Một vụ rò rỉ dữ liệu đã tác động đến cộng đồng game thủ yêu thích Steam của Valve, với khoảng 89 triệu bản ghi liên quan đến người dùng Steam và mã xác thực 2FA được rao bán. Mặc dù sau đó đã có thông tin xác nhận rằng Valve không phải là bên bị tấn công trực tiếp. Nhiều người đã nhanh chóng coi nhẹ mức độ nghiêm trọng của vụ rò rỉ này, trong khi số khác lại hoài nghi về tính xác thực của nó. Dữ liệu đề cập đến “Twilio” là “Nhà cung cấp”, nhưng Twilio đã phủ nhận việc bị tấn công. Valve phải mất gần 24 giờ mới đưa ra tuyên bố chính thức, ngoài việc xác nhận với MellowOnline1 rằng họ không sử dụng dịch vụ của Twilio. Với tư cách là một chuyên gia về bảo mật, tôi đã có được một bản sao dữ liệu mẫu khi tin tức mới bùng phát. Sau khi xem xét, tôi không cho rằng vụ việc này đơn giản như nhiều người vẫn nghĩ.
Tất nhiên, điều cần làm rõ ngay từ đầu là: đây hoàn toàn có thể là một trò lừa bịp tinh vi khi mới được báo cáo. Tuy nhiên, dữ liệu dường như đã được bán, và người bán, tự xưng là Machine1337, sau đó đã công bố thêm hai bộ dữ liệu mẫu; một bộ được cho là liên quan đến Apple, và một bộ khác liên quan đến Snapchat. Hơn nữa, Machine1337 có thể có liên hệ với EnergyWeaponUser, một cái tên gắn liền với nhiều vụ tấn công mạng cấp cao như Cisco và Ford. Các bằng chứng cho thấy đây là hai người khác nhau, nhưng tên người dùng Machine1337 đã hoạt động ít nhất một năm trên một số diễn đàn hacker này. Một số vụ rò rỉ nhỏ hơn, chẳng hạn như rò rỉ tin nhắn văn bản gửi cho hành khách từ Turkish Airlines, đã được quy cho Machine1337, và vụ tấn công cụ thể đó xảy ra vào tháng 4 năm nay.
Mặc dù tất cả những điều này có thể chỉ ra một kẻ mạo danh đang tìm cách tạo tên tuổi cho mình bằng cách dựa hơi người khác, nhưng tính xác thực của dữ liệu vào thời điểm đó không phải là vấn đề chính. Vấn đề là: nó không, và vẫn không phải là điều để coi thường, ngay cả khi dữ liệu có vẻ vô hại trên bề mặt. Việc tiếp cận tình huống với sự hoài nghi lành mạnh và thái độ không tin tưởng chung là điều dễ hiểu (và bạn nên có), nhưng tôi đã thấy nhiều người hoàn toàn bác bỏ nó với giả định rằng dữ liệu chỉ đơn giản là vô nghĩa hoặc hoàn toàn bịa đặt, mặc dù họ chưa tự mình xem xét dữ liệu.
Ngay cả bây giờ, vẫn có một vài lý do để lo ngại, ngay cả khi mối nguy hiểm không cảm thấy tức thì.
Tấn công lừa đảo mục tiêu (Phishing) – Rủi ro lớn nhất từ vụ rò rỉ dữ liệu Steam
Người dùng Steam đã trở thành “con mồi” tiềm năng
Trước hết, hãy cùng xem dữ liệu này chứa những gì. Thực sự, nó khá “nhàm chán”, chủ yếu bao gồm metadata liên quan đến chi phí mỗi tin nhắn văn bản, nhà mạng được sử dụng để gửi tin nhắn và quốc gia của người dùng. Thêm vào đó, các mã 2FA của Steam rõ ràng đã quá hạn sử dụng từ lâu, mặc dù bộ dữ liệu cũng chứa các mã liên quan đến việc thay đổi thông tin đăng nhập tài khoản. Phạm vi ngôn ngữ rộng lớn trong các tin nhắn cũng củng cố thêm tính xác thực của bộ dữ liệu trước khi nó được xác nhận, với sự hiện diện của tiếng Anh, tiếng Bồ Đào Nha, tiếng Đức, tiếng Nga và nhiều ngôn ngữ khác. Tuy nhiên, khi nói đến số điện thoại, chỉ có 1.825 số điện thoại duy nhất trong bộ dữ liệu trong tổng số 3.000 được cung cấp. Nếu (nếu lớn) tỷ lệ trùng lặp trong mẫu được duy trì trên toàn bộ dữ liệu, bạn sẽ kỳ vọng khoảng 54 triệu số điện thoại duy nhất. Con số này vẫn rất lớn, nhưng cũng chỉ bằng gần một nửa so với con số ban đầu.
