Dữ liệu này có khả năng không bị đánh cắp từ Google, mà từ các trang web khác, các nhà nghiên cứu cho biết.

Một tập tin lưu trữ với gần 5 triệu địa chỉ Gmail và mật khẩu không mã hóa đã được đăng lên một diễn đàn trực tuyến vào hôm thứ Ba, nhưng dữ liệu đó đã cũ và dường như được lấy từ nhiều nguồn dữ liệu bị xâm phạm khác, theo một công ty bảo mật.
Một người dùng với bí danh trực tuyến "tvskit" đã đưa một tập tin lưu trữ lên một diễn đàn an ninh về Bitcoin là btcsec.com và tuyên bố rằng hơn 60% tài khoản trong đó là hợp lệ.
"Chúng tôi không thể xác nhận rằng có thực sự là 60%, nhưng một lượng lớn dữ liệu bị rò rỉ là hợp pháp", ông Peter Kruse, giám đốc công nghệ của CSIS Security Group, một công ty an ninh Đan Mạch cung cấp cho tội phạm mạng thông minh để nói tổ chức tài chính và thực thi pháp luật.
Các nhà nghiên cứu của CSIS phân tích và kết luận rằng dữ liệu này đã cách đây 3 năm dựa trên mối tương quan với những sự rò rỉ trong quá khứ.
"Chúng tôi tin rằng dữ liệu này được thu thập trực tiếp từ Google", Kruse cho biết qua email. "Nó có khả năng xuất phát từ nhiều nguồn bị xâm nhập khác nhau".
Điều này có nghĩa rằng nhiều mật khẩu bị rò rỉ không tương ứng với tài khoản Gmail hay Google, nhưng có thể thuộc về các tài khoản trên những trang web khác mà người dùng đã đăng ký bằng địa chỉ Gmail của họ.
CSIS xác nhận rằng ít nhất là năm trong các tên người dùng và mật khẩu bị rò rỉ chưa bao giờ được sử dụng để đăng nhập cho tài khoản Gmail hay Google. Điều này cho thấy rằng dữ liệu xuất phát từ những hệ thống bên ngoài Google, mặc dù có thể là tất cả chúng đều được thu thập bởi một cá nhân hoặc một nhóm đơn lẻ, Kruse nói.
"Sự an toàn của người dùng là rất quan trọng đối với chúng tôi", đại diện Google cho biết vào hôm thứ Tư qua email. "Chúng tôi không có bằng chứng cho thấy hệ thống của chúng tôi đã bị xâm nhập, nhưng bất cứ khi nào chúng tôi nhận thức được một tài khoản đã bị xâm nhập, chúng tôi sẽ thực hiện các bước để giúp người dùng đảm bảo an toàn cho tài khoản của họ."
Ngay cả khi nếu nhiều thông tin đăng nhập bị rò rỉ không phải từ Google, những người dùng bị ảnh hưởng vẫn muốn thay đổi mật khẩu trên các trang web mà họ đã sử dụng địa chỉ Gmail để đăng ký tên người dùng. Trang web haveibeenpwned.com cho phép người dùng kiểm tra xem địa chỉ email của họ nằm trong nguồn dữ liệu bị rò rỉ không.