Ngày 13 tháng 5 vừa qua, cộng đồng người dùng Steam đã xôn xao trước thông tin về một vụ rò rỉ dữ liệu, được cho là ảnh hưởng đến gã khổng lồ game Valve. Một cá nhân tự xưng là “Machine1337” đã rao bán một kho dữ liệu chứa số điện thoại, siêu dữ liệu tin nhắn và các mã xác thực hai yếu tố (2FA) Steam cũ. Dù những mã này đã hết hạn sử dụng từ lâu, câu hỏi lớn đặt ra là ai đã phải hứng chịu vụ rò rỉ này. Ban đầu, nghi vấn đổ dồn vào Twilio do tên của họ được nhắc đến trong dữ liệu, nhưng cả Valve và Twilio đều lên tiếng phủ nhận việc bị tấn công. Sau đó, Valve đã đưa ra tuyên bố chính thức, xác nhận dữ liệu là thật, nhưng phủ nhận hệ thống của họ bị rò rỉ.
“Ngày hôm qua, chúng tôi đã nhận được các báo cáo về việc rò rỉ tin nhắn văn bản cũ đã được gửi cho khách hàng Steam trước đây. Chúng tôi đã kiểm tra mẫu dữ liệu rò rỉ và xác định rằng đây KHÔNG phải là một vụ tấn công hệ thống Steam.
Chúng tôi vẫn đang tìm hiểu nguồn gốc của vụ rò rỉ, điều này càng phức tạp hơn do các tin nhắn SMS đều không được mã hóa khi truyền tải và được định tuyến qua nhiều nhà cung cấp khác nhau trước khi đến điện thoại của bạn.
Dữ liệu rò rỉ bao gồm các tin nhắn văn bản cũ chứa mã dùng một lần chỉ có giá trị trong 15 phút và số điện thoại mà chúng được gửi đến. Dữ liệu rò rỉ không liên kết số điện thoại với tài khoản Steam, thông tin mật khẩu, thông tin thanh toán hoặc dữ liệu cá nhân khác. Các tin nhắn văn bản cũ không thể được sử dụng để đột nhập vào tài khoản Steam của bạn, và bất cứ khi nào một mã được sử dụng để thay đổi email hoặc mật khẩu Steam của bạn bằng SMS, bạn sẽ nhận được xác nhận qua email và/hoặc tin nhắn bảo mật Steam.
Từ góc độ Steam, khách hàng không cần phải thay đổi mật khẩu hoặc số điện thoại của mình do sự kiện này. Đây là một lời nhắc nhở tốt để coi bất kỳ tin nhắn bảo mật tài khoản nào mà bạn không yêu cầu rõ ràng là đáng ngờ. Chúng tôi khuyên bạn nên thường xuyên kiểm tra bảo mật tài khoản Steam của mình tại https://store.steampowered.com/account/authorizeddevices.
Chúng tôi cũng khuyên người dùng Steam nên thiết lập Steam Mobile Authenticator nếu họ chưa làm, vì đây là cách tốt nhất để chúng tôi gửi tin nhắn bảo mật về tài khoản của họ và sự an toàn của tài khoản đó.”
Valve chính thức lên tiếng: Dữ liệu là thật, nhưng không phải do Steam bị tấn công
Tuyên bố từ Valve mang đến sự nhẹ nhõm cho nhiều người dùng, khi hãng khẳng định không có sự xâm nhập trực tiếp vào hệ thống của mình. Điều này có nghĩa là mật khẩu, thông tin tài chính và dữ liệu nhạy cảm khác trên tài khoản Steam của bạn vẫn an toàn. Dữ liệu bị rò rỉ chỉ là các tin nhắn SMS cũ, chủ yếu là mã xác thực dùng một lần (OTP) có hiệu lực trong 15 phút, kèm theo số điện thoại nhận. Quan trọng hơn, Valve nhấn mạnh rằng các số điện thoại này không được liên kết trực tiếp với tài khoản Steam, mật khẩu hay thông tin thanh toán của người dùng trong bộ dữ liệu bị rò rỉ. Do đó, các mã OTP cũ này không thể bị lợi dụng để truy cập hay thay đổi thông tin tài khoản hiện tại.
