhân viên trở thành nạn nhân của một cuộc tấn công kỹ nghệ xã hội, cho biết những kẻ tấn công đã đánh cắp được một số lượng tệp tin hạn chế. Trong diễn biến mới nhất, nhóm tin tặc ShinyHunters đã lên tiếng nhận trách nhiệm về vụ tấn công vào Figure. Theo đó, trên trang web rò rỉ dữ liệu, nhóm tội phạm mạng này đã công bố hơn 2,4 GB tệp tin lưu trữ được cho là dữ liệu đánh cắp từ Figure. Have I Been Pwned xác định được khoảng 967.000 hồ sơ người dùng Figure bị rò rỉ, thông tin bị lộ bao gồm họ tên, ngày sinh, địa chỉ email, địa chỉ bưu chính và số điện thoại.
Lỗ hổng Log Poisoning trên OpenClaw mở đường thao túng ngữ cảnh suy luận của AI Agent
Công ty bảo mật Eye Security vừa công bố một lỗ hổng trên OpenClaw, nền tảng AI Agent mã nguồn mở cho phép tích hợp sâu vào hạ tầng nội bộ và dịch vụ đám mây. Lỗ hổng Log Poisoning cho phép dữ liệu do người dùng kiểm soát được ghi vào log và xuất hiện trong ngữ cảnh suy luận của AI Agent. Log Poisoning là kỹ thuật chèn nội dung có chủ đích vào log nhằm tác động đến các bước phân tích sau đó. Trong môi trường truyền thống, mục tiêu thường là đánh lừa quản trị viên. Tuy nhiên, khi AI Agent tham gia trực tiếp vào quy trình vận hành, log không còn chỉ phục vụ con người mà trở thành đầu vào cho cơ chế suy luận tự động. Điều này làm thay đổi đáng kể bề mặt rủi ro.
YouTube gặp sự cố gián đoạn ngắn
Sáng 18/2 theo giờ Việt Nam, trang chủ YouTube bất ngờ gián đoạn hoạt động khiến không có bất kỳ nội dung video nào hiển thị. Theo báo cáo trên trang Downdetector, toàn bộ giao diện trang chủ của Youtube gần như trắng trơn, chỉ xuất hiện thông báo lỗi. Các báo cáo tập trung chủ yếu vào lỗi không hiển thị nội dung trên trang chủ, trong khi các chức năng khác vẫn hoạt động một phần.
Thực tế, dù trang chủ không tải được video đề xuất, người dùng vẫn có thể đăng tải nội dung mới lên nền tảng. Đồng thời, các kênh đã đăng ký theo dõi vẫn truy cập bình thường, video vẫn phát được nếu mở trực tiếp từ đường dẫn hoặc từ danh sách đăng ký. Điều này cho thấy hệ thống máy chủ lưu trữ và phát video vẫn hoạt động, trong khi phần hiển thị nội dung trang chủ có thể gặp trục trặc riêng.
Cảnh sát bắt giữ 651 nghi phạm trong chiến dịch trấn áp tội phạm mạng ở châu Phi
Các cơ quan thực thi pháp luật châu Phi đã bắt giữ 651 nghi phạm và thu hồi hơn 4,3 triệu USD trong một chiến dịch phối hợp nhằm vào các vụ lừa đảo đầu tư, lừa đảo chuyển tiền qua điện thoại di động và đơn xin vay tiền giả mạo. Ngày 18/2, Tổ chức Cảnh sát hình sự quốc tế (Interpol) thông báo, Chiến dịch Red Card 2.0 đã xác định được 1.247 nạn nhân trong khoảng thời gian từ ngày 8/12/2025 đến ngày 30/1/2026, khi các lực lượng chức năng nhắm mục tiêu vào các hoạt động tội phạm mạng liên quan đến thiệt hại tài chính hơn 45 triệu USD.
