Vào ngày 13 tháng 5, cộng đồng người dùng Steam tại Việt Nam và trên toàn thế giới đã đối mặt với thông tin đáng lo ngại về một vụ rò rỉ dữ liệu nghiêm trọng có liên quan đến gã khổng lồ game Valve. Một cá nhân tự xưng là “Machine1337” đã rao bán một kho dữ liệu khổng lồ chứa số điện thoại, siêu dữ liệu tin nhắn và các mã xác thực hai yếu tố (2FA) cũ của Steam. Mặc dù những mã này đã hết hạn sử dụng từ lâu, vụ việc vẫn đặt ra câu hỏi lớn về nguồn gốc của sự cố và liệu ai là bên đã bị xâm nhập. Ban đầu, nghi vấn đổ dồn về Twilio do có đề cập trong dữ liệu, nhưng cả Valve lẫn Twilio đều phủ nhận việc hệ thống của họ bị tấn công. Trước những lo ngại của người dùng, Valve đã chính thức đưa ra tuyên bố, làm rõ rằng dữ liệu rò rỉ là có thật, nhưng phủ nhận hoàn toàn việc hệ thống của họ bị xâm nhập.
Steam Deck OLED hiển thị nhiều trò chơi, minh họa cho nền tảng Steam bị ảnh hưởng bởi sự cố rò rỉ dữ liệu
Phản hồi chính thức của Valve: An tâm nhưng cũng đặt ra câu hỏi lớn
Valve xác nhận dữ liệu rò rỉ là có thật nhưng không phải do hệ thống Steam bị xâm nhập
Trong tuyên bố mới nhất của mình, Valve đã trấn an người dùng Steam về vụ rò rỉ thông tin gây xôn xao dư luận. Đại diện của Valve khẳng định:
“Hôm qua, chúng tôi đã nhận được thông tin về việc rò rỉ các tin nhắn cũ đã từng được gửi cho khách hàng Steam. Chúng tôi đã kiểm tra mẫu dữ liệu rò rỉ và xác định rằng đây KHÔNG phải là một sự cố xâm nhập hệ thống của Steam.”
Valve cho biết thêm rằng họ vẫn đang nỗ lực tìm hiểu nguồn gốc của vụ rò rỉ, một nhiệm vụ phức tạp bởi thực tế là mọi tin nhắn SMS đều không được mã hóa trong quá trình truyền tải và được định tuyến qua nhiều nhà cung cấp khác nhau trước khi đến điện thoại người dùng.
Dữ liệu rò rỉ chủ yếu bao gồm các tin nhắn cũ chứa mã một lần (chỉ có giá trị trong khung thời gian 15 phút) và các số điện thoại mà chúng được gửi tới. Điều quan trọng là dữ liệu rò rỉ không hề liên kết các số điện thoại này với bất kỳ tài khoản Steam cụ thể nào, cũng như không chứa thông tin mật khẩu, thông tin thanh toán hay bất kỳ dữ liệu cá nhân nhạy cảm nào khác. Các mã tin nhắn cũ đã hết hạn không thể được sử dụng để xâm nhập bảo mật tài khoản Steam của bạn. Hơn nữa, Valve cũng nhấn mạnh rằng bất cứ khi nào một mã được sử dụng để thay đổi email hoặc mật khẩu Steam qua SMS, người dùng sẽ nhận được xác nhận qua email và/hoặc tin nhắn bảo mật của Steam.
Vì vậy, từ góc độ của Steam, khách hàng không cần phải thay đổi mật khẩu hoặc số điện thoại của mình do sự cố này. Tuy nhiên, đây là một lời nhắc nhở hữu ích về việc luôn cảnh giác với bất kỳ tin nhắn bảo mật tài khoản nào mà bạn không chủ động yêu cầu. Valve khuyến nghị người dùng nên thường xuyên kiểm tra tình trạng bảo mật tài khoản Steam của mình tại https://store.steampowered.com/account/authorizeddevices.
