Vào ngày 13 tháng 5 vừa qua, cộng đồng người dùng Steam tại Việt Nam và trên toàn thế giới đã xôn xao trước thông tin về một vụ rò rỉ dữ liệu quy mô lớn, liên quan đến “gã khổng lồ” game Valve. Một cá nhân tự xưng là “Machine1337” đã rao bán một lượng lớn dữ liệu bao gồm số điện thoại, metadata tin nhắn và các mã xác thực hai yếu tố (2FA) cũ của Steam. Mặc dù những mã này đã hết hạn sử dụng từ lâu, vụ việc vẫn dấy lên những lo ngại sâu sắc về bảo mật tài khoản Steam và quyền riêng tư. Ban đầu, mọi nghi vấn đổ dồn vào Twilio do tên của công ty này được nhắc đến trong dữ liệu, nhưng cả Valve và Twilio đều phủ nhận việc hệ thống của họ bị tấn công. Để làm rõ vấn đề, Valve đã chính thức đưa ra phản hồi, khẳng định dữ liệu là có thật nhưng bác bỏ việc hệ thống Steam bị xâm phạm.
Steam Deck OLED hiển thị các tựa game, minh họa cho hệ sinh thái Steam đang đối mặt với sự cố rò rỉ dữ liệu
Phản hồi chính thức từ Valve về vụ rò rỉ dữ liệu
Trong tuyên bố chính thức của mình, Valve xác nhận:
“Ngày hôm qua, chúng tôi đã nhận được các báo cáo về việc rò rỉ tin nhắn cũ đã từng được gửi tới khách hàng Steam. Chúng tôi đã kiểm tra mẫu dữ liệu rò rỉ và xác định rằng đây KHÔNG PHẢI là một sự cố xâm phạm hệ thống Steam.
Chúng tôi vẫn đang điều tra nguồn gốc của vụ rò rỉ này, vốn phức tạp bởi thực tế là mọi tin nhắn SMS đều không được mã hóa trong quá trình truyền tải và được định tuyến qua nhiều nhà cung cấp trước khi đến điện thoại của bạn.
Dữ liệu rò rỉ bao gồm các tin nhắn cũ chứa các mã dùng một lần chỉ có giá trị trong khung thời gian 15 phút và các số điện thoại mà chúng được gửi tới. Dữ liệu rò rỉ không liên kết các số điện thoại với tài khoản Steam, thông tin mật khẩu, thông tin thanh toán hoặc dữ liệu cá nhân khác. Các tin nhắn cũ không thể được sử dụng để xâm phạm bảo mật tài khoản Steam của bạn, và bất cứ khi nào một mã được sử dụng để thay đổi email hoặc mật khẩu Steam của bạn bằng SMS, bạn sẽ nhận được xác nhận qua email và/hoặc tin nhắn bảo mật của Steam.
Từ góc độ của Steam, khách hàng không cần phải thay đổi mật khẩu hoặc số điện thoại của mình do sự kiện này. Đây là một lời nhắc nhở tốt để coi bất kỳ tin nhắn bảo mật tài khoản nào mà bạn không chủ động yêu cầu là đáng ngờ. Chúng tôi khuyến nghị thường xuyên kiểm tra bảo mật tài khoản Steam của bạn bất cứ lúc nào tại https://store.steampowered.com/account/authorizeddevices.
Chúng tôi cũng khuyến nghị người dùng Steam nên thiết lập Steam Mobile Authenticator nếu họ chưa làm như vậy, vì đây là cách tốt nhất để chúng tôi gửi tin nhắn bảo mật về tài khoản của họ và sự an toàn của tài khoản đó.”
Đánh giá và khuyến nghị từ chuyên gia
Nguồn gốc rò rỉ và những ẩn số phía sau
Phản hồi của Valve mang lại sự nhẹ nhõm khi xác nhận hệ thống cốt lõi của họ an toàn, nhưng đồng thời cũng đặt ra một câu hỏi lớn: vậy vụ rò rỉ dữ liệu này bắt nguồn từ đâu? Như Valve đã đề cập, tin nhắn SMS được truyền tải qua rất nhiều nhà cung cấp trung gian. Điều này khiến việc xác định nguồn gốc chính xác trở nên vô cùng phức tạp và đòi hỏi một cuộc điều tra sâu rộng. Có thể Valve đã ký hợp đồng với một hoặc nhiều bên trung gian để gửi mã SMS, và một trong những bên trung gian đó có thể đã bị tấn công hoặc thậm chí bên trung gian đó lại thuê Twilio để gửi tin nhắn ở một số khu vực. Đây chỉ là phỏng đoán, và nguồn gốc rò rỉ thực sự vẫn còn là một ẩn số.
Laptop và Steam Deck hiển thị giao diện Steam Store, minh họa nhu cầu bảo mật tài khoản Steam trên các thiết bị khác nhau
Những nguy cơ tiềm ẩn từ dữ liệu rò rỉ
Mặc dù Valve khẳng định dữ liệu không trực tiếp liên kết đến mật khẩu hay thông tin thanh toán, và mã 2FA đã hết hạn, nhưng vụ rò rỉ này vẫn không phải là vô nghĩa. Dữ liệu bao gồm số điện thoại và ngôn ngữ của tin nhắn có thể được kẻ xấu kết hợp với các bộ dữ liệu rò rỉ khác để xây dựng một hồ sơ chi tiết hơn về từng người dùng. Điều này tạo điều kiện cho các tấn công lừa đảo (phishing) có mục tiêu cao hơn. Kẻ gian có thể gửi tin nhắn hoặc email giả mạo được cá nhân hóa, lợi dụng thông tin về tên thật và tài khoản Steam của bạn để lừa đảo, chiếm đoạt thông tin đăng nhập hoặc các dữ liệu quan trọng khác.
Giải pháp bảo vệ tài khoản Steam hiệu quả nhất
Để tự bảo vệ mình trước những nguy cơ tiềm ẩn này, lời khuyên của Valve là cực kỳ quan trọng và đáng được làm theo. Steam Mobile Authenticator là phương thức xác thực hai yếu tố an toàn hơn rất nhiều so với SMS 2FA truyền thống. SMS 2FA vốn có những lỗ hổng cố hữu, dễ bị chặn hoặc giả mạo số điện thoại của người dùng. Để bảo vệ toàn diện các tài khoản trực tuyến của bạn, không chỉ riêng Steam, bạn nên luôn sử dụng xác thực hai yếu tố kết hợp với một trình quản lý mật khẩu (password manager) đáng tin cậy.
Vụ rò rỉ dữ liệu Steam này là một lời nhắc nhở rõ ràng về tầm quan trọng của việc chủ động bảo vệ thông tin cá nhân và tài khoản game của bạn. Dù không phải là một cuộc tấn công trực tiếp vào Valve, nguy cơ vẫn luôn hiện hữu từ các nguồn dữ liệu rò rỉ gián tiếp.
Hãy hành động ngay hôm nay để kiểm tra tình trạng bảo mật tài khoản Steam của bạn và cài đặt Steam Mobile Authenticator nếu bạn chưa làm. Đừng quên truy cập blogcongnghe.net thường xuyên để cập nhật những thông tin mới nhất và các mẹo bảo mật công nghệ hữu ích khác!