Gần đây, thông tin về một vụ rò rỉ dữ liệu quy mô lớn liên quan đến người dùng Steam đã gây xôn xao cộng đồng game thủ và những người quan tâm đến bảo mật cá nhân. Ban đầu, nhiều người lo ngại rằng chính Valve, công ty đứng sau nền tảng game Steam, đã bị tấn công trực tiếp, với khoảng 89 triệu hồ sơ người dùng và mã xác thực hai yếu tố (2FA) được rao bán. Vụ việc càng trở nên phức tạp khi có tin đồn liên quan đến Twilio – một nhà cung cấp dịch vụ tin nhắn. Tuy nhiên, Twilio đã phủ nhận việc bị xâm phạm, và Valve cũng mất gần 24 giờ mới đưa ra tuyên bố chính thức, khẳng định họ không sử dụng dịch vụ của Twilio.
Sau khi xem xét kỹ lưỡng các dữ liệu mẫu được tiết lộ, congnghetonghop.com nhận thấy rằng đây không phải là một vấn đề nhỏ như nhiều người vẫn nghĩ. Mặc dù thông tin ban đầu có thể gây hiểu lầm, và Valve cuối cùng đã xác nhận rằng hệ thống của họ không bị tấn công trực tiếp, nhưng những dữ liệu bị rò rỉ vẫn tiềm ẩn những nguy cơ nghiêm trọng, đặc biệt là đối với độc giả của chúng ta tại Việt Nam – những người dùng Steam tích cực. Việc coi thường vụ việc này, chỉ vì dữ liệu có vẻ vô hại hoặc bị làm giả, là một sai lầm lớn. Ngay cả khi rủi ro không cảm thấy tức thì, vẫn có nhiều lý do để chúng ta phải lo ngại.
Nguy Cơ Lừa Đảo Có Mục Tiêu (Spear Phishing): Mối Đe Dọa Lớn Nhất Từ Dữ Liệu Lộ
Người Dùng Đã Trở Thành Mồi Ngon Của Kẻ Xấu
Trước tiên, hãy cùng tìm hiểu xem dữ liệu bị rò rỉ bao gồm những gì. Thực tế, chúng khá “nhàm chán” nếu nhìn bề ngoài, chủ yếu là các siêu dữ liệu (metadata) liên quan đến chi phí mỗi tin nhắn, nhà mạng được sử dụng để gửi tin nhắn và quốc gia của người dùng. Các mã 2FA của Steam trong tập dữ liệu rõ ràng đã quá hạn sử dụng. Tuy nhiên, tập dữ liệu này cũng chứa các mã liên quan đến việc thay đổi thông tin đăng nhập tài khoản. Sự đa dạng về ngôn ngữ trong các tin nhắn (tiếng Anh, Bồ Đào Nha, Đức, Nga, và nhiều ngôn ngữ khác) càng củng cố tính xác thực của tập dữ liệu trước khi nó được xác nhận.
Tấn công lừa đảo có mục tiêu qua email và tin nhắn (Spear Phishing)
Về số điện thoại, trong tổng số 3.000 số được cung cấp trong dữ liệu mẫu, chỉ có 1.825 số điện thoại duy nhất. Nếu tỷ lệ trùng lặp này được duy trì trong toàn bộ dữ liệu, chúng ta có thể ước tính có khoảng 54 triệu số điện thoại duy nhất bị rò rỉ. Đây vẫn là một con số khổng lồ, dù chỉ bằng gần một nửa so với con số 89 triệu ban đầu.
Chúng ta đều biết lừa đảo (phishing) là gì. Việc phát hiện một trò lừa đảo kiểu phishing thường khá dễ dàng vì chúng thường được gửi đến một lượng lớn người dùng mà ít quan tâm đến mức độ liên quan. Tuy nhiên, tập dữ liệu bị rò rỉ này lại cho phép thực hiện các cuộc tấn công có mục tiêu hơn, được gọi là lừa đảo có mục tiêu (spear phishing).