Tấn công lừa đảo phishing mục tiêu qua tin nhắn điện thoại
Có một vài lý do để tin vào tính xác thực của vụ rò rỉ, từ dữ liệu đa dạng đến nhiều ngôn ngữ, và cả các diễn đàn nơi chúng được đăng tải. Nhiều diễn đàn ngầm này hoạt động rất chặt chẽ khi nói đến việc mua bán dữ liệu bị tấn công, và Machine1337 chắc chắn đã bị cấm nếu những vụ rò rỉ khác là giả mạo và họ đã lừa đảo người dùng khác. Với việc chúng ta đã biết dữ liệu là có thật, thì không phải là 54 triệu người dùng bị rò rỉ mã xác thực đã cũ vài tháng, mà là 54 triệu người dùng vừa trở thành mục tiêu tấn công lừa đảo (phishing).
Tất cả chúng ta đều biết phishing là gì, và việc nhận ra một vụ lừa đảo phishing có thể khá dễ dàng vì nhiều vụ trong số đó nhắm vào một lượng lớn người dùng và được gửi đi mà ít quan tâm đến sự liên quan của chúng với người nhận. Tuy nhiên, bộ dữ liệu này lại cho phép các cuộc tấn công có mục tiêu (được gọi là spear phishing) xảy ra. Ví dụ, chỉ có hơn 6.000 người nói tiếng Nga ở Bồ Đào Nha vào năm 2022. Mặc dù con số đó chắc chắn đã tăng lên kể từ đó, nhưng hầu hết những kẻ cố gắng thực hiện càng nhiều nỗ lực phishing càng tốt cho người dùng Bồ Đào Nha sẽ không làm điều đó bằng tiếng Nga. Một người dùng Steam nhận mã 2FA của Steam bằng tiếng Nga đã cung cấp thêm thông tin về cách điều chỉnh một tin nhắn cho một người dùng cụ thể, nhưng điều tồi tệ hơn là vậy.
Trong những năm qua đã có rất nhiều vụ rò rỉ dữ liệu từ nhiều dịch vụ khác nhau, và những vụ rò rỉ đó có thể bao gồm tên, số điện thoại, địa chỉ email và nhiều thông tin khác. Tôi đã kiểm tra một số số điện thoại trên HaveIBeenPwned và phát hiện ra rằng nhiều số trong số đó đã bị rò rỉ trong bộ dữ liệu Facebook năm 2021, chứa khoảng 20% tổng số người dùng của Facebook, bao gồm nhiều thông tin cá nhân và đủ để xác định một người dùng. Bây giờ, hãy kết hợp điều đó với người dùng Nga mà chúng ta đã xác định. Nếu một số điện thoại trùng khớp trong một bộ dữ liệu khác, chẳng hạn như của Facebook, thì kẻ tấn công có thể tạo một nỗ lực phishing nhắm vào một người dùng có chứa tên của họ, được viết bằng ngôn ngữ của họ, đề cập đến một tình huống khẩn cấp liên quan đến tài khoản Steam của họ. Giờ đây bạn đã thu hút được sự chú ý của người dùng, và theo cách mà một nỗ lực phishing thông thường sẽ không làm được.
