Hơn 17,5 triệu dữ liệu cá nhân của người dùng Instagram được rao bán trên dark web

Instagram đang đối mặt với những cáo buộc nghiêm trọng liên quan đến một vụ rò rỉ dữ liệu quy mô lớn, sau khi xuất hiện thông tin dữ liệu cá nhân của hơn 17,5 triệu tài khoản đã bị lộ và hiện được rao bán trên các diễn đàn ngầm của tội phạm mạng. Thông tin này được công bố bởi Công ty an ninh mạng Malwarebytes.

Theo Malwarebytes, vụ việc nhiều khả năng liên quan đến việc dữ liệu người dùng bị lộ thông qua các cổng kết nối kỹ thuật (API) của Instagram từ năm 2024.

Toàn bộ tập dữ liệu rò rỉ đã xuất hiện trên dark web và có nguy cơ bị các nhóm tội phạm mạng khai thác cho nhiều mục đích xấu.

Bộ dữ liệu bị rao bán được cho là bao gồm nhiều thông tin nhạy cảm như tên người dùng, địa chỉ cư trú, số điện thoại, địa chỉ email cùng các dữ liệu cá nhân khác.

Trong email gửi tới khách hàng, Malwarebytes cho biết họ phát hiện tập dữ liệu này trong quá trình quét dark web định kỳ.

Phát hiện trên cũng trùng khớp với làn sóng khiếu nại của người dùng Instagram thời gian gần đây, khi liên tục nhận được thư điện tử thông báo yêu cầu đặt lại mật khẩu dù không hề chủ động thực hiện.

Malwarebytes nhận định, chính dữ liệu bị lộ là nguyên nhân dẫn đến hiện tượng bất thường này.

Công ty an ninh mạng này cảnh báo việc lộ thông tin đăng nhập và dữ liệu người dùng có thể mở đường cho các hình thức tấn công nghiêm trọng hơn, bao gồm lừa đảo qua email, tin nhắn hoặc chiếm đoạt tài khoản. Thậm chí, tin tặc còn có thể tận dụng những dữ liệu này để thử đăng nhập vào tài khoản của người dùng trên các nền tảng khác.

Tính đến cuối năm 2025, Việt Nam có khoảng 11,7 triệu người dùng Instagram, tương đương khoảng 11,4% tổng dân số. 

Theo Luật Bảo vệ dữ liệu cá nhân 2025 chính thức có hiệu lực từ 1/1/2026, số điện thoại và địa chỉ email đều là dữ liệu xác định danh tính hoặc liên hệ trực tiếp với chủ thể dữ liệu, do đó, được coi là dữ liệu cá nhân trong phạm vi luật quy định.

Luật yêu cầu bên xử lý dữ liệu cá nhân có trách nhiệm: thực hiện đầy đủ các biện pháp bảo vệ dữ liệu cá nhân theo quy định của Luật này và các quy định khác của pháp luật có liên quan; chịu trách nhiệm trước bên kiểm soát dữ liệu cá nhân, bên kiểm soát và xử lý dữ liệu cá nhân về thiệt hại do quá trình xử lý dữ liệu cá nhân gây ra; ngăn chặn hoạt động thu thập dữ liệu cá nhân trái phép từ hệ thống, trang thiết bị, dịch vụ của mình;...

Đáng chú ý, theo quy định, kể cả các tổ chức nước ngoài trực tiếp tham gia hoặc có liên quan đến hoạt động xử lý dữ liệu cá nhân của công dân Việt Nam dù không có pháp nhân tại Việt Nam nhưng có các hành vi vi phạm an toàn dữ liệu cá nhân vẫn có thể bị xử phạt hành chính, bồi thường dân sự và thậm chí hình sự nếu gây hậu quả nghiêm trọng. 

Malwarebytes khuyến nghị người dùng chủ động tự bảo vệ mình bằng cách kiểm tra các thiết bị đã đăng nhập vào tài khoản Instagram thông qua Trung tâm Tài khoản của Meta. “Nếu bạn chưa bật xác thực hai yếu tố cho tài khoản Instagram, thì hôm nay là thời điểm thích hợp để làm điều đó”, Malwarebytes nhấn mạnh trong một bài đăng trên nền tảng X.