Vào ngày 13 tháng 5, cộng đồng người dùng Steam xôn xao trước thông tin về một vụ rò rỉ dữ liệu được cho là ảnh hưởng đến gã khổng lồ game Valve. Một cá nhân tự xưng là “Machine1337” đã rao bán một kho dữ liệu chứa số điện thoại, siêu dữ liệu tin nhắn và các mã xác thực hai yếu tố (2FA) cũ của Steam. Mặc dù các mã này đã hết hạn sử dụng từ lâu, vụ việc vẫn đặt ra câu hỏi lớn về nguồn gốc rò rỉ. Ban đầu, nghi vấn đổ dồn về Twilio, nhưng cả Valve và Twilio đều phủ nhận liên quan. Mới đây, Valve đã chính thức lên tiếng xác nhận dữ liệu là thật, nhưng phủ nhận hệ thống của họ bị xâm nhập.
Tuyên bố chính thức từ Valve: Dữ liệu là thật, nhưng không phải do Steam bị tấn công
Valve cho biết: “Ngày hôm qua, chúng tôi đã nhận được các báo cáo về việc rò rỉ tin nhắn cũ đã từng được gửi tới khách hàng Steam. Chúng tôi đã xem xét mẫu dữ liệu rò rỉ và xác định rằng đây KHÔNG PHẢI là một sự cố xâm nhập hệ thống của Steam.”
Họ đang tiếp tục điều tra nguồn gốc rò rỉ, một quá trình phức tạp do tin nhắn SMS không được mã hóa trong quá trình truyền tải và được định tuyến qua nhiều nhà cung cấp khác nhau trước khi đến điện thoại người dùng. Dữ liệu bị rò rỉ bao gồm các tin nhắn SMS cũ chứa mã một lần (OTP) chỉ có giá trị trong 15 phút và các số điện thoại nhận mã. Điều quan trọng là dữ liệu này không liên kết số điện thoại với tài khoản Steam, thông tin mật khẩu, thông tin thanh toán hay bất kỳ dữ liệu cá nhân nào khác.
Valve khẳng định các tin nhắn cũ không thể được sử dụng để phá vỡ bảo mật tài khoản Steam của người dùng. Mỗi khi một mã được sử dụng để thay đổi email hoặc mật khẩu Steam qua SMS, người dùng sẽ nhận được xác nhận qua email và/hoặc tin nhắn bảo mật của Steam. Từ góc độ Steam, người dùng không cần thay đổi mật khẩu hay số điện thoại do sự cố này. Tuy nhiên, đây là một lời nhắc nhở hữu ích để luôn cảnh giác với bất kỳ tin nhắn bảo mật tài khoản nào mà bạn không yêu cầu rõ ràng. Valve khuyến nghị người dùng nên thường xuyên kiểm tra tình trạng bảo mật tài khoản Steam của mình tại https://store.steampowered.com/account/authorizeddevices. Họ cũng khuyến khích người dùng Steam thiết lập Steam Mobile Authenticator nếu chưa thực hiện, vì đây là cách tốt nhất để nhận các tin nhắn bảo mật về tài khoản và an toàn tài khoản.
Lời giải đáp từ Valve: An ủi nhưng cũng đặt ra nhiều nghi vấn mới
Mặc dù việc có được thông tin rõ ràng từ Valve là một điều đáng mừng, nhưng nó cũng đặt ra một câu hỏi lớn: Vụ rò rỉ xảy ra ở đâu? Như tuyên bố của Valve đề cập, tin nhắn SMS được định tuyến qua rất nhiều nhà cung cấp, nên việc tìm ra nguồn gốc rò rỉ sẽ mất rất nhiều thời gian và công sức. Ví dụ, có thể Valve ký hợp đồng với một hoặc nhiều bên trung gian để gửi mã SMS, và một trong số các bên trung gian đó có thể đã bị xâm nhập, và chính họ lại ký hợp đồng với Twilio để gửi tin nhắn thay mặt họ ở một số khu vực. Đây chỉ là suy đoán, và nguồn gốc thực sự của vụ rò rỉ vẫn là một ẩn số.
Nguồn gốc rò rỉ dữ liệu vẫn là ẩn số
May mắn thay, khi đã có xác nhận rằng Valve không trực tiếp bị xâm phạm, người dùng không cần thay đổi mật khẩu. Tuy nhiên, những lo ngại vẫn còn đó. Mặc dù bộ dữ liệu chỉ chứa số điện thoại và tin nhắn, nhưng những số điện thoại này có thể được kết hợp với các bộ dữ liệu khác để phác họa bức tranh toàn cảnh hơn về một cá nhân. Điều này, cộng với ngôn ngữ mà tin nhắn được gửi, có thể bị lợi dụng trong các cuộc tấn công lừa đảo (phishing) có chủ đích liên quan đến tên thật và tài khoản Steam của một người. Đây không phải là một vụ rò rỉ vô nghĩa, nhưng may mắn là phạm vi của nó khá hạn chế.
Steam Deck và laptop hiển thị giao diện Steam, minh họa sự kiện rò rỉ dữ liệu và bảo mật tài khoản game thủ
Các biện pháp bảo vệ tài khoản Steam của bạn
Theo khuyến nghị của Valve, cách tốt nhất để tự bảo vệ mình hiện tại là thiết lập Steam Mobile Authenticator, thay vì chỉ dựa vào mã SMS 2FA. Mã SMS 2FA vốn dĩ không an toàn, vì chúng có thể bị chặn hoặc đánh cắp bằng cách giả mạo số điện thoại của người dùng. Để bảo vệ tài khoản trực tuyến tốt nhất, bạn nên luôn sử dụng xác thực 2 yếu tố (2FA) kết hợp với một trình quản lý mật khẩu đáng tin cậy.
Vụ rò rỉ dữ liệu liên quan đến Steam là một lời nhắc nhở quan trọng về tầm quan trọng của bảo mật trực tuyến. Mặc dù Valve đã trấn an rằng hệ thống cốt lõi của họ không bị xâm phạm và dữ liệu cũ không gây nguy hiểm trực tiếp cho tài khoản, việc nâng cao cảnh giác và áp dụng các biện pháp bảo vệ mạnh mẽ hơn là điều cần thiết. Hãy ưu tiên sử dụng Steam Mobile Authenticator và luôn kết hợp 2FA với trình quản lý mật khẩu để bảo vệ thông tin cá nhân và tài khoản game của bạn. Nếu có bất kỳ thắc mắc nào về bảo mật tài khoản Steam, đừng ngần ngại truy cập trang hỗ trợ chính thức của Valve hoặc chia sẻ ý kiến của bạn trong phần bình luận bên dưới.
