Một phân tích chuyên sâu gần đây của các chuyên gia tình báo mối đe dọa đã làm sáng tỏ vấn đề phổ biến về dữ liệu lỗi thời và không đáng tin cậy đang lưu hành trên dark web. Báo cáo này đã đi sâu vào thế giới của các tệp văn bản **combolists** – chứa các cặp tên người dùng và mật khẩu – cùng với các tệp **URL-Login-Password (ULP)**, bao gồm URL trang web liên quan bên cạnh thông tin xác thực.
Mặc dù thường xuyên có những tuyên bố về việc chứa hàng tỷ hồ sơ mới, có thể khai thác, nghiên cứu này tiết lộ rằng các tập dữ liệu này thường được tái chế từ các vụ vi phạm lịch sử, được tạo tự động hoặc được quảng cáo sai sự thật là các rò rỉ mới. Bản chất thứ cấp này làm giảm đáng kể giá trị của chúng như các **chỉ số thỏa hiệp (indicators of compromise – IOC)** có thể hành động, đặt ra thách thức cho các nhà bảo vệ an ninh mạng, những người dựa vào thông tin tình báo mối đe dọa kịp thời và chính xác để giảm thiểu rủi ro.
Phân Biệt Combolists, ULP Files và Infostealer Logs Thực Sự
Báo cáo này đã làm lộ ra một xu hướng đáng lo ngại về việc dán nhãn sai trong các thị trường ngầm, nơi các tệp **combolists** và **ULP files** thường được quảng cáo là “**infostealer logs**”. “**Infostealer logs**” là các tập dữ liệu được trích xuất trực tiếp từ các thiết bị bị nhiễm phần mềm độc hại, chứa dữ liệu ngữ cảnh phong phú như cookies, thông tin hệ thống và token phiên. Ngược lại, các tệp **combolists** và **ULP files** thực tế lại thiếu chiều sâu này và thường xuyên được đóng gói lại từ các vụ rò rỉ cũ, với các thẻ tiếp thị như “**FRESH**” hoặc “**2025 PRIVATE LEAK**” được sử dụng để thổi phồng giá trị nhận thức của chúng.
Combolists và ULP Files: Dữ Liệu Tái Chế
**Combolists** thường chỉ bao gồm các cặp tên người dùng và mật khẩu, trong khi **ULP files** mở rộng thêm bằng cách bao gồm cả URL liên quan. Điểm chung của chúng là việc thiếu thông tin chi tiết về ngữ cảnh của sự thỏa hiệp. Điều này có nghĩa là, khi một chuyên gia an ninh mạng tìm thấy thông tin xác thực trong một **combolist** hoặc **ULP file**, họ không thể xác định được thời điểm chính xác dữ liệu bị đánh cắp, phương thức tấn công ban đầu, hoặc liệu tài khoản đó còn hoạt động hay không. Sự thiếu hụt ngữ cảnh này làm cho việc ưu tiên phản ứng và điều tra trở nên khó khăn, có thể dẫn đến việc lãng phí nguồn lực vào các rủi ro đã cũ hoặc không còn tồn tại.
Sự Sai Lệch trong Quảng Cáo: “Infostealer Logs” Giả Mạo
Sự khác biệt cốt lõi giữa **combolists/ULP files** và **infostealer logs** nằm ở nguồn gốc và độ phong phú của dữ liệu. **Infostealer logs** được tạo ra khi phần mềm độc hại (infostealer) lây nhiễm vào một thiết bị và trích xuất dữ liệu trực tiếp từ hệ thống của nạn nhân. Dữ liệu này có thể bao gồm:
- Thông tin đăng nhập được lưu trữ trong trình duyệt (bao gồm cookies và token phiên).
- Lịch sử duyệt web.
- Thông tin hệ thống (phiên bản hệ điều hành, phần cứng).
- Tài liệu từ các ứng dụng cụ thể (ví dụ: ví tiền điện tử, ứng dụng nhắn tin).
Do đó, **infostealer logs** cung cấp một bức tranh toàn diện và thường là theo thời gian thực về sự thỏa hiệp của một nạn nhân, cho phép các chuyên gia an ninh mạng hiểu rõ hơn về phạm vi và tác động của vụ vi phạm. Việc các nhà phân phối trên dark web cố tình gán nhãn sai **combolists** và **ULP files** là “**infostealer logs**” là một hành vi lừa đảo nhằm tăng giá trị cảm nhận và khả năng bán của dữ liệu lỗi thời.
Các Trường Hợp Điển Hình Về Dữ Liệu Lỗi Thời
Phân tích đã nêu bật một trường hợp nổi bật liên quan đến kênh Telegram có tên **AlienTXT**. Kênh này đã trở nên nổi tiếng vào tháng 2 năm 2025 vì bị cáo buộc làm rò rỉ 23 tỷ dòng dữ liệu người dùng. Tuy nhiên, khi kiểm tra kỹ hơn, phần lớn cái gọi là “**AlienTXT Collection**” này bao gồm thông tin xác thực cũ, trùng lặp hoặc được bịa đặt. Một số dòng thậm chí không tuân thủ các định dạng tiêu chuẩn như URL:LOGIN:PASSWORD, làm suy yếu thêm tính toàn vẹn của chúng.
