Vụ rò rỉ dữ liệu quy mô lớn vừa được công bố bởi Malwarebytes cho thấy hàng triệu tài khoản Instagram có nguy cơ bị khai thác. Thông tin cá nhân như số điện thoại, email hay địa chỉ cư trú của người dùng đang xuất hiện trên các diễn đàn ngầm. Sự kiện này đặt ra thách thức lớn cho việc bảo vệ dữ liệu cá nhân trong bối cảnh luật mới vừa có hiệu lực từ đầu năm 2026.

Dữ liệu “bật đèn xanh” cho hacker?

Instagram đang chịu áp lực khi dữ liệu cá nhân của hơn 17,5 triệu tài khoản bị lộ và rao bán trên các diễn đàn tội phạm mạng. Theo Malwarebytes, sự việc có thể bắt nguồn từ các kênh kết nối kỹ thuật (API) của Instagram từ năm 2024, tạo cơ hội cho tin tặc khai thác. 

Toàn bộ dữ liệu rò rỉ đã được phát hiện trên dark web, bao gồm tên tài khoản, số điện thoại, email, địa chỉ cư trú cùng nhiều thông tin nhạy cảm khác.

Tình trạng bất thường gần đây trên nền tảng cũng phản ánh sự cố: nhiều người dùng liên tục nhận được yêu cầu đặt lại mật khẩu dù không thực hiện thao tác. Malwarebytes nhận định, dữ liệu bị rò rỉ chính là nguyên nhân khiến hiện tượng này xuất hiện.

Tại Việt Nam, Instagram có khoảng 11,7 triệu người dùng, chiếm 11,4% tổng dân số. Sự việc rò rỉ dữ liệu tại thị trường trong nước khiến nhiều người lo lắng về an toàn thông tin cá nhân. Anh Lê Văn Dũng, một người dùng Instagram tại Hà Nội chia sẻ: “Tôi vừa nhận thông báo đăng nhập lạ và cảm thấy bất an. Việc này khiến tôi phải xem xét lại toàn bộ thiết lập bảo mật”.

Không chỉ các nhà đầu tư hay người dùng cá nhân, các chuyên gia bảo mật cũng cảnh báo rằng dữ liệu bị lộ có thể dẫn tới nhiều rủi ro nghiêm trọng. Các chuyên gia an ninh mạng nhận định, kẻ xấu có thể dùng thông tin này để thực hiện lừa đảo, chiếm đoạt tài khoản hoặc thử đăng nhập vào các dịch vụ khác của người dùng.

Chị Nguyễn Thị Lan, chủ một cửa hàng kinh doanh trực tuyến tại TP.HCM, bày tỏ lo lắng: “Hầu hết giao dịch tôi thực hiện đều liên kết với tài khoản Instagram. Việc dữ liệu bị rò rỉ khiến tôi phải cân nhắc lại cách quản lý mật khẩu và bảo vệ thông tin”. Malwarebytes khuyến nghị người dùng chủ động kiểm tra thiết bị đã đăng nhập vào Instagram và bật xác thực hai yếu tố.

Luật mới vào cuộc: Bảo vệ dữ liệu cá nhân không còn là lựa chọn

Với Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực từ ngày 1/1/2026, số điện thoại, email hay bất kỳ thông tin nào có thể xác định danh tính đều được coi là dữ liệu cá nhân và phải được bảo vệ nghiêm ngặt.

Luật quy định rõ trách nhiệm của bên xử lý dữ liệu, bao gồm thực hiện các biện pháp bảo mật, ngăn chặn thu thập trái phép và chịu trách nhiệm trước cơ quan quản lý khi gây ra thiệt hại.

Điểm đáng chú ý là các tổ chức nước ngoài tham gia xử lý dữ liệu cá nhân của người Việt, dù không có pháp nhân tại Việt Nam, vẫn có thể bị xử phạt hoặc bồi thường nếu vi phạm, thậm chí phải chịu trách nhiệm hình sự trong trường hợp hậu quả nghiêm trọng. Điều này đặt ra thách thức lớn cho các nền tảng quốc tế như Instagram, khi phải tuân thủ luật pháp Việt Nam để bảo vệ người dùng.

Về mặt kỹ thuật, các chuyên gia nhấn mạnh tầm quan trọng của việc kiểm soát thiết bị đăng nhập và quản lý mật khẩu. Việc bật xác thực hai yếu tố (2FA) được xem là bước cơ bản nhưng hiệu quả trong bảo vệ tài khoản cá nhân.

Trong khi đó, các doanh nghiệp cũng cần rà soát hệ thống bảo mật và các kết nối API, đặc biệt là các dịch vụ kết nối bên thứ ba, nhằm hạn chế lộ lọt dữ liệu trong tương lai.

Ngoài ra, các công ty Việt Nam đang hoạt động trên nền tảng mạng xã hội quốc tế cũng cần cập nhật và tuân thủ các quy định bảo vệ dữ liệu mới, tránh rủi ro pháp lý và uy tín thương hiệu.

Việc nâng cao nhận thức người dùng về các mối nguy cơ trên mạng cũng đóng vai trò quan trọng, giúp giảm thiểu khả năng bị lừa đảo hay chiếm đoạt tài khoản.

Nhìn chung, vụ rò rỉ dữ liệu Instagram là lời cảnh tỉnh về việc bảo vệ thông tin cá nhân trong kỷ nguyên số, khi mà người dùng và doanh nghiệp đều phải chủ động hơn trong việc phòng ngừa rủi ro. Sự việc này cũng nhấn mạnh vai trò của pháp luật trong việc bảo vệ quyền riêng tư và trách nhiệm của các nền tảng công nghệ đối với người dùng tại Việt Nam.

Tiến Anh