Lộ lọt dữ liệu tại Việt Nam tăng mạnh trong Quý I/2026

Thông tin tài khoản cá nhân bị đánh cắp

Báo cáo của VCS cho thấy, Quý I/2026 tiếp tục ghi nhận sự gia tăng đáng lo ngại của các vụ lộ lọt, rò rỉ thông tin cá nhân. Riêng tại Việt Nam, hơn 6,9 triệu bản ghi tài khoản bị lộ lọt trong giai đoạn này – tăng 53% so với cùng kỳ năm ngoái.

Song song với đó, hoạt động rao bán dữ liệu trên không gian mạng tiếp tục leo thang, với 165 vụ được ghi nhận trải rộng trên ít nhất 13 lĩnh vực, tổng cộng hơn 473,7 triệu bản ghi bị đưa lên các diễn đàn và chợ đen. Các số liệu trên phản ánh một thực trạng mang tính hệ thống, khi dữ liệu của các tổ chức và doanh nghiệp tại Việt Nam đứng trước nguy cơ bị thương mại hóa và trở thành đối tượng giao dịch công khai trên các diễn đàn, chợ đen số.

Rò rỉ dữ liệu đang nổi lên như một trong những mối đe dọa an ninh mạng đáng lo ngại nhất trong bối cảnh hiện nay. Khi thông tin nhạy cảm bị lộ lọt hay bị truy cập trái phép, hệ quả thường không dừng lại ở một sự cố đơn lẻ, mà có thể kéo dài và lan rộng khó lường. Các sự cố này trải dài trên nhiều dạng thức: từ thông tin cá nhân khách hàng, dữ liệu đăng nhập tài khoản, cho đến những tài sản thông tin cốt lõi của doanh nghiệp.

Hình 1. Số lượng tài khoản cá nhân bị đánh cắp tại Việt Nam theo các quý trong năm 2025 và 2026

Trong Quý I/2026, số lượng bản ghi thông tin tài khoản cá nhân tại Việt Nam ghi nhận xu hướng giảm 34% so với quý 4/2025. Tuy nhiên, khi so sánh với cùng kỳ, chỉ số này vẫn tăng 53% so với Quý I/2025, đồng thời cao hơn khoảng 8% so với mức trung bình của bốn quý năm 2025. Diễn biến này cho thấy, dù số bản ghi thông tin tài khoản cá nhân giảm nhẹ trong quý gần nhất nhưng xu hướng dài hạn vẫn duy trì ở mức cao.

Xu hướng tin tặc ngày càng ưu tiên thu thập và khai thác thông tin xác thực thay vì tấn công trực tiếp vào hạ tầng phản ánh sự dịch chuyển rõ rệt trong chiến thuật tấn công.

Khi có được thông tin đăng nhập của các hệ thống then chốt, từ email doanh nghiệp, VPN, SSO, cho đến các nền tảng quản lý mã nguồn (GitHub, GitLab,…), công cụ cộng tác nội bộ (Confluence, Jira, Slack,…), hệ thống quản lý đám mây (AWS, Azure, GCP,…), hay thậm chí các giải pháp giám sát và vận hành hệ thống; đối tượng tấn công không cần triển khai các kỹ thuật xâm nhập mang tính phá vỡ truyền thống, mà có thể tận dụng quyền truy cập hợp lệ để xâm nhập hệ thống một cách trực tiếp và khó bị phát hiện hơn.

Dữ liệu nhạy cảm của các tổ chức, doanh nghiệp bị lộ lọt, rao bán

Quý I/2026 chứng kiến làn sóng lộ lọt thông tin tại Việt Nam. Tin tặc đã tích cực rao bán thông tin cá nhân của người dùng, dữ liệu hệ thống nội bộ cùng với nhiều loại dữ liệu nhạy cảm khác thuộc về các tổ chức và doanh nghiệp lớn trong nước.

Theo thống kê của VCS, đã có 165 vụ lộ lọt dữ liệu được ghi nhận, dẫn đến việc hơn 473.7 triệu bản ghi dữ liệu bị rò rỉ và hơn 2 TB thông tin bị lộ lọt. Con số này phản ánh quy mô đáng báo động của tình trạng mất an toàn thông tin trong các doanh nghiệp, tổ chức tại Việt Nam.

Hình 2. So sánh số vụ lộ lọt dữ liệu tại Việt Nam cùng kỳ Quý I giai đoạn năm 2024 – 2026

Số liệu thống kê cùng kì Quý I giai đoạn năm 2024 – 2026 cho thấy xu hướng tăng trưởng mạnh mẽ và liên tục của các vụ lộ lọt dữ liệu. Cụ thể, số vụ lộ lọt trong Quý I/2025 đã gấp 4,8 lần so với cùng kỳ năm 2024. Tuy nhiên, biến động mạnh nhất xảy ra vào Quý I/2026 với 165 vụ, ghi nhận mức tăng trưởng đột biến 2,4 lần so với cùng kỳ năm 2025 và gấp 16,5 lần so với cùng kỳ năm 2024. Điều này phản ánh quy mô và tần suất của các sự cố an ninh mạng đang leo thang qua từng năm.

