Sau các báo cáo đáng lo ngại về 89 triệu tài khoản Steam bị xâm phạm và dữ liệu cá nhân được rao bán trên dark web, Steam đã đưa ra tuyên bố nhằm trấn an người dùng rằng tài khoản của họ hoàn toàn an toàn. Tuy nhiên, Steam xác nhận có sự rò rỉ dữ liệu, và cho biết nó chứa “các mã xác thực một lần chỉ có giá trị trong khung thời gian 15 phút và các số điện thoại đã nhận mã đó.”
Hình ảnh minh họa logo Steam và thông tin về vụ rò rỉ dữ liệu SMS
Chi Tiết Vụ Rò Rỉ Dữ Liệu Từ Steam
Steam đang điều tra nguồn gốc của vụ rò rỉ và nghi ngờ nó bắt nguồn từ một nhà cung cấp dịch vụ di động. “Các tin nhắn SMS không được mã hóa trong quá trình truyền tải và được định tuyến qua nhiều nhà cung cấp khác nhau trên đường đến điện thoại của bạn,” Steam cho biết và khẳng định hệ thống của họ không bị xâm nhập. Do đó, người dùng không cần lo lắng về việc thay đổi mật khẩu hay số điện thoại của mình.
Công ty an ninh mạng Underdark đã đăng tải trên Linkedin.com về vụ rò rỉ dữ liệu này, thậm chí chia sẻ ảnh chụp màn hình cho thấy ai đó đang cố gắng bán dữ liệu trên dark web. Underdark ban đầu bày tỏ lo ngại: “Những tác động ở đây rất nghiêm trọng — Steam không chỉ là một nền tảng trò chơi; nó là một kho tàng dữ liệu cá nhân và tài chính liên quan đến người dùng trên toàn thế giới. Nếu vụ xâm phạm này được xác minh, nó có thể dẫn đến tình trạng lừa đảo (phishing), chiếm đoạt tài khoản và các cuộc tấn công có mục tiêu trên toàn cộng đồng game thủ.”
Nguồn Gốc Vụ Việc và Nhận Định Từ Chuyên Gia
Underdark sau đó đã cập nhật bài đăng, nói rằng “Dữ liệu bao gồm nội dung tin nhắn, trạng thái gửi, siêu dữ liệu và chi phí định tuyến – cho thấy quyền truy cập backend vào bảng điều khiển hoặc API của nhà cung cấp, chứ không phải trực tiếp Steam.”
Có vẻ như Underdark đã có thể lấy được một mẫu dữ liệu bị rò rỉ. “Theo bài đăng ban đầu của chúng tôi về vụ rò rỉ dữ liệu Steam (hơn 89 triệu người dùng), bằng chứng mới xác nhận rằng một mẫu bị rò rỉ chứa nhật ký SMS 2FA (xác thực hai yếu tố) theo thời gian thực được định tuyến qua Twilio.”
Underdark gọi đây là “sự thỏa hiệp chuỗi cung ứng, đặt bảo mật người dùng vào rủi ro thông qua lừa đảo (phishing) hoặc chiếm đoạt phiên làm việc (session hijacking).” Vì vậy, có khả năng người dùng Steam sẽ nhận được một số tin nhắn rác (spam texts) do số điện thoại đã bị lộ, nhưng có vẻ như vụ rò rỉ này chỉ ở mức bề mặt và không gây ra mối đe dọa thực sự.
Steam Nhấn Mạnh: Tài Khoản Người Dùng Vẫn An Toàn
Trong khi chúng ta chưa thể chắc chắn hậu quả của dữ liệu bị rò rỉ này sẽ là gì (nếu có), Valve (công ty mẹ của Steam) cảnh báo người dùng luôn cảnh giác với bất kỳ tin nhắn bảo mật nào mà bạn không yêu cầu nhưng đồng thời trấn an người dùng rằng tài khoản Steam của họ chưa bị tấn công.
“Dữ liệu bị rò rỉ không liên kết số điện thoại với tài khoản Steam, thông tin mật khẩu, thông tin thanh toán hoặc dữ liệu cá nhân khác. Các tin nhắn văn bản cũ không thể được sử dụng để phá vỡ bảo mật tài khoản Steam của bạn, và bất cứ khi nào mã được sử dụng để thay đổi email hoặc mật khẩu Steam của bạn bằng SMS, bạn sẽ nhận được xác nhận qua email và/hoặc tin nhắn bảo mật của Steam,” Valve cho biết.
Giao diện thư viện game trên nền tảng Steam PC
Lời Khuyên Từ Valve Để Bảo Vệ Tài Khoản Steam
Valve khuyến nghị người dùng nên thiết lập Steam Mobile Authenticator (Trình xác thực di động Steam) để thêm một lớp bảo mật bổ sung cho tài khoản Steam của mình nhằm đảm bảo an toàn tối đa.
Kết Luận
Tóm lại, vụ rò rỉ dữ liệu liên quan đến Steam đã được xác nhận, nhưng chỉ giới hạn ở mã xác thực SMS một lần và số điện thoại nhận mã. Steam khẳng định hệ thống cốt lõi của họ không bị xâm nhập và tài khoản người dùng không bị đe dọa trực tiếp qua mật khẩu hay thông tin thanh toán bị lộ. Rủi ro chủ yếu nằm ở khả năng nhận tin nhắn lừa đảo (phishing) qua số điện thoại bị lộ. Cộng đồng game thủ Việt Nam sử dụng Steam nên nâng cao cảnh giác với các tin nhắn đáng ngờ và chủ động sử dụng các biện pháp bảo mật mạnh mẽ như Steam Mobile Authenticator để bảo vệ tài khoản của mình một cách tốt nhất.