Phần mềm độc hại Massiv mới giả dạng ứng dụng IPTV
Một loại phần mềm độc hại ngân hàng Android mới, được các nhà nghiên cứu đặt tên là Massiv, đang giả mạo ứng dụng IPTV để đánh cắp danh tính kỹ thuật số và truy cập vào tài khoản ngân hàng trực tuyến. Mã độc này dựa vào lớp phủ lên màn hình và ghi lại thao tác bàn phím để thu thập dữ liệu nhạy cảm và có thể điều khiển từ xa thiết bị bị xâm nhập. Trong một chiến dịch được các nhà nghiên cứu tại công ty tình báo mối đe dọa trên thiết bị di động ThreatFabric theo dõi, Massiv đã nhắm mục tiêu vào một ứng dụng của Chính phủ Bồ Đào Nha kết nối với Chave Móvel Digital - hệ thống xác thực và chữ ký số của quốc gia này.
PayPal tiết lộ vụ rò rỉ dữ liệu khiến thông tin người dùng bị lộ trong 6 tháng
PayPal đang thông báo cho khách hàng về một vụ rò rỉ dữ liệu sau khi lỗi phần mềm trong ứng dụng vay tiền làm lộ thông tin cá nhân nhạy cảm của họ, bao gồm cả số an sinh xã hội, trong gần 6 tháng năm ngoái. Sự cố này ảnh hưởng đến PayPal Working Capital (PPWC), ứng dụng cung cấp cho các doanh nghiệp nhỏ khả năng tiếp cận nguồn tài chính nhanh chóng. PayPal phát hiện ra vụ xâm phạm vào ngày 12/12/2025 và xác định rằng tên, địa chỉ email, số điện thoại, địa chỉ kinh doanh, số an sinh xã hội và ngày sinh của khách hàng đã bị lộ kể từ ngày 01/7/2025.
Các lỗ hổng trong các nền tảng PDF phổ biến cho phép chiếm đoạt tài khoản và đánh cắp dữ liệu
Các nhà nghiên cứu tại công ty kiểm thử Novee vừa qua đã xác định hơn chục lỗ hổng bảo mật trong các nền tảng PDF phổ biến từ Foxit và Apryse WebViewer, cho thấy cách thức mà kẻ tấn công có thể khai thác chúng để chiếm đoạt tài khoản, đánh cắp dữ liệu và thực hiện các cuộc tấn công khác. Theo phân tích, 16 lỗ hổng đã được phát hiện, bao gồm DOM XSS, SSRF, XSS, path traversal và command injection. Đáng chú ý, một số lỗi có thể bị khai thác chỉ với một yêu cầu duy nhất, ảnh hưởng tới các miền dịch vụ vốn thường được doanh nghiệp tin tưởng và nhúng trực tiếp vào ứng dụng.
Tập đoàn đường sắt Deutsche Bahn của Đức bị tấn công DDoS quy mô lớn
Deutsche Bahn, công ty điều hành đường sắt quốc gia của Đức, đang phải đối phó với một cuộc tấn công từ chối dịch vụ phân tán (DDoS) trên quy mô lớn, làm gián đoạn một số hệ thống công nghệ thông tin của họ. Các bản cập nhật tình hình thường xuyên từ Deutsche Bahn cho biết cuộc tấn công bắt đầu vào ngày 17/2 và tiếp diễn đến ngày 18/2. Theo tập đoàn đường sắt khổng lồ này, cuộc tấn công diễn ra theo từng đợt và quy mô rất lớn, sự cố đã làm gián đoạn hệ thống thông tin và bán vé của Deutsche Bahn, bao gồm cả trang web và ứng dụng DB Navigator.
Tin tặc nhắm mục tiêu vào tài khoản Microsoft Entra trong các cuộc tấn công vishing
Các tin tặc đang nhắm mục tiêu vào các tổ chức công nghệ, sản xuất và tài chính trong các chiến dịch kết hợp lừa đảo mã thiết bị và lừa đảo qua giọng nói (vishing) để lợi dụng quy trình ủy quyền thiết bị OAuth 2.0 và chiếm đoạt tài khoản Microsoft Entra. Khác với các cuộc tấn công trước đây sử dụng các ứng dụng OAuth độc hại để chiếm đoạt tài khoản, các chiến dịch này tận dụng ID Oauth client hợp pháp của Microsoft và quy trình ủy quyền thiết bị để đánh lừa nạn nhân xác thực. Điều này cung cấp cho kẻ tấn công các mã xác thực hợp lệ có thể được sử dụng để truy cập vào tài khoản của nạn nhân, mà không cần dựa vào các trang web lừa đảo thông thường đánh cắp mật khẩu hoặc chặn mã xác thực đa yếu tố.