Lộ lọt dữ liệu do vô tình đăng tải lên các nền tảng công khai

Một trong những nguyên nhân phổ biến dẫn đến lộ lọt dữ liệu không xuất phát từ các cuộc tấn công kỹ thuật cao, mà từ chính hành vi vô ý của người dùng khi đưa thông tin nhạy cảm lên không gian mạng. Các nhà phát triển phần mềm thường chia sẻ mã nguồn lên các nền tảng như GitHub, GitLab hay Postman,… để tiện quản lý và cộng tác, nhưng vô tình để lộ các thông tin được mã hóa cứng trong mã nguồn như địa chỉ IP nội bộ, thông tin xác thực hoặc khóa bảo mật.

Những thông tin này, dù bị bỏ quên trong một tệp cấu hình hay đoạn comment, đều có thể bị tin tặc phát hiện, khai thác để xâm nhập hệ thống hoặc tạo ra các trang giả mạo phục vụ mục đích lừa đảo.

Trong số các vụ lộ lọt mã nguồn và tài liệu ghi nhận trong Quý I/2026, GitHub chiếm tỷ lệ áp đảo với 38/42 trường hợp (khoảng 90%), cho thấy đây vẫn là nền tảng có rủi ro cao nhất do tính phổ biến trong sử dụng. Các nền tảng còn lại bao gồm Scribd và các nguồn khác chiếm tỷ lệ thấp hơn nhưng vẫn cần được quan tâm

Hình 3. Thống kê số vụ lộ lọt dữ liệu do đăng tải lên các nền tảng công khai

LỪA ĐẢO, GIAN LẬN TÀI CHÍNH

Trong Quý I/2026, Viettel Threat Intelligence đã ghi nhận 3,890 tên miền lừa đảo nhắm vào người dùng, khách hàng của các tổ chức lớn tại Việt Nam, tăng gấp hơn 4,3 lần so với cùng kỳ năm 2025 và tăng gấp 3 lần so với năm 2024. Hệ thống cũng đã phát hiện và cảnh báo 760 trang giả mạo, sử dụng trái phép thương hiệu của các tổ chức, doanh nghiệp tại Việt Nam.

Tin tặc dùng các trang giả mạo để phát tán mã độc, hoặc lợi dụng cho mục đích thương mại cá nhân, hoặc tung tin thất thiệt cho các thương hiệu lớn, tạo dịch vụ giả mạo để chuyển hướng lưu lượng sang các trang lừa đảo/SEO độc hại.

Hình 4. Số lượng tên miền lửa đảo cùng kỳ qua các năm giai đoạn 2024 – 2026

Những hành vi này có thể gây mất niềm tin khách hàng, đồng thời tạo nền tảng cho các chuỗi tấn công phức tạp hơn về sau. Các tổ chức, doanh nghiệp cần chú trọng hơn trong việc xây dựng và duy trì hình ảnh thương hiệu, đồng thời triển khai các biện pháp bảo vệ hiệu quả để tránh các tổn thất về uy tín doanh nghiệp và giá trị thương hiệu.

TÌNH HÌNH LỖ HỔNG BẢO MẬT

Hệ thống Viettel Threat Intelligence đã cảnh báo chi tiết về 26 lỗ hổng bảo mật trong các sản phẩm, phần mềm phổ biến được công bố trong Quý I/2026 có nguy cơ ảnh hưởng đến các doanh nghiệp, tổ chức tại Việt Nam.

Số lượng lỗ hổng mới được công bố ngày càng gia tăng, trong đó tỷ lệ lỗ hổng có mức độ Cao và Nghiêm trọng chiếm phần lớn, làm gia tăng đáng kể nguy cơ bị tấn công và xâm nhập hệ thống.

Trong giai đoạn từ 2023 – 2026, số lượng lỗ hổng xuất hiện trong Quý I có xu hướng tăng liên tục qua các năm. Trong Quý I/2026, số lượng lỗ hổng mới tăng 29% so với mức cùng kỳ năm 2025. Xu hướng này phản ánh sự gia tăng của các hệ thống công nghệ cũng như hoạt động nghiên cứu, phát hiện lỗ hổng bảo mật ngày càng mạnh mẽ.

Các lỗ hổng mức Nghiêm trọng và Cao có tỉ trọng lần lượt là 15.84% và 37.82%, chiếm hơn một nửa trong tổng số lỗ hổng được thống kê. Qua quá trình đánh giá và phân tích các lỗ hổng, Viettel Threat Intelligence đã đưa ra 26 cảnh báo liên quan đến lỗ hổng có ảnh hưởng lớn tới các tổ chức, doanh nghiệp tại Việt Nam.