Đây không phải là một kịch bản giả định; các cuộc tấn công lừa đảo mục tiêu là có thật, và mặc dù một vụ rò rỉ dữ liệu đơn lẻ có vẻ không gây ảnh hưởng đáng kể, việc kết hợp nhiều nguồn dữ liệu giúp ai đó tạo ra một cuộc tấn công được điều chỉnh riêng cho bạn. Trên thực tế, có những “combolists” kết hợp nhiều bộ dữ liệu lại với nhau, với các ví dụ nổi tiếng mà bạn có thể đã nghe nói đến dưới dạng các danh sách tên người dùng và mật khẩu khổng lồ Collection #1 đến Collection #5. Các tài khoản Steam có thể bán được với giá khá cao, và các skin vũ khí trong các trò chơi như Counter-Strike có thể trị giá hàng trăm và thậm chí hàng nghìn đô la. Chắc chắn có động cơ lừa đảo khi nói đến người dùng Steam, và kết hợp với các bộ dữ liệu khác, nó có thể cực kỳ nguy hiểm cho những người dùng có dữ liệu bị rò rỉ. Mặc dù bạn và tôi đều biết phải cẩn thận với các tin nhắn văn bản ngẫu nhiên, không phải ai cũng cảnh giác như vậy, và vụ rò rỉ này vừa cung cấp cho những kẻ tấn công tiềm năng một cách để điều chỉnh tin nhắn của chúng một cách độc đáo cho nạn nhân nhằm cố gắng đánh cắp có thể hàng nghìn đô la.
Di chuyển ngang trong mạng (Lateral Movement) – Mối lo ngại về hệ thống đã bị xâm phạm?
Làm sao chúng ta biết rằng không có thêm hệ thống nào bị xâm phạm?
Mặt khác của vấn đề, và là điều tôi đặc biệt lo lắng, là tiềm năng của việc di chuyển ngang (lateral movement). Về cơ bản, đây là một quá trình mà kẻ tấn công di chuyển sâu hơn vào mạng, giành quyền truy cập vào nhiều hệ thống hơn khi chúng tiến sâu vào. Nếu chính Valve bị tấn công, ai có thể nói rằng bộ dữ liệu này là kết thúc của vụ việc? Mặc dù các công ty nên áp dụng bảo mật nội bộ một cách nghiêm ngặt như cách họ áp dụng bảo mật bên ngoài, nhưng điều đó không phải lúc nào cũng đúng. Nếu một công ty không áp dụng nguyên tắc không tin cậy (zero-trust), bất kỳ ai kết nối với mạng nội bộ có thể vượt qua phần còn lại của mạng như một kết nối đáng tin cậy, tự do cố gắng truy cập các hệ thống nội bộ khác một khi đã đặt chân vào.
Thiết bị chơi game Steam Deck OLED, biểu tượng của hệ sinh thái Steam
Nói rõ hơn, chúng ta hiện biết rằng điều này đã không xảy ra theo tuyên bố ngày 14 tháng 5 của Valve, và thành thật mà nói, nó không phải là quá khả thi ngay từ đầu. Các vụ rò rỉ khác của Machine1337 dường như đã dừng lại ở nơi chúng bắt đầu, chẳng hạn như trường hợp của Turkish Airlines. Không có gì thêm xảy ra, nhưng với khả năng có liên hệ với EnergyWeaponUser, việc lo lắng không phải là không có cơ sở. Điều có vẻ rất có thể đã xảy ra là họ đã có quyền truy cập vào một bên trung gian xử lý tin nhắn văn bản cho Valve. Valve đã nói rằng họ không sử dụng Twilio, và Twilio phủ nhận một vụ tấn công. Có thể một bên trung gian ký hợp đồng với Twilio ở Bồ Đào Nha (và có lẽ các khu vực khác) để gửi các tin nhắn liên quan đến Steam.
