Báo cáo DBIR 2026 của Verizon: Khai thác lỗ hổng vượt qua đánh cắp mật khẩu trở thành vector tấn công hàng đầu

Theo báo cáo Điều tra về Rò rỉ Dữ liệu (DBIR) năm 2026 của Verizon, khai thác lỗ hổng bảo mật đã trở thành phương thức xâm nhập phổ biến nhất trong các vụ rò rỉ dữ liệu năm 2025, vượt qua lạm dụng thông tin đăng nhập vốn từng đứng đầu danh sách năm ngoái.

Báo cáo đã phân tích 31.000 sự cố an ninh mạng, trong đó hơn 22.000 là vụ rò rỉ được xác nhận – con số này gần gấp đôi so với 12.195 vụ của năm trước. Khoảng 31% các vụ rò rỉ là do khai thác các lỗ hổng chưa được vá, trong khi lạm dụng thông tin đăng nhập chiếm 13%.

Verizon DBIR 2026

AI tăng tốc độ tấn công

Các nhà nghiên cứu của Verizon chỉ ra rằng các tác nhân đe dọa đang tận dụng trí tuệ nhân tạo (AI) để tăng tốc độ khai thác lỗ hổng. Thời gian vàng để phòng thủ đã bị thu hẹp từ vài tháng xuống còn vài giờ.

"Việc vũ khí hóa nhanh chóng các lỗ hổng đã biết bằng AI có thể tạo ra cuộc khủng hoảng năng lực cho các đội ngũ an ninh, nhấn mạnh nhu cầu cấp thiết phải ưu tiên các thực hành quản lý rủi ro và an ninh cơ bản," Verizon nhận định.

Chậm trễ trong việc vá lỗi

Báo cáo cũng cho thấy các tổ chức vẫn đang gặp khó khăn lớn trong việc khắc phục lỗ hổng. Thời gian trung bình để vá lỗi hoàn toàn đã tăng lên 43 ngày vào năm 2025, so với 32 ngày của năm trước.

Đáng lo ngại hơn, các tổ chức chỉ vá được 26% các lỗi bảo mật trong danh sách "Lỗ hổng đã bị khai thác" (KEV) của CISA vào năm ngoái, giảm so với mức 38% năm 2024. Số lượng lỗi nghiêm trọng mà các tổ chức cần vá đã tăng 50% so với bộ dữ liệu của năm trước.

Chris Wysopal, đồng sáng lập và chuyên gia bảo mật trưởng của Veracode, nhận định: "Những phát hiện trong DBIR 2026 của Verizon rất đáng chú ý vì nó củng cố điều chúng ta đã nói trong nhiều năm: khai thác lỗ hổng hiện là vector rò rỉ hàng đầu, và các tổ chức vẫn đơn giản là không sửa lỗi đủ nhanh."

Ransomware và rủi ro từ bên thứ ba

Mã độc tống tiền (ransomware) liên quan đến 48% các vụ rò rỉ được xác nhận vào năm 2025, tăng từ 44% năm trước. Tuy nhiên, số tiền chuộc trung bình đã giảm xuống dưới 140.000 USD và chỉ có 31% nạn nhân trả tiền.

Sự phụ thuộc vào phần mềm và dịch vụ của bên thứ ba đã mở rộng bề mặt tấn công, dẫn đến sự gia tăng 60% các vụ rò rỉ có sự tham gia của bên thứ ba, chiếm 48% tổng số vụ. Báo cáo lưu ý rằng chỉ có 23% các tổ chức bên thứ ba khắc phục hoàn toàn việc thiếu hoặc bảo mật yếu xác thực đa yếu tố (MFA) trên tài khoản đám mây của họ.

Shadow AI và yếu tố con người

Báo cáo cũng chỉ ra rằng tin tặc ngày càng phụ thuộc vào AI tạo sinh (Gen-AI) để nhắm mục tiêu, truy cập ban đầu và phát triển phần mềm độc hại. Trung bình, các tác nhân đe dọa đã nghiên cứu hoặc sử dụng sự hỗ trợ của AI trong 15 kỹ thuật khác nhau.

Yếu tố con người vẫn đóng vai trò lớn trong 62% các vụ rò rỉ. Kỹ thuật xã hội (social engineering) chiếm 16%, và tỷ lệ thành công của các cuộc tấn công lừa đảo tập trung vào di động cao hơn 40% so với qua email.

Một vấn đề nổi lên khác là "Shadow AI" – việc sử dụng trái phép các dịch vụ AI. Khoảng 67% người dùng đang truy cập các dịch vụ AI từ thiết bị công ty bằng tài khoản không phải của công ty. Tổng thể, 45% nhân viên là người dùng AI thường xuyên, tăng từ 15% năm ngoái.

Wysopal kết luận: "Các đội ngũ an ninh không thể chỉ dựa vào việc khắc phục ở hạ nguồn. Khi tin tặc ngày càng nhắm vào các điểm yếu mã hóa phổ biến, các tổ chức cần ưu tiên tìm và sửa lỗi trong quá trình phát triển – thay vì đợi vài tháng hoặc thậm chí một năm sau đó, khi gánh nặng về thời gian, chi phí và rủi ro đã bị nhân lên."