Hệ thống camera quan trọng của Honeywell dễ bị tổn thương bởi lỗ hổng vượt qua xác thực
Tuần qua, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) cảnh báo về một lỗ hổng nghiêm trọng trong nhiều sản phẩm camera giám sát của Honeywell, cho phép truy cập trái phép vào nguồn cấp dữ liệu hoặc chiếm đoạt tài khoản. Lỗ hổng này được nhà nghiên cứu Souvik Kanda phát hiện và theo dõi với mã CVE-2026-1670 (điểm CVSS: 9.8), cho phép kẻ tấn công không được xác thực thay đổi địa chỉ email khôi phục liên kết với tài khoản thiết bị, từ đó chiếm đoạt tài khoản và truy cập trái phép vào nguồn cấp dữ liệu camera.
Các nền tảng AI có thể bị lạm dụng để phát tán phần mềm độc hại một cách lén lút
Các trợ lý AI như Grok và Microsoft Copilot với khả năng duyệt web và tìm nạp URL có thể bị lạm dụng để làm trung gian cho các hoạt động với máy chủ điều khiển và ra lệnh của kẻ tấn công (C2). Các nhà nghiên cứu tại công ty an ninh mạng Check Point đã phát hiện ra rằng, các tác nhân đe dọa có thể sử dụng các dịch vụ AI để chuyển tiếp thông tin liên lạc giữa máy chủ C2 và máy mục tiêu, lợi dụng cơ chế này để thực thi lệnh và thu thập dữ liệu bị đánh cắp từ hệ thống của nạn nhân.
Google chặn 1,75 triệu ứng dụng vi phạm trên Play Store năm 2025 nhờ AI
Google cho biết số lượng ứng dụng độc hại và tài khoản vi phạm trên Play Store đang có xu hướng giảm, nhờ công ty tăng cường đầu tư vào AI và các hệ thống phòng thủ chủ động. Thông tin được tiết lộ trong Báo cáo an toàn hệ sinh thái ứng dụng Android mới nhất của Google. Theo đó, Google đã ngăn chặn 1,75 triệu ứng dụng vi phạm chính sách xuất bản trên Google Play trong năm 2025. Con số này ghi nhận mức giảm đáng kể so với 2,36 triệu ứng dụng vào năm 2024 và 2,28 triệu của năm 2023.
Nghị viện châu Âu vô hiệu hóa các tính năng AI trên các thiết bị chính thức
Nghị viện châu Âu đã vô hiệu hóa các tính năng AI tích hợp trên các thiết bị do cơ quan trang cấp, chẳng hạn như máy tính bảng được các nghị sĩ và nhân viên sử dụng, do lo ngại về an ninh mạng và bảo vệ dữ liệu. Bộ phận công nghệ thông tin xác định rằng một số khả năng AI gửi dữ liệu đến các dịch vụ đám mây bên ngoài để xử lý, khiến việc đảm bảo an ninh cho thông tin nhạy cảm trở nên bất khả thi.
Cơ sở dữ liệu Elasticsearch bị rò rỉ hàng chục triệu bản ghi
Dịch vụ giám sát của SOCRadar đã phát hiện ba máy chủ Elasticsearch có thể truy cập công khai nhưng thiếu xác thực đúng cách, làm lộ tổng cộng hơn 43 triệu bản ghi. Dữ liệu bị rò rỉ bao gồm một lượng lớn thông tin đăng nhập, chi tiết thẻ tín dụng, thông tin cá nhân như tên và thông tin liên hệ, nhật ký phần mềm đánh cắp thông tin với thông tin hệ thống và thanh toán, cùng nhiều bản ghi giao dịch của khách hàng. Các nhà nghiên cứu bảo mật đã phân tích các máy chủ này, thông báo cho các bên liên quan và một số dữ liệu bị lộ sau đó đã được xóa hoặc hạn chế truy cập.
