Vào ngày 13 tháng 5, cộng đồng người dùng Steam tại Việt Nam và trên toàn thế giới đã xôn xao trước thông tin về một vụ rò rỉ dữ liệu nghiêm trọng, được cho là đã ảnh hưởng đến ông lớn ngành game Valve. Một cá nhân tự xưng là “Machine1337” đã rao bán một kho dữ liệu khổng lồ chứa số điện thoại, siêu dữ liệu tin nhắn và các mã xác thực hai yếu tố (2FA) cũ của Steam. Mặc dù các mã này đã hết hạn sử dụng từ lâu, câu hỏi lớn đặt ra là ai đã phải chịu tổn thất từ vụ việc này. Ban đầu, mọi nghi ngờ hướng về Twilio do tên của họ được nhắc đến trong dữ liệu, nhưng cả Valve và Twilio đều lên tiếng phủ nhận. Mới đây, Valve đã chính thức đưa ra phản hồi, xác nhận rằng dữ liệu rò rỉ là có thật, nhưng phủ nhận hệ thống của họ bị xâm phạm.
Valve Xác Nhận Dữ Liệu Là Thật, Nhưng Phủ Nhận Hệ Thống Bị Xâm Nhập
Trong tuyên bố mới nhất, Valve đã làm rõ về vụ việc, khẳng định rằng các báo cáo về việc rò rỉ tin nhắn cũ từng được gửi đến khách hàng Steam là chính xác. Tuy nhiên, sau khi kiểm tra mẫu dữ liệu bị rò rỉ, Valve đã xác định đây KHÔNG phải là một vụ tấn công hệ thống của Steam.
Valve cho biết họ vẫn đang tiếp tục điều tra nguồn gốc của vụ rò rỉ. Điều này trở nên phức tạp hơn bởi thực tế là mọi tin nhắn SMS đều không được mã hóa trong quá trình truyền tải và được định tuyến qua nhiều nhà cung cấp khác nhau trước khi đến điện thoại của người dùng.
Dữ liệu bị rò rỉ bao gồm các tin nhắn văn bản cũ chứa mã dùng một lần (OTP) chỉ có hiệu lực trong khung thời gian 15 phút và các số điện thoại nhận được chúng. Điều quan trọng là dữ liệu rò rỉ không liên kết số điện thoại với tài khoản Steam, thông tin mật khẩu, thông tin thanh toán hoặc dữ liệu cá nhân khác. Valve khẳng định các tin nhắn cũ này không thể được sử dụng để xâm phạm bảo mật tài khoản Steam của người dùng. Hơn nữa, bất cứ khi nào mã được sử dụng để thay đổi email hoặc mật khẩu Steam qua SMS, người dùng sẽ nhận được xác nhận qua email và/hoặc tin nhắn bảo mật Steam.
Từ góc độ của Steam, khách hàng không cần phải thay đổi mật khẩu hoặc số điện thoại của mình do sự kiện này. Tuy nhiên, đây là một lời nhắc nhở quan trọng để người dùng luôn cảnh giác với bất kỳ tin nhắn bảo mật tài khoản nào mà họ không chủ động yêu cầu. Valve khuyến nghị người dùng nên thường xuyên kiểm tra bảo mật tài khoản Steam của mình tại trang web chính thức của họ. Ngoài ra, Valve cũng khuyến khích người dùng Steam thiết lập Steam Mobile Authenticator nếu họ chưa thực hiện, vì đây là cách tốt nhất để Steam gửi tin nhắn bảo mật về tài khoản và sự an toàn của tài khoản đó.
Nguồn Gốc Rò Rỉ Vẫn Là Ẩn Số: Mối Lo Ngại Từ Chuỗi Cung Ứng SMS
Mặc dù việc có được sự rõ ràng từ Valve là điều đáng mừng, nhưng tuyên bố này cũng đặt ra một câu hỏi lớn: Vụ rò rỉ đã xảy ra ở đâu? Như Valve đã đề cập, tin nhắn SMS được định tuyến qua rất nhiều nhà cung cấp, vì vậy việc tìm ra nguồn gốc chính xác của vụ rò rỉ sẽ đòi hỏi một quá trình điều tra kỹ lưỡng. Ví dụ, có thể Valve ký hợp đồng với một hoặc nhiều bên trung gian để gửi mã SMS, và một trong những bên trung gian đó có thể đã bị xâm nhập, hoặc họ lại thuê Twilio để gửi tin nhắn thay mặt họ ở một số khu vực. Đây chỉ là phỏng đoán, và nguồn gốc thực sự của vụ rò rỉ vẫn là một ẩn số.
Hình ảnh laptop và Steam Deck hiển thị giao diện Steam, minh họa cho việc truy cập và quản lý tài khoản Steam an toàn.
May mắn thay, với xác nhận rằng Valve không trực tiếp bị xâm phạm, người dùng không cần phải thay đổi mật khẩu do vụ việc này. Tuy nhiên, người dùng vẫn có những lo ngại chính đáng. Mặc dù bộ dữ liệu chỉ chứa số điện thoại và tin nhắn, những số điện thoại này có thể được kết hợp với các bộ dữ liệu khác để tạo ra một bức tranh tổng thể hơn về một người dùng cụ thể. Điều đó, cùng với ngôn ngữ tin nhắn được gửi, có thể bị lợi dụng trong các cuộc tấn công lừa đảo (phishing) có chủ đích, nhắm vào tên thật và tài khoản Steam của một người. Đây không phải là một vụ rò rỉ vô nghĩa, nhưng may mắn là phạm vi của nó khá hạn chế.
Khuyến Nghị Của Valve & Lời Khuyên Bảo Mật Cho Game Thủ
Như Valve khuyến nghị, cách tốt nhất để tự bảo vệ mình hiện tại là thiết lập Steam Mobile Authenticator, thay vì chỉ dựa vào mã 2FA qua SMS. SMS 2FA vốn dĩ đã tiềm ẩn nhiều rủi ro bảo mật, vì mã có thể bị chặn hoặc chiếm đoạt bằng cách giả mạo số điện thoại của người dùng. Bạn nên luôn sử dụng xác thực hai yếu tố (2FA) kết hợp với một trình quản lý mật khẩu đáng tin cậy để bảo vệ tốt nhất các tài khoản trực tuyến của mình.
Tổng kết lại, vụ rò rỉ dữ liệu liên quan đến Steam là có thật, nhưng Valve đã trấn an người dùng rằng hệ thống của họ không bị tấn công trực tiếp. Dữ liệu bị rò rỉ là các tin nhắn SMS cũ, không ảnh hưởng trực tiếp đến mật khẩu hay thông tin thanh toán. Tuy nhiên, đây vẫn là một lời nhắc nhở quan trọng về tầm quan trọng của bảo mật trực tuyến. Hãy ưu tiên sử dụng Steam Mobile Authenticator, luôn cảnh giác với các tin nhắn đáng ngờ, và cân nhắc sử dụng trình quản lý mật khẩu để tăng cường an toàn cho tài khoản Steam và mọi dịch vụ trực tuyến khác của bạn. Đừng quên thường xuyên kiểm tra trạng thái bảo mật tài khoản để đảm bảo mọi thông tin cá nhân của bạn luôn được bảo vệ tốt nhất.