Một lời khuyên quan trọng khác từ Valve là người dùng Steam nên thiết lập Steam Mobile Authenticator nếu chưa thực hiện. Đây là phương pháp tối ưu nhất để Valve gửi các tin nhắn bảo mật về tài khoản và an toàn của tài khoản đó.
Tại sao phản hồi của Valve vừa đáng mừng vừa gây lo ngại?
Máy tính xách tay và Steam Deck cùng hiển thị cửa hàng Steam, tượng trưng cho sự kết nối giữa người dùng và nền tảng trong bối cảnh lo ngại bảo mật
Việc Valve cuối cùng đã cung cấp thông tin rõ ràng về tình hình là một điều đáng mừng, giúp xua tan phần nào nỗi lo về một cuộc tấn công trực tiếp vào hệ thống của Steam. Tuy nhiên, tuyên bố này cũng đặt ra một câu hỏi lớn: Vậy nguồn gốc của vụ rò rỉ là từ đâu? Như Valve đã đề cập, tin nhắn SMS được định tuyến qua rất nhiều nhà cung cấp. Điều này có nghĩa là việc tìm ra nguồn gốc chính xác của sự cố sẽ là một quá trình điều tra phức tạp. Một khả năng là Valve đã ký hợp đồng với một hoặc nhiều bên trung gian để gửi mã SMS, và một trong những bên trung gian đó (thậm chí có thể là một bên trung gian của bên trung gian đó, ví dụ, một bên đã sử dụng Twilio ở một số khu vực) có thể đã bị xâm nhập. Đây chỉ là một suy đoán, và nguồn gốc thực sự vẫn còn là ẩn số.
May mắn thay, với xác nhận rằng Valve không trực tiếp bị tấn công, người dùng không cần phải thay đổi mật khẩu của mình. Dù vậy, những lo ngại vẫn là chính đáng. Dù bộ dữ liệu chỉ chứa số điện thoại và tin nhắn cũ, nhưng những số điện thoại này có thể được kết hợp với các bộ dữ liệu khác để tạo ra một bức tranh hoàn chỉnh hơn về một người dùng cụ thể. Điều này, cùng với ngôn ngữ của tin nhắn đã được gửi, có thể bị kẻ xấu lợi dụng trong các cuộc tấn công phishing (lừa đảo trực tuyến) nhắm mục tiêu, liên quan đến tên thật và tài khoản Steam của một người. Đây không phải là một vụ rò rỉ vô nghĩa, nhưng may mắn là phạm vi ảnh hưởng của nó khá hạn chế.
Theo khuyến nghị của Valve, cách tốt nhất để tự bảo vệ mình hiện tại là thiết lập Steam Mobile Authenticator, thay vì chỉ dựa vào mã 2FA qua SMS. SMS 2FA vốn đã kém an toàn hơn, vì mã có thể bị chặn bằng cách giả mạo số điện thoại của người dùng. Để bảo vệ tài khoản trực tuyến tốt nhất, bạn nên luôn sử dụng xác thực hai yếu tố (2FA) kết hợp với một trình quản lý mật khẩu đáng tin cậy.
Kết luận
Sự cố rò rỉ dữ liệu liên quan đến Steam một lần nữa nhấn mạnh tầm quan trọng của việc bảo mật tài khoản cá nhân trong thế giới số. Dù Valve đã khẳng định hệ thống của họ không bị xâm nhập trực tiếp, và các dữ liệu rò rỉ không đủ để truy cập tài khoản, người dùng vẫn cần nâng cao cảnh giác. Việc thiết lập Steam Mobile Authenticator và sử dụng trình quản lý mật khẩu là những bước thiết yếu để tăng cường lớp bảo vệ cho tài khoản Steam và các tài khoản trực tuyến khác của bạn. Hãy luôn chủ động kiểm tra các thiết bị đã được ủy quyền cho tài khoản của bạn và cảnh giác với các dấu hiệu lừa đảo để đảm bảo trải nghiệm chơi game của bạn luôn an toàn.