Công dân Nigeria bị kết án tù tại Mỹ vì tấn công mạng
Một người đàn ông Nigeria 37 tuổi tên Matthew A. Akande, đang sống ở Mexico, đã bị kết án 8 năm tù tại Mỹ vì liên quan đến một đường dây kéo dài nhiều năm liên quan đến việc truy cập trái phép vào mạng máy tính của các công ty chuẩn bị thuế ở Massachusetts. Ông ta và các đồng phạm đã sử dụng thông tin nhận dạng cá nhân bị đánh cắp để nộp hơn 1.000 tờ khai thuế gian lận, dẫn đến việc chiếm đoạt hơn 1,3 triệu USD tiền hoàn thuế bất hợp pháp từ Chính phủ Mỹ. Akande bị buộc phải bồi thường khoảng 1,4 triệu USD. Ông ta đã bị dẫn độ về Mỹ sau khi bị bắt ở Vương quốc Anh.
Lỗ hổng bảo mật BeyondTrust bị khai thác trong các cuộc tấn công mã độc tống tiền
CISA vừa cảnh báo đến các tổ chức về việc lỗ hổng BeyondTrust (CVE-2026-1731) bị khai thác trong các cuộc tấn công mã độc tống tiền. Theo đó, CVE-2026-1731 là một lỗ hổng nghiêm trọng ảnh hưởng đến BeyondTrust Remote Support (RS) và Privileged Remote Access (PRA) có thể bị khai thác để thực thi mã từ xa mà không cần xác thực. Việc khai thác lỗ hổng này trong thực tế đã bắt đầu trong vòng 24 giờ sau khi bằng chứng về khả năng khai thác (PoC) được công bố vào ngày 10/2. Ngay sao đó, CISA đã thêm lỗ hổng này vào danh mục các lỗ hổng đã biết (KEV) vào ngày 13/2.
Chính phủ Pháp cho biết 1,2 triệu tài khoản ngân hàng bị lộ thông tin trong vụ xâm phạm dữ liệu
Ngày 18/2, Bộ Kinh tế Pháp tiết lộ một vụ rò rỉ làm lộ thông tin của 1,2 triệu tài khoản ngân hàng. Các nhà điều tra phát hiện việc truy cập trái phép vào hệ thống đăng ký tài khoản ngân hàng quốc gia FICOBA. Bộ Kinh tế Pháp cho biết, một kẻ tấn công đã đánh cắp thông tin đăng nhập của một quan chức và sử dụng chúng để truy cập vào cơ sở dữ liệu lưu trữ thông tin về tất cả các tài khoản ngân hàng được mở tại Pháp. Vụ xâm phạm xảy ra vào cuối tháng 01/2026 và ảnh hưởng đến 1,2 triệu tài khoản, bao gồm số IBAN, tên chủ tài khoản, địa chỉ và mã số thuế.
Phần mềm độc hại PromptSpy lợi dụng Gemini trong quá trình hoạt động để duy trì sự hiện diện
Công ty an ninh mạng ESET vừa công bố báo cáo về PromptSpy, mã độc trên Android đầu tiên lạm dụng AI tạo sinh trong quá trình thực thi. Theo các nhà nghiên cứu, PromptSpy triển khai một mô-đun VNC trên các hệ thống bị xâm nhập, cho phép kẻ tấn công xem màn hình của nạn nhân và giành quyền kiểm soát hoàn toàn thiết bị Android. Để duy trì hoạt động, PromptSpy sử dụng một phương pháp mới trong quá trình thực thi, đó là gửi một prompt đến chatbot Gemini, cùng với một tệp XML chứa dữ liệu về các phần tử UI khác nhau được hiển thị trên màn hình. Gemini sử dụng thông tin này để hướng dẫn PromptSpy, thông qua các lệnh JSON - vị trí cần chạm hoặc vuốt trên màn hình để thêm mã độc vào danh sách các ứng dụng gần đây. Phần mềm độc hại có thể tương tác với thiết bị và thực hiện các cử chỉ được chatbot AI đề xuất bằng cách lợi dụng dịch vụ trợ năng của Android.