Thiết bị chơi game Steam Deck và máy tính xách tay hiển thị giao diện Steam, minh họa cho hệ sinh thái Valve.
Tuy nhiên, tuyên bố này cũng đặt ra một câu hỏi lớn khác: Nếu không phải Valve, thì vụ rò rỉ bắt nguồn từ đâu? Như Valve đã đề cập, tin nhắn SMS khi truyền tải không được mã hóa và đi qua rất nhiều nhà cung cấp trung gian. Điều này khiến việc xác định nguồn gốc chính xác của vụ rò rỉ trở nên cực kỳ phức tạp. Có thể Valve hợp tác với một hoặc nhiều bên trung gian để gửi mã SMS, và một trong những bên trung gian đó có thể đã bị tấn công hoặc thậm chí bên trung gian đó lại sử dụng dịch vụ của một nhà cung cấp khác như Twilio ở một số khu vực. Đây chỉ là phỏng đoán, và nguồn gốc thực sự vẫn là một ẩn số cần được điều tra sâu hơn.
Nguồn gốc rò rỉ vẫn là ẩn số và những lo ngại còn đó
Mặc dù Valve khẳng định hệ thống của họ không bị tấn công trực tiếp, nhưng việc số điện thoại và nội dung tin nhắn bị lộ vẫn tiềm ẩn những rủi ro nhất định. Các dữ liệu này, dù không trực tiếp dẫn đến việc chiếm đoạt tài khoản Steam, nhưng có thể được kết hợp với các bộ dữ liệu rò rỉ khác để tạo ra một bức tranh cá nhân chi tiết hơn về người dùng. Thông tin này, cùng với ngôn ngữ của tin nhắn, có thể bị kẻ xấu lợi dụng để thực hiện các cuộc tấn công lừa đảo (phishing) có mục tiêu, liên quan đến tên thật hoặc tài khoản Steam của nạn nhân. Dù phạm vi bị ảnh hưởng khá hạn chế, đây vẫn không phải là một vụ rò rỉ vô nghĩa và người dùng cần nâng cao cảnh giác.
Khuyến nghị bảo mật từ Valve và các chuyên gia
Để bảo vệ tài khoản Steam của mình tốt nhất, Valve khuyến nghị người dùng nên thiết lập Steam Mobile Authenticator thay vì tiếp tục dựa vào mã 2FA qua SMS. Hệ thống xác thực 2 yếu tố qua tin nhắn SMS vốn dĩ đã có những lỗ hổng bảo mật cố hữu, bởi mã có thể bị chặn hoặc chiếm đoạt thông qua các kỹ thuật như giả mạo số điện thoại (SIM swapping). Steam Mobile Authenticator cung cấp một lớp bảo vệ mạnh mẽ hơn, sinh mã OTP trực tiếp trên ứng dụng điện thoại, hạn chế rủi ro bị can thiệp.
Ngoài ra, các chuyên gia bảo mật cũng khuyến cáo người dùng nên kết hợp việc sử dụng xác thực 2 yếu tố với một trình quản lý mật khẩu mạnh mẽ. Trình quản lý mật khẩu giúp bạn tạo và lưu trữ các mật khẩu phức tạp, duy nhất cho từng tài khoản, giảm thiểu nguy cơ nếu một dịch vụ nào đó bị rò rỉ dữ liệu. Việc áp dụng đồng bộ các biện pháp này sẽ tăng cường đáng kể an toàn cho tài khoản trực tuyến của bạn.
Tóm lại, dù Valve đã trấn an rằng hệ thống Steam không bị xâm phạm trực tiếp trong vụ rò rỉ dữ liệu gần đây, người dùng vẫn cần chủ động bảo vệ thông tin cá nhân. Hãy ưu tiên sử dụng Steam Mobile Authenticator thay vì SMS 2FA và luôn cảnh giác với các tin nhắn đáng ngờ. Việc tăng cường bảo mật tài khoản trực tuyến là trách nhiệm của mỗi cá nhân để đảm bảo an toàn trong thế giới số. Bạn nghĩ sao về vụ việc này và các biện pháp bảo mật của Valve? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới!