TẤN CÔNG TỪ CHỐI DỊCH VỤ PHÂN TÁN (DDOS)

Hệ thống Viettel Anti-DDoS của VCS ghi nhận hơn 1.1 triệu cuộc tấn công DDoS. So với cùng kỳ năm 2024, tổng số cuộc tấn công đã tăng gấp 4 lần. Trong đó, chỉ riêng số lượng của một tháng trong Quý I/2026 đã cao hơn tổng số cuộc của cả Quý I/2025, cho thấy xu hướng tấn công đang gia tăng đều cả về tần suất lẫn cường độ.

Nguyên nhân có sự chênh lệch cao giữa các tháng là do kỹ thuật Carpet Bombing vẫn tiếp tục đứng đầu các kỹ thuật tấn công DDoS được sử dụng phổ biến trong quý này – đây là hình thức tấn công đồng loạt vào toàn bộ dải IP của mục tiêu, tạo ra lưu lượng tấn công lớn (hàng chục Gbps), dù mỗi IP trong dải bị tấn công chỉ ghi nhận cường độ tấn công mức trung bình, thậm chí thấp.

Các đợt tấn công ghi nhận nhắm vào các doanh nghiệp trong lĩnh vực công nghệ thông tin, cụ thể là các doanh nghiệp cung cấp dịch vụ Hosting, cho thấy kẻ tấn công đang ngày càng nhắm tới các mục tiêu cụ thể và có chủ đích hơn. Trong cùng chiến dịch trên, kẻ tấn công cũng kết hợp thêm các kiểu tấn công lợi dụng giao thức TCP như TCP SYN Flood nhằm tối ưu thêm cường độ tấn công. Ngoài ra, trong Quý I cũng ghi nhận sự hiện diện của kiểu tấn công DDoS DNS Water Torture, tấn công gây ảnh hưởng trực tiếp tới các máy chủ DNS Authoritative của mục tiêu.

Về cường độ, hệ thống đã ghi nhận nhiều cuộc tấn công có băng thông lớn, với đỉnh điểm gần tới mốc 3,7 Tbps, tập trung vào lĩnh vực công nghệ thông tin, dịch vụ giải trí số, giáo dục và dịch vụ công. Phân bổ mục tiêu rộng cho thấy chiến lược tấn công không giới hạn theo lĩnh vực, mà ưu tiên vào các hệ thống hạ tầng có giá trị cao hoặc vào các thời điểm, sự kiện quan trọng.

KHUYẾN NGHỊ

Trước xu hướng các chiến dịch tấn công có chủ đích (APT) ngày càng tinh vi, kéo dài và gắn với mục tiêu chiến lược, an ninh mạng cần được nhìn nhận như một năng lực quản trị cốt lõi của tổ chức trong năm 2026 và trong tầm nhìn dài hạn. Trên cơ sở các phân tích và phát hiện trong báo cáo, VCS khuyến nghị các tổ chức, doanh nghiệp cần xem xét các định hướng sau:

– Nâng an ninh mạng lên cấp độ chiến lược điều hành: Đưa nguy cơ tấn công APT vào hệ thống quản trị rủi ro doanh nghiệp, gắn trực tiếp với các quyết định chiến lược về kinh doanh, chuyển đổi số và hợp tác quốc tế.

– Chuyển sang phòng thủ chủ động dựa trên Threat Intelligence: Tăng cường năng lực giám sát, phân tích hành vi và cảnh báo sớm; tích hợp Threat Intelligence vào quy trình ưu tiên rủi ro, đầu tư và vận hành an toàn thông tin.

– Tái cấu trúc mô hình tổ chức và vận hành an ninh mạng: Rà soát mô hình SOC, làm rõ vai trò giám sát – điều tra – ứng phó; chuẩn hóa quy trình xử lý các sự cố APT có thời gian xâm nhập kéo dài.

– Ưu tiên bảo vệ các tài sản và hệ thống có giá trị chiến lược: Xác định rõ hệ thống lõi, dữ liệu nhạy cảm, hạ tầng quản trị tập trung và chuỗi cung ứng số để tập trung nguồn lực bảo vệ hiệu quả.

– Chủ động chuẩn bị cho kịch bản APT kết hợp ransomware và phá hoại: Xây dựng và diễn tập các kịch bản ứng phó ở cấp điều hành, bao gồm kỹ thuật, truyền thông, pháp lý và phục hồi hoạt động.

– Đầu tư dài hạn cho con người, tri thức và hợp tác: Phát triển đội ngũ an ninh mạng có năng lực phân tích chuyên sâu; nâng cao nhận thức cho lãnh đạo và thúc đẩy chia sẻ tình báo nguy cơ an toàn thông tin với các đối tác tin cậy.