Hãy tưởng tượng một kẻ tấn công có thể kết hợp dữ liệu này với các vụ rò rỉ dữ liệu khác đã xảy ra trong nhiều năm qua, vốn có thể chứa tên, số điện thoại, địa chỉ email và nhiều thông tin cá nhân khác. Nhiều số điện thoại trong tập dữ liệu Steam đã xuất hiện trong vụ rò rỉ dữ liệu Facebook năm 2021, bao gồm khoảng 20% tổng số người dùng Facebook và đủ thông tin cá nhân để định danh một người dùng.
Giả sử kẻ tấn công xác định được một game thủ Việt Nam có số điện thoại bị rò rỉ trong vụ Steam và cũng có mặt trong vụ Facebook. Chúng có thể sử dụng tên của người đó, viết tin nhắn bằng tiếng Việt, và đề cập đến một vấn đề khẩn cấp liên quan đến tài khoản Steam của họ. Điều này sẽ thu hút sự chú ý của nạn nhân một cách hiệu quả hơn nhiều so với một tin nhắn lừa đảo thông thường. Đây không phải là một kịch bản giả định; các cuộc tấn công lừa đảo có mục tiêu là có thật. Mặc dù một vụ rò rỉ dữ liệu riêng lẻ có vẻ không quá nghiêm trọng, nhưng việc kết hợp nhiều nguồn dữ liệu giúp kẻ tấn công tạo ra một cuộc tấn công được “may đo” riêng cho từng nạn nhân.
Tài khoản Steam có thể bán được với giá khá cao, và các skin vũ khí trong Counter-Strike có thể trị giá hàng trăm, thậm chí hàng nghìn đô la. Chắc chắn có động cơ lừa đảo khi nhắm vào người dùng Steam. Khi kết hợp với các tập dữ liệu khác, vụ rò rỉ này có thể trở nên cực kỳ nguy hiểm cho những người dùng bị lộ thông tin. Chúng ta, những người am hiểu công nghệ, có thể cẩn thận với tin nhắn lạ, nhưng không phải ai cũng cảnh giác như vậy. Vụ việc này đã cung cấp cho kẻ tấn công một phương tiện để cá nhân hóa tin nhắn của chúng, với mục đích đánh cắp tài sản giá trị của người dùng.
Tấn Công Leo Thang (Lateral Movement): Một Mối Lo Ngại Đã Được Giải Tỏa?
Một khía cạnh khác của vụ việc, và là điều mà congnghetonghop.com đặc biệt lo ngại, là khả năng xảy ra tấn công leo thang (lateral movement). Về cơ bản, đây là một quá trình mà kẻ tấn công tiến sâu hơn vào mạng lưới, giành quyền truy cập vào nhiều hệ thống hơn theo từng bước. Nếu Valve thực sự bị xâm phạm, ai có thể đảm bảo rằng tập dữ liệu này là tất cả? Mặc dù các công ty nên áp dụng bảo mật nội bộ nghiêm ngặt như bảo mật bên ngoài, nhưng điều đó không phải lúc nào cũng xảy ra. Nếu một công ty không áp dụng nguyên tắc “không tin cậy” (zero-trust), bất kỳ ai kết nối với mạng nội bộ có thể được xem là kết nối đáng tin cậy, tự do cố gắng truy cập các hệ thống nội bộ khác một khi đã đặt chân vào.
Giao diện Steam Deck OLED mới nhất, một sản phẩm phổ biến của Valve
Để làm rõ, chúng ta hiện đã biết rằng điều này không xảy ra, dựa trên tuyên bố của Valve vào ngày 14 tháng 5. Thành thật mà nói, khả năng xảy ra điều này ngay từ đầu cũng không quá cao. Các vụ rò rỉ khác của tin tặc “Machine1337” dường như đã dừng lại ở điểm khởi đầu, chẳng hạn như trong trường hợp của Turkish Airlines. Không có thêm thông tin gì về những vụ việc đó. Tuy nhiên, với mối liên hệ tiềm ẩn với “EnergyWeaponUser” (một cái tên liên quan đến nhiều vụ rò rỉ lớn), việc lo lắng là điều hoàn toàn có cơ sở.
Điều có vẻ hợp lý nhất đã xảy ra là kẻ tấn công đã truy cập vào một bên trung gian xử lý tin nhắn SMS cho Valve. Valve đã tuyên bố không sử dụng Twilio, và Twilio cũng phủ nhận bị xâm phạm. Có thể một bên trung gian nào đó đã hợp đồng với Twilio ở Bồ Đào Nha (và có thể ở các khu vực khác) để gửi các tin nhắn liên quan đến Steam.