Công ty kiểm thử chip khổng lồ Advantest bị tấn công bằng mã độc tống tiền
Advantest Corporation, một gã khổng lồ trong lĩnh vực thử nghiệm chip của Nhật Bản, đã trở thành mục tiêu của một cuộc tấn công bằng mã độc tống tiền. Trong một tuyên bố mới đây, Advantest cho biết họ phát hiện một vụ xâm nhập mạng công nghệ thông tin vào ngày 15/2 và ngay lập tức kích hoạt các quy trình ứng phó sự cố. Công ty cho biết: “Kết quả điều tra sơ bộ cho thấy có thể một bên thứ ba không được ủy quyền đã truy cập vào một phần mạng lưới của Advantest và triển khai mã độc tống tiền”. Hiện chưa rõ liệu tin tặc có đánh cắp được bất kỳ thông tin nhạy cảm nào từ công ty hay không.
FBI: Thiệt hại 20 triệu USD do 700 vụ tấn công chiếm đoạt ATM trong năm 2025
Ngày 19/2, Cục Điều tra Liên bang Mỹ (FBI) đưa ra cảnh báo về sự gia tăng các cuộc tấn công chiếm đoạt tiền ATM bằng phần mềm độc hại tại nước này. Theo cơ quan chức năng, khoảng 1.900 số vụ tấn công chiếm đoạt tiền ATM đã được báo cáo kể từ năm 2020, với hơn 700 vụ chỉ riêng trong năm 2025. Các sự cố được ghi nhận năm ngoái đã gây thiệt hại hơn 20 triệu USD. Các cuộc tấn công ATM jackpotting liên quan đến việc tiếp cận vật lý với máy ATM mục tiêu để cài đặt phần mềm độc hại, mã độc sẽ ra lệnh cho mô-đun phân phối tiền của máy đẩy tiền ra ngoài.
Công dân Ukraine bị kết án 5 năm tù vì giúp Triều Tiên xâm nhập vào các công ty của Mỹ
Một công dân Ukraine đã bị kết án 5 năm tù vì cung cấp danh tính giả cho các tin tặc Triều Tiên, giúp họ xâm nhập vào các công ty của Mỹ. Oleksandr Didenko, 39 tuổi, đến từ Kyiv, Ukraine, đã nhận tội vào tháng 11/2025 về tội danh đánh cắp danh tính nghiêm trọng và lừa đảo qua mạng sau khi bị bắt giữ tại Ba Lan vào tháng 5/2024. Tuần này, ông ta bị kết án 60 tháng tù giam và 12 tháng quản chế, đồng thời phải nộp phạt hơn 1,4 triệu USD, bao gồm tiền mặt và tiền điện tử bị thu giữ từ Didenko và đồng phạm.
Lỗ hổng trong điện thoại VoIP của Grandstream cho phép nghe lén
Một lỗ hổng bảo mật nghiêm trọng trong điện thoại VoIP dòng Grandstream GXP1600, cho phép kẻ tấn công từ xa có thể giành được quyền quản trị và âm thầm nghe lén các cuộc liên lạc. Với mã định danh CVE-2026-2329 (điểm CVSS: 9.3), lỗ hổng này ảnh hưởng đến sáu mẫu thiết bị thuộc dòng GXP1600 chạy phiên bản firmware trước 1.0.7.81. Ngay cả khi thiết bị dễ bị tổn thương không thể truy cập trực tiếp qua mạng Internet công cộng, tin tặc vẫn có thể chuyển hướng tấn công từ một máy chủ khác trên mạng. Quá trình khai thác diễn ra âm thầm và mọi thứ vẫn hoạt động như bình thường.
Theo antoanthongtin.vn