Với những điều đã nói, chúng ta không có đủ thông tin để loại trừ bất cứ điều gì, và việc bác bỏ ngay lập tức một vụ tấn công tiềm năng của Valve, trong khi thiếu thông tin chính thức, là điều gây khó chịu. Valve đã mất khá nhiều thời gian để phủ nhận điều đó, và về lý thuyết, có thể công ty đã bị tấn công. Rõ ràng, chúng ta biết bây giờ rằng điều này không xảy ra, nhưng nó không bao giờ nằm ngoài khả năng. Mặc dù chúng ta có thể đưa ra giả định rằng Valve gần như chắc chắn lưu trữ thông tin đăng nhập với các thực hành tốt nhất, một công ty trải qua một vụ tấn công, có thể tiềm năng là Valve trong trường hợp này, đã mắc lỗi ở đâu đó. Ai biết một công ty bị rò rỉ dữ liệu đã mắc lỗi ở những nơi nào khác?
Ngoài ra, đây là lý do tại sao việc thay đổi mật khẩu luôn là một thực hành được khuyến nghị khi nói về bất kỳ vụ tấn công dịch vụ nào. Khuyến khích người dùng thay đổi mật khẩu không phải là “lan truyền nỗi sợ hãi” khi thiếu thông tin, đặc biệt là việc xoay vòng mật khẩu theo định kỳ có thể được coi là một phần của các thực hành tốt nhất. Việc buộc xoay vòng mật khẩu là không tốt vì nó khiến người dùng tham gia vào các thực hành kém an toàn hơn nói chung, như lặp lại các mật khẩu hiện có, ghi chúng ra hoặc lưu chúng ở những vị trí không an toàn. Tuy nhiên, bất kỳ ai nghiêm túc về bảo mật đều sẽ có một trình quản lý mật khẩu và liên tục sử dụng các mật khẩu mạnh, điều này làm mất đi mặt tiêu cực của việc xoay vòng mật khẩu.
Đúng, kịch bản Valve tự mình bị tấn công giờ đây là giả thuyết, vì Valve nói rằng dữ liệu SMS bị rò rỉ không liên quan đến tài khoản Steam, và Twilio phủ nhận bất kỳ sự thỏa hiệp nào. Tôi nhận thức được sự thật đó, nhưng mọi vụ tấn công bảo mật đều là giả thuyết cho đến khi nó xảy ra. Các vụ tấn công chỉ bị chặn lại bằng cách lập kế hoạch cho những điều giả thuyết, và cách duy nhất để ngăn chặn một vụ tấn công bảo mật là chủ động thay vì phản ứng; nếu bạn phản ứng, bạn đã quá muộn rồi. Hướng dẫn hiện đại (NIST SP-800-63B và UK NCSC) rõ ràng: khi có một khả năng hợp lý rằng thông tin đăng nhập của bạn đã bị lộ, bạn hãy thay đổi chúng. Điều này đôi khi được tích hợp như một phần của chiến lược phản ứng tự động được gọi là thiết lập lại dựa trên sự kiện, không chỉ là một chính sách xoay vòng mật khẩu thông thường. Với giá trị tiền mặt thực tế của một số kho đồ Steam và sự phổ biến của tấn công nhồi nhét thông tin đăng nhập (credential-stuffing), một lần thiết lập lại và bật Steam Mobile Authenticator là một phản ứng chi phí thấp, lợi nhuận cao. Gọi đó là “lan truyền nỗi sợ hãi” là hiểu sai cả các tiêu chuẩn và rủi ro.
Nếu bạn nghĩ ngân hàng của mình “có thể” đã trải qua một vụ tấn công bảo mật có thể cho phép kẻ tấn công truy cập vào tài khoản của bạn, và bạn không có thông tin để xác nhận điều đó, ngoài việc một số dữ liệu đã bị rò rỉ, bạn sẽ thay đổi mật khẩu ngay lập tức.