Với những thông tin trên, chúng ta chưa có đủ dữ liệu để loại trừ bất kỳ khả năng nào, và việc bác bỏ ngay lập tức khả năng Valve bị xâm phạm, khi không có thông tin chính thức, là điều đáng thất vọng. Valve đã mất khá nhiều thời gian để phủ nhận, và về mặt lý thuyết, công ty này hoàn toàn có thể đã bị tấn phạm. Rõ ràng, chúng ta biết bây giờ rằng đó không phải là trường hợp, nhưng khả năng này chưa bao giờ bị loại trừ.
Đây chính là lý do tại sao việc thay đổi mật khẩu luôn là một thực hành được khuyến nghị khi nói về bất kỳ vụ xâm phạm dịch vụ nào. Khuyến khích người dùng thay đổi mật khẩu khi không có thông tin rõ ràng không phải là “gieo rắc nỗi sợ hãi”, đặc biệt là khi việc xoay vòng mật khẩu định kỳ được coi là một phần của các thực hành tốt nhất. Khi có khả năng đáng tin cậy rằng thông tin đăng nhập của bạn đã bị lộ, bạn nên thay đổi chúng. Đây đôi khi được kết hợp như một phần của chiến lược phản hồi tự động được gọi là đặt lại theo sự kiện (event-driven reset), không chỉ là chính sách xoay vòng mật khẩu thông thường. Với giá trị tiền mặt thực tế của một số kho đồ Steam và sự phổ biến của tấn công vét thông tin đăng nhập (credential-stuffing), việc đặt lại mật khẩu một lần kèm theo bật Steam Mobile Authenticator là một phản ứng có chi phí thấp và lợi ích cao.
Nếu bạn nghĩ rằng ngân hàng của mình “có thể” đã bị xâm phạm bảo mật, có khả năng kẻ tấn công truy cập vào tài khoản của bạn, và bạn không có thông tin nào để xác nhận điều đó, ngoài việc một số dữ liệu đã bị rò rỉ, bạn sẽ thay đổi mật khẩu ngay lập tức.
Luôn Coi Mọi Rò Rỉ Bảo Mật Là Một Rủi Ro Tiềm Ẩn
Đừng Chủ Quan Dù Nguy Cơ Có Vẻ Không Đáng Kể
Mặc dù có thể bạn sẽ muốn bỏ qua một điều tầm thường như mã xác thực cũ và số điện thoại, nhưng vẫn có những lý do khiến dữ liệu bị rò rỉ đáng lo ngại. Không chỉ bởi cách nó có thể được kết hợp với các tập dữ liệu khác, mà còn là thực tế rằng một công ty nào đó trong chuỗi cung ứng đã bị xâm phạm ngay từ đầu. Cho đến khi có thông báo khác, động thái an toàn nhất là luôn giả định rằng có một mức độ rủi ro đối với tài khoản của bạn. Bằng cách đó, bạn có thể thực hiện các bước để tự bảo vệ chủ động, thay vì chờ đợi một nguy hiểm tiềm ẩn chỉ để phản ứng khi đã quá muộn. Trong kịch bản đó, tốt nhất là bạn có thể bị khóa tài khoản Steam của mình trong khi chờ bộ phận hỗ trợ của Valve chuyển quyền sở hữu trở lại cho bạn. Tệ nhất, bạn có thể mất quyền truy cập vào tài khoản của mình vĩnh viễn.
Ví dụ về mật khẩu yếu "123456789" và cảnh báo nguy cơ bị tấn công
Để nhắc lại một lần nữa, chúng ta biết rằng Valve không bị xâm phạm. Tuy nhiên, lừa đảo có mục tiêu là có thật, và vụ rò rỉ này tạo điều kiện cho điều đó xảy ra. Hơn nữa, ngay cả một cơ hội nhỏ bị tấn công cũng không có nghĩa là mọi người nên ngồi yên và chờ đợi nó xảy ra. Có lý do tại sao các công ty khuyến nghị thay đổi mật khẩu khi một dịch vụ bị xâm phạm, ngay cả khi dịch vụ đó nói rằng mật khẩu của họ được mã hóa và “salt”. Các hướng dẫn hiện đại phân biệt rõ ràng giữa việc xoay vòng mật khẩu định kỳ và đặt lại theo sự kiện. Với những nghi ngờ hợp lý là đủ để chuyển từ xoay vòng định kỳ sang đặt lại theo sự kiện. Khi thiếu thông tin, thận trọng luôn là lựa chọn tốt hơn.
