Kênh truyền hình RT dẫn nguồn chuyên gia an ninh kỹ thuật số Troy Hunt đưa tin vụ rò rỉ với tên gọi ‘Collection #1’ chứa dữ liệu thô, với tổng cộng 1.160.253.228 địa chỉ thư điện tử và mật khẩu cùng hơn 12.000 tập tin đính kèm mang kích thước lên tới 87 GB.
Xét về số lượng tuyệt đối, đây được coi là vụ rò rỉ dữ liệu lớn nhất lịch sử. “Nó chỉ trông giống như một bản tổng hợp ngẫu nhiên các trang web nhằm tối đa số lượng dữ liệu sẵn có cho tin tặc. Không có một đặc điểm nào rõ ràng, chỉ là muốn có số lượng lớn nhất”, chuyên gia Hunt trả lời phỏng vấn tờ WIRED.
Mặc dù hầu hết các địa chỉ email đều đã từng xuất hiện trong các lần rò rỉ trước đây, cụ thể như 30 triệu tài khoản MySpace bị rò rỉ năm 2008 hoặc 164 triệu tài khoản LinkedIn bị tấn công vào năm 2016, song vẫn còn 140 triệu địa chỉ email chưa từng được tiết lộ.
Các thông tin bị rò rỉ được đưa miễn phí lên một diễn đàn hacking có tiếng. Bất kỳ ai truy cập vào diễn đàn cũng có thể dễ dàng lấy thông tin chỉ với một vài thao tác chuột và click.
Chuyên gia Hunt cảnh báo tin tặc có thể lấy thông tin từ bộ dữ liệu trên để thực hiện một loại tấn công mạng được gọi là "credential stuffing" - "nhồi nhét danh tính". Những kẻ tấn công hy vọng có thể đột nhập vào một tài khoản nào đó để truy cập được các thông tin chi tiết về thẻ thanh toán hoặc để thực hiện các giao dịch gian lận.
Trong một cuộc tấn công "credential stuffing", tin tặc sẽ nạp một cơ sở dữ liệu với càng nhiều mật khẩu và tên người dùng càng tốt. Những thông tin đăng nhập này được đưa vào một công cụ tự động làm việc liên tục trên các trang web. Từ đó, kẻ tấn công càng có cơ hội lắp khớp tên sử dụng và mật khẩu để mở tài khoản của người dùng.