Vụ AlienTXT: “23 Tỷ Dòng Dữ Liệu” và Sự Thật
Người điều hành đằng sau **AlienTXT**, người đã đổi tên ngắn gọn thành **GalacticGhost** trên **BreachForums** trước khi quay lại tên cũ, đã thừa nhận việc bán lại dữ liệu có sẵn công khai. Điều này củng cố khẳng định của báo cáo rằng những nhà phân phối như vậy hiếm khi là nguồn gốc ban đầu của sự thỏa hiệp. Họ hoạt động như những người trung gian, tổng hợp và bán lại dữ liệu từ các rò rỉ khác nhau, thường không có sự xác minh đáng kể về tính mới hoặc tính hợp lệ.
Các Kênh Telegram Khác: Plutonium và JoghodTeam Cloud
Cuộc điều tra sâu hơn của các nhà phân tích, bao gồm cả việc liên lạc trực tiếp với **AlienTXT** và các kênh Telegram tương tự khác như **Plutonium** và **JoghodTeam Cloud**, đã tiết lộ một sự từ chối nhất quán trong việc cung cấp các mẫu dữ liệu riêng tư được cho là “mới” mà không cần thanh toán trước. Các tệp có sẵn công khai từ các kênh này, được quảng cáo là bản xem trước của nội dung cao cấp, thường được truy nguyên từ các vụ vi phạm sớm nhất là năm **2022** hoặc **2024**, bằng chứng là việc đối chiếu chéo với các nền tảng tình báo mối đe dọa.
Ví dụ, thông tin xác thực được đăng bởi **Plutonium** vào ngày **1 tháng 4 năm 2025**, đã được liên kết với một sự thỏa hiệp từ tháng **9 năm 2024**, mặc dù được trình bày là dữ liệu gần đây. Kiểu tái chế dữ liệu cũ này minh họa sự chậm trễ cố hữu của các nguồn thứ cấp, vốn không thể sánh kịp với bản chất thời gian thực của các **infostealer logs** chính.
Tác Động của “Nhiễu Thông Tin” đến An Ninh Mạng
Báo cáo cũng cảnh báo về tác động rộng lớn hơn của “nhiễu thông tin” này. Các tiêu đề giật gân về các vụ rò rỉ dữ liệu khổng lồ làm cho người dùng và tổ chức trở nên thờ ơ, dẫn đến tình trạng **mệt mỏi cảnh báo (alert fatigue)** và giảm khả năng phản ứng với các mối đe dọa thực sự, hiện tại. Khi các chuyên gia an ninh mạng liên tục phải sàng lọc một lượng lớn dữ liệu không đáng tin cậy, thời gian và nguồn lực quý báu bị lãng phí, làm giảm hiệu quả của các hệ thống cảnh báo và khả năng phản ứng nhanh chóng với các sự cố bảo mật mới nổi.
Hơn nữa, sự tin tưởng sai lầm vào dữ liệu lỗi thời có thể dẫn đến việc phân bổ sai nguồn lực bảo mật. Các đội ngũ bảo mật có thể dành thời gian để vô hiệu hóa thông tin xác thực đã bị xâm phạm từ lâu hoặc điều tra các tài khoản đã không còn tồn tại, thay vì tập trung vào các rủi ro đang hoạt động. Điều này tạo ra một “điểm mù” về bảo mật, nơi các cuộc tấn công thực sự có thể bị bỏ qua do sự nhiễu loạn thông tin.
Khuyến Nghị cho Chuyên Gia An Ninh Mạng
Mặc dù các tệp **combolists** và **ULP files** vẫn là một phần cốt lõi của hệ sinh thái tội phạm mạng, độ tin cậy của chúng như các chỉ số về các sự thỏa hiệp mới bị hạn chế nghiêm trọng. Nghiên cứu này thúc giục các chuyên gia an ninh mạng ưu tiên truy tìm **nguồn gốc vi phạm (original breach sources)** hơn là dựa vào các nhà tổng hợp và bán lại, vì dữ liệu của họ thường làm mờ ngữ cảnh quan trọng như thời gian và phương pháp thỏa hiệp ban đầu. Việc hiểu rõ nguồn gốc của dữ liệu bị xâm phạm là yếu tố then chốt để xây dựng các chiến lược phòng thủ hiệu quả, bao gồm việc vá lỗi lỗ hổng, tăng cường chính sách mật khẩu, và triển khai các biện pháp xác thực đa yếu tố.
Trong bối cảnh các thực thể trên dark web tiếp tục khai thác sự cường điệu xung quanh “hàng tỷ hồ sơ bị rò rỉ”, nhu cầu về sự hoài nghi và xác minh nghiêm ngặt chưa bao giờ trở nên cấp thiết hơn. Điều này giúp tách biệt thông tin tình báo có thể hành động khỏi sự nhiễu loạn của dữ liệu lỗi thời và không chính xác, đảm bảo rằng các nỗ lực bảo mật được định hướng hiệu quả nhất có thể.
