Mới qua nửa năm 2026, năm nay đã tạo ra một số vụ lộ lọt dữ liệu lớn nhất từng được ghi nhận — hàng trăm triệu tài khoản bị phơi bày từ trường học, nhà bán lẻ, hãng hàng không, bệnh viện và các nhà thầu chính phủ. Các con số dưới đây là theo báo cáo tính đến giữa năm 2026; một số đến từ xác nhận của công ty và một số khác từ chính tuyên bố của kẻ tấn công, nên con số có thể thay đổi khi các cuộc điều tra khép lại. Nhưng quy luật thì không thể nhầm lẫn, và bài học ở cuối vẫn là bài học muôn thuở.
Mới tìm hiểu chủ đề này? Hãy bắt đầu với bài giải thích dễ hiểu của chúng tôi: Data breach là gì?
2026 đang định hình thành một năm kỷ lục
Hai điều định hình bức tranh lộ lọt dữ liệu năm 2026. Thứ nhất, các băng nhóm tống tiền — những nhóm như ShinyHunters và Scattered Lapsus$ Hunters — đã công nghiệp hóa kịch bản: đánh cắp một tập dữ liệu khổng lồ, đe dọa công bố, rồi đòi tiền. Thứ hai, gần như mọi vụ rò rỉ quy mô lớn đều truy về dữ liệu nằm trên nền tảng cloud hoặc nhà cung cấp bên thứ ba, chứ không phải trên chính thiết bị của nạn nhân. Khi một server đó sụp đổ, hàng triệu người bị phơi bày cùng một lúc.
Instructure (Canvas) — vụ lộ lọt giáo dục lớn nhất từng ghi nhận
Sự cố đơn lẻ lớn nhất năm 2026 nhắm vào Instructure, đơn vị tạo ra nền tảng học tập Canvas được trường học và đại học khắp thế giới sử dụng. Nhóm tống tiền ShinyHunters tuyên bố đã lấy khoảng 275 triệu bản ghi — tương đương 3,65 terabyte dữ liệu trải rộng gần 9.000 cơ sở. Điều khiến nó đặc biệt nghiêm trọng là loại dữ liệu: không chỉ tên và email, mà cả tin nhắn riêng tư giữa học sinh và nhân viên. Hiện nó được coi là vụ rò rỉ lớn nhất mà lĩnh vực giáo dục từng chứng kiến.
Conduent — hàng chục triệu người Mỹ
Conduent, một nhà thầu dịch vụ doanh nghiệp và chính phủ, đã công bố vào đầu năm 2026 rằng một vụ rò rỉ ảnh hưởng đến ít nhất 25 triệu người Mỹ. Cuộc xâm nhập thực ra bắt đầu từ cuối năm 2024 và kéo dài sang đầu năm 2025 — nhưng quy mô đầy đủ của nó chỉ rõ ràng sau đó hơn một năm. Giới chức Texas mô tả đây là một trong những vụ rò rỉ lớn nhất lịch sử Mỹ. Đây là ví dụ kinh điển về rủi ro bên thứ ba: phần lớn trong 25 triệu người đó chưa bao giờ nghe đến Conduent, vậy mà dữ liệu của họ lại nằm trong hệ thống của công ty này.
Bán lẻ, du lịch và y tế đều bị giáng đòn nặng
Những vụ rò rỉ lớn nhất năm 2026 trải rộng khắp mọi lĩnh vực:
- Coupang — nhà bán lẻ trực tuyến lớn nhất Hàn Quốc báo cáo một vụ rò rỉ ảnh hưởng gần 34 triệu khách hàng; CEO của hãng đã từ chức sau đó.
- Qantas — hãng hàng không xác nhận hơn 5 triệu khách hàng bị lộ tên, email và số thành viên bay thường xuyên do Scattered Lapsus$ Hunters tung ra sau khi hạn chót đòi tiền chuộc trôi qua.
- Under Armour — một tập dữ liệu liên quan đến tới 72 triệu tài khoản xuất hiện trên một diễn đàn hacker và được dịch vụ thông báo rò rỉ Have I Been Pwned đo lường.
- NYC Health + Hospitals — khoảng 1,8 triệu người bị lấy dữ liệu y tế và tài chính, bao gồm cả dấu vân tay và dấu lòng bàn tay sinh trắc học.
Một băng nhóm tống tiền duy nhất, ShinyHunters, cũng bị liên hệ với một làn sóng đánh cắp dữ liệu doanh nghiệp trong năm 2026, tuyên bố đã lấy hàng triệu bản ghi từ Medtronic, ADT và Carnival, cùng nhiều đơn vị khác.
Điểm chung: dữ liệu của bạn nằm trên server của người khác
Bỏ qua những cái tên thương hiệu, mọi vụ rò rỉ này đều có cùng một nguyên nhân gốc. Thông tin của bạn nằm trong một cơ sở dữ liệu tập trung — một dịch vụ cloud, một nhà cung cấp, một nhà thầu — và bạn không có quyền kiểm soát việc nó được bảo mật ra sao. Bạn không làm gì sai, và chẳng có gì cá nhân bạn có thể làm để ngăn chặn nó. Đó là thực tế phũ phàng của một thế giới nơi gần như mọi app và dịch vụ đều tải dữ liệu của bạn lên theo mặc định.
Thông tin cá nhân của bạn được lưu ở càng nhiều nơi, bạn càng tự động phơi bày trước càng nhiều vụ rò rỉ. Thu nhỏ dấu chân đó là một trong số ít điều thực sự nằm trong tầm kiểm soát của bạn.
Bạn thực sự có thể làm gì
- Kiểm tra mức độ phơi bày của bạn. Tra email của bạn trên một dịch vụ thông báo rò rỉ uy tín để xem những vụ nào đã có bạn trong đó.
- Dùng password manager và một mật khẩu duy nhất cho mỗi tài khoản, để một vụ rò rỉ không thể mở khóa các tài khoản còn lại.
- Bật two-factor authentication ở mọi nơi có cung cấp.
- Đóng băng tín dụng nếu dữ liệu tài chính hoặc danh tính bị lộ.
- Tải lên ít hơn. Ưu tiên các công cụ giữ dữ liệu trên thiết bị của bạn thay vì gửi nó tới một server bạn không kiểm soát.
Điểm cuối cùng đó chính là cách khắc phục mang tính cấu trúc. Dữ liệu không bao giờ rời khỏi điện thoại của bạn thì không thể có mặt trong danh sách rò rỉ của năm sau.
Những app giữ dữ liệu của bạn trên thiết bị
Mọi app NDT Studio đều được xây dựng theo nguyên tắc offline-first — không tài khoản, không cloud, không server thu thập thông tin của bạn. Từ điển, tiện ích và công cụ đơn giản là chẳng có gì để rò rỉ. Xem toàn bộ danh mục.
Khám phá app NDT Studio →Các vụ lộ lọt dữ liệu năm 2026 lớn hơn và thường xuyên hơn bao giờ hết, và xu hướng này không hề chậm lại. Bạn không thể kiểm soát cách một nhà thầu bảo mật server của họ — nhưng bạn có thể kiểm soát ngay từ đầu việc cuộc sống của bạn phụ thuộc vào những server đó nhiều đến mức nào. Dấu chân số của bạn càng nhỏ, tên bạn càng xuất hiện ngắn gọn trong những danh sách như thế này.