Trong thời gian gần đây, cộng đồng game thủ toàn cầu đã xôn xao trước thông tin về một vụ rò rỉ dữ liệu quy mô lớn, được cho là ảnh hưởng đến gần 90 triệu tài khoản Steam. Tin đồn này nhanh chóng lan truyền, gây lo ngại sâu sắc về vấn đề bảo mật tài khoản cá nhân. Tuy nhiên, sau khi các nguồn tin ban đầu được kiểm chứng, có vẻ như đây chỉ là một thông tin sai lệch, và người dùng Steam không cần quá lo lắng về một vụ xâm phạm hệ thống nghiêm trọng như vậy.
Tin đồn ban đầu và những nghi vấn
Mọi chuyện bắt đầu từ một bài đăng của tài khoản ‘Underdark AI’ trên LinkedIn, được cho là trích dẫn từ một “diễn đàn Dark Web nổi tiếng”. Bài viết này khẳng định rằng một tin tặc đã chiếm đoạt dữ liệu của hơn 89 triệu người dùng Steam. Thông tin bị đánh cắp được liệt kê bao gồm tên người dùng, mật khẩu, và nhật ký tin nhắn SMS riêng tư chứa mã 2FA (xác thực hai yếu tố), chi tiết tin nhắn cùng trạng thái gửi đi, tất cả được rao bán với mức giá chỉ 5.000 USD.
Mức giá quá rẻ cho số lượng dữ liệu khổng lồ này ngay lập tức dấy lên nhiều nghi ngờ trong giới chuyên gia công nghệ thông tin. Họ cho rằng đây là một điều bất thường, và khả năng thông tin không chính xác là rất cao.
Chuyên gia bảo mật lên tiếng: “Chỉ là mồi nhử phishing”
Tiến sĩ Kunz, một chuyên gia bảo mật uy tín, đã nhanh chóng đưa ra phân tích của mình trên LinkedIn. Ông chỉ ra rằng, mặc dù dữ liệu bị rò rỉ được cho là bao gồm số điện thoại và các mã OTP (mã xác thực một lần) đã hết hạn, nó lại không chứa các chi tiết quan trọng như tên người dùng, Steam ID, hay hash mật khẩu. Về cơ bản, thông tin này được bán với giá rẻ là bởi vì nó không thực sự như những gì đã được quảng cáo và “không có bất kỳ công dụng nào khác ngoài các chiến dịch lừa đảo (phishing)”. Thậm chí, người đăng bài gốc cũng đã phải thừa nhận rằng họ “không chắc liệu chúng ta có nên xem quan điểm của anh ấy (Dr. Kunz) như một bằng chứng khoa học hay không.”
Cách thức lan truyền và sự thiếu xác thực
Dù chứa đựng nhiều dấu hiệu đáng ngờ, tin tức đáng lo ngại này vẫn nhanh chóng được lan truyền rộng rãi bởi người dùng Twitter/X có tên Mellow_Online1. Ban đầu, Mellow_Online1 đã trình bày đây như một vụ rò rỉ dữ liệu lớn, nhấn mạnh rằng dữ liệu đang được rao bán trên một diễn đàn Dark Web, làm tăng thêm mối lo ngại trong cộng đồng. Thông tin này sau đó đã được nhiều website game và công nghệ khác chia sẻ mà không có bất kỳ sự xác nhận nào, bất chấp việc bài đăng gốc đã tự nhận rằng nó không nên được xem là sự thật.
Biểu tượng ứng dụng Steam, nền tảng game phổ biến của Valve, một chủ đề chính trong tin đồn rò rỉ dữ liệu gần đây.
Sau khi tin đồn bùng phát, Steam được cho là đã liên hệ với Mellow_Online1. Người dùng này sau đó đã đăng nhiều bản cập nhật và làm rõ, giải thích rằng dữ liệu không phải đến từ một vụ xâm phạm trực tiếp vào hệ thống của Steam mà có thể từ một công ty bên thứ ba, ban đầu được cho là Twilio – một nhà cung cấp dịch vụ xử lý liên lạc, bao gồm cả 2FA dựa trên SMS. Tuy nhiên, Valve sau đó đã bác bỏ điều này, khẳng định họ không sử dụng Twilio, điều này mâu thuẫn trực tiếp với báo cáo ban đầu của Mellow_Online1 và các tuyên bố về nguồn gốc dữ liệu.
Tuyên bố chính thức từ Valve: “Không phải vi phạm hệ thống Steam”
Để làm rõ mọi nghi vấn, Valve đã chính thức đưa ra tuyên bố với How-To Geek, xác nhận rằng vụ rò rỉ không liên kết thông tin tài khoản Steam với số điện thoại.
Valve khẳng định: “Chúng tôi đã xem xét mẫu rò rỉ và xác định đây KHÔNG phải là một vụ vi phạm hệ thống của Steam. Chúng tôi vẫn đang tìm hiểu sâu về nguồn gốc của vụ rò rỉ, điều này trở nên phức tạp hơn bởi thực tế là bất kỳ tin nhắn SMS nào cũng không được mã hóa trong quá trình truyền tải và được định tuyến qua nhiều nhà cung cấp trước khi đến điện thoại của bạn.”
Theo Valve, dữ liệu bị rò rỉ chỉ bao gồm các tin nhắn SMS cũ chứa mã một lần (one-time codes) chỉ có hiệu lực trong 15 phút và các số điện thoại mà chúng được gửi đến. Dữ liệu này không liên kết số điện thoại với tài khoản Steam, thông tin mật khẩu, thông tin thanh toán hoặc bất kỳ dữ liệu cá nhân nào khác. Các tin nhắn cũ không thể được sử dụng để xâm phạm bảo mật tài khoản Steam của bạn. Ngoài ra, Valve khuyến nghị người dùng Steam nên thiết lập Steam Mobile Authenticator (Xác thực di động Steam) nếu chưa làm, vì đây là cách tốt nhất để gửi tin nhắn bảo mật về tài khoản và sự an toàn của tài khoản đó. Từ góc độ Steam, khách hàng không cần phải thay đổi mật khẩu hoặc số điện thoại của họ do sự kiện này.
Bài học về bảo mật: Luôn bật Xác thực hai yếu tố (2FA)
Mặc dù tin đồn này có vẻ là sai lệch, nhưng nó một lần nữa nhấn mạnh tầm quan trọng của việc luôn bật xác thực hai yếu tố (2FA) cho tài khoản Steam của bạn. Ngay cả khi tin tặc có được mật khẩu của bạn, chúng cũng không thể đăng nhập mà không có mã xác thực được gửi đến thiết bị của bạn. Điều này giúp bạn an tâm hơn nếu những sự cố như vậy thực sự xảy ra. Hãy đảm bảo bạn đã kích hoạt Steam Mobile Authenticator để bảo vệ tài khoản game của mình một cách tối ưu nhất.
Tài liệu tham khảo:
- Neco-Tan/BlueSky: https://bsky.app/profile/tannerofthenorth.bsky.social/post/3lp572utm5c2c
- Christopher Kunz/LinkedIn: https://www.linkedin.com/feed/update/urn:li:activity:7328439059234643968/