congnghetonghop.com không khuyến khích bạn mất ngủ vì vụ rò rỉ này, nhưng có vẻ như sự kiện này đã làm nổi bật sự thiếu quan tâm rộng rãi hơn đối với việc rò rỉ dữ liệu cá nhân và bảo mật cá nhân. Mặc dù Valve về mặt kỹ thuật đúng khi nói rằng số điện thoại không được liên kết trực tiếp với tài khoản, nhưng nhiều số trong số này có thể được liên kết với tài khoản bằng một chút nỗ lực. Chúng tôi cho rằng bất kỳ ai đang sử dụng mật khẩu yếu và biết rằng họ có mặt trong các tập dữ liệu khác nên thay đổi mật khẩu của mình, bởi vì bất kỳ ai mua tập dữ liệu này đều có ý định sử dụng nó cho các cuộc tấn công lừa đảo và kết hợp nó với các tập dữ liệu khác. Các tập dữ liệu có thể được liên kết với nhau để xây dựng một bức tranh chính xác về bạn, điều này giúp việc lừa đảo có mục tiêu trở nên dễ dàng hơn, và đây lại là một tập dữ liệu nữa được thêm vào “đống” thông tin đó.
Các Bước Bảo Vệ Tài Khoản Steam Của Bạn Ngay Lập Tức
Để chủ động bảo vệ tài khoản Steam và thông tin cá nhân của bạn, congnghetonghop.com khuyến nghị thực hiện các bước sau:
- Thay đổi mật khẩu Steam ngay lập tức: Tạo một mật khẩu mạnh, duy nhất, kết hợp chữ hoa, chữ thường, số và ký tự đặc biệt. Tránh sử dụng lại mật khẩu đã dùng cho các dịch vụ khác.
- Kích hoạt và sử dụng Steam Guard (Xác thực 2 yếu tố): Đây là lớp bảo mật quan trọng nhất. Steam Guard yêu cầu mã từ ứng dụng di động của bạn mỗi khi bạn đăng nhập từ một thiết bị mới, làm cho tài khoản của bạn an toàn hơn đáng kể.
- Sử dụng trình quản lý mật khẩu: Các ứng dụng như LastPass, 1Password, Bitwarden giúp bạn tạo và lưu trữ các mật khẩu mạnh, độc nhất cho mọi tài khoản mà không cần phải nhớ chúng.
- Kiểm tra xem thông tin của bạn có bị rò rỉ không: Sử dụng các dịch vụ như HaveIBeenPwned.com để kiểm tra xem email hoặc số điện thoại của bạn có xuất hiện trong các vụ rò rỉ dữ liệu công khai nào không.
- Cảnh giác với các tin nhắn và email lừa đảo: Luôn kiểm tra kỹ người gửi, đường link trước khi nhấp vào. Valve sẽ không bao giờ yêu cầu bạn cung cấp mật khẩu hoặc mã 2FA qua email hoặc tin nhắn.
- Cập nhật thông tin khôi phục tài khoản: Đảm bảo số điện thoại và email khôi phục tài khoản Steam của bạn là chính xác và an toàn.
Tóm lại, vụ rò rỉ dữ liệu liên quan đến người dùng Steam là một lời nhắc nhở quan trọng về tầm quan trọng của an ninh mạng cá nhân. Dù Valve đã xác nhận hệ thống của họ không bị tấn công trực tiếp, nguy cơ lừa đảo có mục tiêu từ dữ liệu bị lộ là rất đáng kể. Đừng chủ quan; hãy chủ động bảo vệ thông tin và tài khoản của bạn để tránh những rủi ro không đáng có.
Bạn có những kinh nghiệm hay mẹo bảo mật nào để bảo vệ tài khoản Steam và thông tin cá nhân của mình không? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới!