Coi mọi vụ rò rỉ bảo mật là rủi ro tiềm tàng
Ngay cả khi nó dường như không phải là vấn đề
Mặc dù có thể rất dễ dàng bác bỏ một điều gì đó tầm thường như mã xác thực cũ và số điện thoại, nhưng vẫn có lý do tại sao dữ liệu này vẫn đáng lo ngại. Không chỉ là cách nó có thể được kết hợp với các bộ dữ liệu khác, mà còn là sự thật rằng một công ty nào đó trong chuỗi đã bị tấn công ngay từ đầu. Cho đến khi có thông báo khác, động thái an toàn nhất là luôn giả định rằng có một mức độ rủi ro đối với tài khoản của bạn. Bằng cách đó, bạn có thể thực hiện các bước để bảo vệ bản thân một cách chủ động, thay vì chờ đợi một mối nguy hiểm tiềm tàng để chỉ phản ứng khi đã quá muộn. Trong kịch bản đó, tốt nhất, bạn có thể bị khóa tài khoản Steam của mình trong khi chờ bộ phận hỗ trợ của Valve chuyển quyền sở hữu lại cho bạn. Tệ nhất, bạn có thể mất quyền truy cập vào tài khoản của mình vĩnh viễn.
Mật khẩu yếu kém "123456789" và cảnh báo nguy cơ bảo mật
Xin nhắc lại, chúng ta hiện biết rằng Valve không bị tấn công. Tôi cũng không nghĩ rằng có khả năng đáng kể nào người dùng sẽ phải chịu thiệt hại hoặc mất quyền truy cập vào tài khoản Steam của họ do vụ rò rỉ này. Cá nhân tôi tin rằng rất có thể một dịch vụ trung gian đã bị hack, và sẽ không có cách nào để chuyển từ dịch vụ đó sang mạng nội bộ của Valve. Tôi cũng không mong đợi thêm thông tin nào liên quan đến Valve trong vụ rò rỉ dữ liệu này. Tuy nhiên, tấn công lừa đảo mục tiêu là có thật, và vụ rò rỉ này chính là yếu tố cho phép điều đó. Hơn nữa, ngay cả một cơ hội nhỏ bị tấn công cũng không có nghĩa là mọi người nên ngồi yên và chờ đợi nó xảy ra. Có lý do các công ty khuyên bạn nên thay đổi mật khẩu khi một dịch vụ bị tấn công, ngay cả khi dịch vụ đó nói rằng mật khẩu của họ đã được mã hóa (hashed) và thêm muối (salted). Các hướng dẫn hiện đại vạch ra một ranh giới giữa việc xoay vòng định kỳ và thiết lập lại dựa trên sự kiện, và một sự nghi ngờ hợp lý là đủ để chuyển từ xoay vòng định kỳ sang thiết lập lại dựa trên sự kiện. Khi thiếu thông tin, việc thận trọng luôn là động thái tốt hơn.
Tôi không nói rằng bạn phải mất ngủ vì vụ rò rỉ này, nhưng có vẻ như sự kiện này đã làm nổi bật sự thiếu quan tâm rộng rãi hơn đối với việc rò rỉ dữ liệu cá nhân và bảo mật cá nhân. Mặc dù Valve về mặt kỹ thuật là đúng khi nói rằng số điện thoại không được liên kết trực tiếp với tài khoản, nhưng nhiều số trong số này có thể được liên kết với tài khoản chỉ với một chút nỗ lực. Tôi cho rằng bất kỳ ai sử dụng mật khẩu yếu hơn và biết rằng họ nằm trong các bộ dữ liệu khác nên thay đổi mật khẩu của mình, bởi vì bất kỳ ai mua bộ dữ liệu này đều có ý định sử dụng nó cho các nỗ lực lừa đảo và kết hợp nó với các bộ dữ liệu khác. Các bộ dữ liệu có thể được liên kết với nhau để xây dựng một bức tranh chính xác về bạn, điều này giúp việc lừa đảo mục tiêu dễ dàng hơn, và đây là một bộ dữ liệu nữa để thêm vào danh sách đó. Trong trường hợp xấu nhất, một bộ dữ liệu ban đầu bị rò rỉ có thể là dấu hiệu cho những điều tồi tệ hơn sắp tới, mặc dù chúng ta biết rằng điều đó có lẽ không xảy ra ở đây. Ít nhất, hãy coi đây là cơ hội để sử dụng một trình quản lý mật khẩu và cải thiện mật khẩu cũng như bảo mật tổng thể của bạn. Rốt cuộc, rất nhiều bộ dữ liệu đã được bán và truyền tay nhau chỉ để xuất hiện lần đầu sau nhiều tháng.