Một lỗ hổng bảo mật nghiêm trọng mang tên "clickjacking" vừa được phát hiện trên nhiều tiện ích mở rộng của các trình quản lý mật khẩu hàng đầu. Sự cố này đang đe dọa hàng triệu người dùng, đặt họ vào tình huống nguy hiểm với nguy cơ bị đánh cắp thông tin đăng nhập, thẻ tín dụng cùng dữ liệu cá nhân chỉ với một cú nhấp chuột. Các chuyên gia cảnh báo rằng người dùng cần nâng cao cảnh giác và kiểm tra các tiện ích mở rộng đang sử dụng để bảo vệ thông tin cá nhân của mình.
Tại hội nghị hacker DEF CON 33 vừa qua, nhà nghiên cứu bảo mật Marek Tóth đã đưa ra một thông tin gây lo ngại. Ông phát hiện rằng các tiện ích mở rộng của 1Password, LastPass, Bitwarden, Enpass, iCloud Passwords và LogMeOnce có thể bị tấn công bằng kỹ thuật clickjacking. Khi bị khai thác, tin tặc có khả năng lừa đảo người dùng, khiến họ không nhận ra rằng mình đang tự động điền thông tin nhạy cảm vào các ô nhập liệu ẩn đi. Đây là một lời nhắc nhở quan trọng về an ninh và sự cảnh giác mà người dùng cần phải có khi sử dụng các công cụ quản lý mật khẩu.
Clickjacking là một kỹ thuật tấn công tinh vi, trong đó kẻ xấu tạo ra một trang web độc hại. Họ phủ một lớp nội dung vô hình hoặc giả mạo, chẳng hạn như biểu ngữ chấp thuận cookie hoặc bài kiểm tra CAPTCHA giả, lên bề mặt thực của trình quản lý mật khẩu. Điều này khiến người dùng dễ bị lừa và tiết lộ thông tin nhạy cảm mà không hề hay biết.
Khi người dùng chọn "Chấp nhận" hay nhấn vào một ô tưởng chừng vô hại, thực tế họ đang kích hoạt chức năng "Autofill" ẩn phía dưới. Điều này dẫn đến việc tên đăng nhập, mật khẩu hoặc thông tin thẻ tín dụng của họ được tự động điền vào một biểu mẫu ẩn và ngay lập tức gửi về tay kẻ tấn công mà nạn nhân không hề hay biết. Hãy luôn cẩn trọng trước những lựa chọn trên mạng để bảo vệ thông tin cá nhân.
Theo thông tin mới nhất, khoảng 40 triệu người dùng của sáu nhà cung cấp dịch vụ bảo mật đang phải đối mặt với nguy cơ tiềm tàng. Trong bối cảnh này, nhiều công ty đã nhanh chóng triển khai các biện pháp khắc phục. Cụ thể, Dashlane, NordPass, Proton Pass, RoboForm, Keeper và Bitwarden đã kịp thời phát hành bản cập nhật an ninh trong phiên bản 2025.8.0 để bảo vệ người dùng khỏi các mối đe dọa. Đây là một động thái tích cực nhằm nâng cao sự an toàn cho người sử dụng trong thế giới công nghệ ngày càng phức tạp.
Phản ứng của các công ty đối với lỗ hổng an ninh rất đa dạng. Bitwarden nhanh chóng thừa nhận và khắc phục lỗi, cho thấy sự nghiêm túc trong việc bảo vệ dữ liệu người dùng. Ngược lại, 1Password và LastPass ban đầu chỉ coi đây là vấn đề "thông tin", không yêu cầu sửa chữa ngay lập tức. Đặc biệt, LogMeOnce lại không có phản hồi nào đối với các liên lạc từ nhà nghiên cứu. Sự khác biệt này nêu bật cách tiếp cận khác nhau của các hãng trong việc xử lý sự cố bảo mật quan trọng.
Để đảm bảo an toàn cho bản thân trong thời gian chờ đợi các nhà cung cấp phát hành bản vá đầy đủ, các chuyên gia bảo mật đề xuất người dùng nên thực hiện ngay những biện pháp sau. Trước tiên, hãy cập nhật phần mềm của thiết bị để bảo vệ khỏi các lỗ hổng. Tiếp theo, sử dụng mật khẩu mạnh và khác biệt cho từng tài khoản. Đừng quên kích hoạt xác thực hai yếu tố để tăng cường độ bảo mật. Cuối cùng, hãy cẩn trọng khi truy cập vào các liên kết hoặc tệp đính kèm không rõ nguồn gốc nhằm tránh rơi vào bẫy lừa đảo.
Để bảo đảm an toàn cho thông tin cá nhân, người dùng nên tắt tính năng tự động điền. Để thực hiện điều này, hãy truy cập vào phần cài đặt của tiện ích mở rộng và vô hiệu hóa chức năng tự động điền cho thông tin đăng nhập và thanh toán. Đây là bước quan trọng giúp bạn bảo vệ dữ liệu cá nhân một cách hiệu quả.
Để đảm bảo an toàn cho tài khoản, hãy luôn dùng trình quản lý mật khẩu để sao chép và dán mật khẩu. Phương pháp này không chỉ giúp bạn dễ dàng truy cập mà còn bảo vệ dữ liệu cá nhân của bạn khỏi những rủi ro mất an toàn. Hãy từ bỏ việc gõ mật khẩu thủ công, vì một cú nhấp chuột bạn có thể yên tâm hơn về tính bảo mật.
Hãy đảm bảo rằng bạn thường xuyên kiểm tra và cập nhật các tiện ích mở rộng của mình lên phiên bản mới nhất. Việc này không chỉ giúp cải thiện hiệu suất mà còn bảo mật cho thiết bị của bạn. Đừng bỏ lỡ những tính năng mới được bổ sung và các bản sửa lỗi quan trọng. Hãy duy trì trải nghiệm trò chơi mượt mà và an toàn nhất có thể!
Luôn chú ý đến việc truy cập các trang web không quen thuộc và các cửa sổ pop-up hoặc biểu ngữ yêu cầu bạn tương tác một cách bất thường. Hành động này có thể mang đến những rủi ro không đáng có cho thiết bị của bạn. Hãy đảm bảo an ninh cho thông tin cá nhân và tránh bị lừa đảo bằng cách chỉ truy cập những nguồn tin cậy và an toàn.
