# Xử lý khi nghi ngờ tài khoản bị lộ

### Mục tiêu <a href="#mc-tiu" id="mc-tiu"></a>

Giúp Pháp chế/HR nắm khối lượng và trạng thái các yêu cầu dữ liệu đang có: mới nhận, đang xử lý, đã hoàn thành, bị từ chối.

Hỗ trợ ưu tiên xử lý theo hạn SLA, phát hiện sớm các yêu cầu sắp/quá hạn để tránh rủi ro vi phạm quy định.

***

### Dành cho ai <a href="#dnh-cho-ai" id="dnh-cho-ai"></a>

* Org Admin / Chủ site – chịu trách nhiệm cuối cùng về an toàn hệ thống.
* Admin bảo mật / IT – trực tiếp thao tác khóa/mở tài khoản, xem nhật ký, cập nhật chính sách bảo mật.
* Người dùng sở hữu tài khoản nghi ngờ – phối hợp xác minh, đổi mật khẩu, bật 2FA.

***

### Khi nào dùng <a href="#khi-no-dng" id="khi-no-dng"></a>

* Nhận thấy đăng nhập bất thường (địa chỉ IP lạ, khung giờ bất thường) trong nhật ký đăng nhập.
* Tài khoản có hành vi bất thường mà người dùng khẳng định không phải do mình thao tác.
* Hệ thống kích hoạt chính sách tự động khóa người dùng khi nhận biết truy cập trái phép.
* Người dùng báo nghi ngờ: bị lộ mật khẩu, mất quyền kiểm soát email/thiết bị 2FA.

***

### Các bước thực hiện <a href="#cc-bc-thc-hin" id="cc-bc-thc-hin"></a>

#### 1. Khóa khẩn cấp tài khoản nghi ngờ và buộc đăng xuất <a href="#id-1-kha-khn-cp-ti-khon-nghi-ng-v-buc-ng-xut" id="id-1-kha-khn-cp-ti-khon-nghi-ng-v-buc-ng-xut"></a>

* Vào Quản lý người dùng → Danh sách người dùng, tìm tài khoản nghi ngờ.
* Thực hiện:
  * Vô hiệu hoá/Khoá tài khoản tạm thời (deactivate/disable).
  * Nếu hệ thống hỗ trợ, chạy thao tác “Đăng xuất người dùng” để buộc logout toàn bộ phiên đang hoạt động của tài khoản đó.
* Ghi nhận thời điểm khóa để phục vụ tra soát sau này.

#### 2. Kiểm tra nhật ký đăng nhập và hoạt động <a href="#id-2-kim-tra-nht-k-ng-nhp-v-hot-ng" id="id-2-kim-tra-nht-k-ng-nhp-v-hot-ng"></a>

* Vào phần Giám sát & báo cáo → Nhật ký đăng nhập / Nhật ký tổng hợp (login logs, activity logs).
* Xem chi tiết cho tài khoản nghi ngờ:
  * Thời điểm đăng nhập gần nhất.
  * Địa chỉ IP, vị trí (nếu có), loại thiết bị.
  * Các hành động quan trọng: thay đổi quyền, cấu hình bảo mật, thao tác dữ liệu.
* Đánh giá:
  * Có đăng nhập từ IP lạ hoặc giờ bất thường không.
  * Có thao tác nào vượt quá hành vi bình thường của người dùng đó không.

#### 3. Liên hệ và xác minh với chủ tài khoản <a href="#id-3-lin-h-v-xc-minh-vi-ch-ti-khon" id="id-3-lin-h-v-xc-minh-vi-ch-ti-khon"></a>

* Liên hệ chủ tài khoản qua kênh độc lập (điện thoại nội bộ, chat nội bộ, không dùng email có thể đã bị compromise).
* Hỏi xác nhận:
  * Có tự đăng nhập trong các mốc thời gian nghi ngờ không.
  * Có thực hiện những thao tác bất thường trong nhật ký không.
* Trường hợp:
  * Người dùng xác nhận không phải mình: xử lý như sự cố bảo mật.
  * Người dùng quên thao tác hoặc dùng IP mới nhưng hợp lệ: có thể xem xét mở khóa lại sau khi đổi mật khẩu/bật 2FA.

#### 4. Khôi phục an toàn cho tài khoản <a href="#id-4-khi-phc-an-ton-cho-ti-khon" id="id-4-khi-phc-an-ton-cho-ti-khon"></a>

* Sau khi khóa tài khoản và xác minh:
  * Đặt lại mật khẩu cho tài khoản từ phía Admin hoặc yêu cầu người dùng đổi mật khẩu qua luồng reset (tuân theo chính sách mật khẩu mạnh).
* Bắt buộc bật 2FA cho tài khoản này nếu chưa bật:
  * Cấu hình chính sách 2FA bắt buộc cho nhóm tài khoản nhạy cảm trong Thiết lập chính sách mật khẩu và đăng nhập.
* Xem xét giới hạn IP/thiết bị truy cập cho tài khoản (nếu phù hợp):
  * Sử dụng IP whitelist hoặc giới hạn số thiết bị đăng nhập trong chính sách bảo mật.
* Sau khi hoàn tất các bước trên, mở khóa lại tài khoản nếu đánh giá an toàn.

#### 5. Củng cố chính sách bảo mật toàn hệ thống <a href="#id-5-cng-c-chnh-sch-bo-mt-ton-h-thng" id="id-5-cng-c-chnh-sch-bo-mt-ton-h-thng"></a>

* Sau một sự cố hoặc nghi ngờ:
  * Rà soát và điều chỉnh trong Thiết lập chính sách mật khẩu và đăng nhập:
    * Tăng độ mạnh mật khẩu.
    * Bật 2FA bắt buộc ít nhất cho nhóm Org Admin, Admin, Billing.
    * Rút ngắn thời gian session nếu đang quá dài.
    * Thiết lập hoặc siết chặt IP whitelist, login challenges.
  * Bật/kiểm tra “Tự động khóa người dùng khi nhận biết truy cập trái phép” và cấu hình thông báo vi phạm chính sách bảo mật gửi tới Admin.
  * Thông báo nội bộ cho người dùng về sự cố và nhắc họ đổi mật khẩu, không dùng lại mật khẩu cũ, cảnh giác với email/website giả mạo.

***

### Lưu ý <a href="#lu" id="lu"></a>

* Luôn khóa tài khoản và buộc đăng xuất trước, rồi mới điều tra chi tiết để tránh kẻ tấn công tiếp tục truy cập.
* Ghi lại mọi bước xử lý (ai khóa, ai mở, khi nào, lý do) để phục vụ audit và tránh lạm dụng quyền Admin.
* Sau khi xử lý một tài khoản, nên quét nhanh các tài khoản khác cùng quyền cao (Org Admin, Admin, Billing) xem có dấu hiệu bất thường tương tự trong nhật ký hay không.

<br>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.mhiring.vn/mbase/mbw-admin/bao-mat-va-truy-cap/xu-ly-khi-nghi-ngo-tai-khoan-bi-lo.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.