Sau khi những báo cáo đáng lo ngại xuất hiện về việc 89 triệu tài khoản Steam được cho là đã bị xâm phạm và dữ liệu cá nhân bị rao bán trên dark web, Steam đã đưa ra tuyên bố để trấn an người dùng rằng tài khoản của họ hoàn toàn an toàn. Tuy nhiên, Steam xác nhận vụ rò rỉ dữ liệu này, và cho biết nó chứa “các mã dùng một lần chỉ có hiệu lực trong khung thời gian 15 phút và các số điện thoại nhận chúng.“
Steam đang điều tra nguồn gốc vụ rò rỉ và nghi ngờ nó bắt nguồn từ một nhà cung cấp dịch vụ di động. “Tin nhắn SMS không được mã hóa trong quá trình truyền và được định tuyến qua nhiều nhà cung cấp khác nhau trước khi đến điện thoại của bạn,” Steam giải thích. Nền tảng này khẳng định rằng hệ thống của họ không bị xâm nhập và người dùng không cần lo lắng về việc thay đổi mật khẩu hoặc số điện thoại của mình.
Công ty an ninh mạng Underdark đã đăng trên Linkedin.com về vụ rò rỉ dữ liệu này, thậm chí chia sẻ ảnh chụp màn hình cho thấy ai đó đang cố gắng bán dữ liệu trên dark web.
Underdark.ai nhận định (qua Linkedin.com): “Những ảnh hưởng ở đây là nghiêm trọng – Steam không chỉ là một nền tảng game; nó là kho báu chứa dữ liệu cá nhân và tài chính gắn liền với người dùng trên toàn thế giới. Nếu vụ xâm phạm này được xác minh, nó có thể dẫn đến lừa đảo (phishing) trên diện rộng, chiếm đoạt tài khoản và các cuộc tấn công có chủ đích trong cộng đồng game thủ.”
Tuy nhiên, Underdark sau đó đã cập nhật bài đăng, nói rõ rằng “dữ liệu bao gồm nội dung tin nhắn, trạng thái gửi, siêu dữ liệu và chi phí định tuyến – cho thấy quyền truy cập vào bảng điều khiển hoặc API của nhà cung cấp dịch vụ thứ ba (vendor dashboard), chứ không phải trực tiếp vào Steam.“
Có vẻ như Underdark đã có thể lấy được một mẫu dữ liệu bị rò rỉ. “Sau bài đăng ban đầu của chúng tôi về vụ rò rỉ dữ liệu Steam được tuyên bố (hơn 89 triệu người dùng), bằng chứng mới xác nhận rằng một mẫu bị rò rỉ chứa nhật ký SMS 2FA thời gian thực được định tuyến qua Twilio.”
Underdark gọi đây là “một sự xâm phạm chuỗi cung ứng (supply chain compromise), đặt an ninh người dùng vào rủi ro thông qua phishing hoặc chiếm quyền kiểm soát phiên (session hijacking).” Vì vậy, có khả năng người dùng Steam có thể nhận được một số tin nhắn rác do số điện thoại đã bị lộ, nhưng dường như vụ rò rỉ này chỉ ở cấp độ bề mặt và không gây ra mối đe dọa thực sự cho tài khoản Steam.
Mặc dù chúng ta chưa thể chắc chắn về những ảnh hưởng, nếu có, từ dữ liệu bị rò rỉ này, Valve (công ty chủ quản Steam) cảnh báo người dùng nên luôn cảnh giác với bất kỳ tin nhắn bảo mật nào bạn không yêu cầu, nhưng trấn an rằng tài khoản Steam của họ không bị hack.
Steam tuyên bố (qua Steamcommunity.com): “Dữ liệu bị rò rỉ không liên kết số điện thoại với tài khoản Steam, thông tin mật khẩu, thông tin thanh toán hoặc dữ liệu cá nhân khác. Các tin nhắn văn bản cũ không thể được sử dụng để phá vỡ an ninh tài khoản Steam của bạn, và bất cứ khi nào mã được sử dụng để thay đổi email hoặc mật khẩu Steam của bạn bằng SMS, bạn sẽ nhận được xác nhận qua email và/hoặc tin nhắn bảo mật trên Steam.”
Valve khuyến nghị thiết lập Steam Mobile Authenticator để thêm một lớp bảo mật bổ sung cho tài khoản Steam của bạn, nhằm đảm bảo an toàn tối đa.
Tóm lại, trong khi số liệu 89 triệu người dùng bị ảnh hưởng bởi vụ rò rỉ dữ liệu SMS xác thực Steam có vẻ đáng báo động, cả Steam và các chuyên gia an ninh mạng đều khẳng định rằng tài khoản Steam của bạn không bị xâm nhập trực tiếp. Rủi ro chính là khả năng nhận các tin nhắn lừa đảo (phishing) dựa trên số điện thoại bị lộ. Hãy luôn cẩn trọng với các tin nhắn đáng ngờ và cân nhắc sử dụng Steam Mobile Authenticator để tăng cường bảo vệ.
Bạn nghĩ sao về vụ việc này? Hãy chia sẻ ý kiến và kinh nghiệm bảo mật tài khoản Steam của bạn dưới phần bình luận!
