Steam Lên Tiếng Về Vụ Rò Rỉ Dữ Liệu Được Cho Là Ảnh Hưởng Đến 89 Triệu Tài Khoản
Sau những báo cáo đáng lo ngại về việc 89 triệu tài khoản Steam bị xâm phạm và dữ liệu cá nhân được rao bán trên dark web, Steam đã đưa ra thông báo nhằm trấn an người dùng rằng tài khoản của họ hoàn toàn an toàn. Tuy nhiên, Steam xác nhận vụ rò rỉ, nêu rõ rằng nó chỉ chứa “mã một lần chỉ có giá trị trong khung thời gian 15 phút và số điện thoại mà chúng được gửi đến.” Hệ thống của Steam không bị xâm phạm.
Steam đang điều tra nguồn gốc của vụ rò rỉ và nghi ngờ nó bắt nguồn từ một nhà cung cấp dịch vụ di động. Steam cho biết: “Tin nhắn SMS không được mã hóa trong quá trình truyền tải và được định tuyến qua nhiều nhà cung cấp trên đường đến điện thoại của bạn.” Steam khẳng định hệ thống của họ không bị tấn công, và bạn không cần lo lắng về việc thay đổi mật khẩu hoặc số điện thoại của mình.
Nền giao diện Steam với logo và cửa hàng
Công ty an ninh mạng Underdark đã đăng tải trên Linkedin.com về vụ rò rỉ dữ liệu, thậm chí chia sẻ một ảnh chụp màn hình cho thấy ai đó đang cố gắng bán dữ liệu này trên dark web. Underdark.ai nhận định: “Ý nghĩa ở đây rất nghiêm trọng — Steam không chỉ là một nền tảng game; đó là một kho báu dữ liệu cá nhân và tài chính liên kết với người dùng trên toàn thế giới. Nếu vụ vi phạm này được xác minh, nó có thể dẫn đến lừa đảo (phishing), chiếm đoạt tài khoản và các cuộc tấn công có mục tiêu trên cộng đồng game thủ.”
Sau đó, Underdark đã cập nhật bài đăng, nói rằng “Dữ liệu bao gồm nội dung tin nhắn, trạng thái gửi, metadata và chi phí định tuyến — cho thấy quyền truy cập backend vào bảng điều khiển nhà cung cấp hoặc API, không phải Steam trực tiếp.”
Có vẻ như Underdark đã thu thập được một mẫu dữ liệu bị rò rỉ. “Sau bài đăng ban đầu của chúng tôi về vụ rò rỉ dữ liệu Steam được tuyên bố (hơn 89 triệu người dùng), bằng chứng mới xác nhận rằng một mẫu bị rò rỉ chứa nhật ký SMS 2FA thời gian thực được định tuyến qua Twilio.” Underdark gọi đây là “một sự thỏa hiệp chuỗi cung ứng, đặt an ninh người dùng vào rủi ro thông qua lừa đảo hoặc chiếm quyền phiên đăng nhập.” Vì vậy, có thể người dùng Steam sẽ nhận được một số tin nhắn rác (spam texts) do số điện thoại đã được xác nhận là có trong vụ rò rỉ, nhưng dường như vụ rò rỉ này chỉ ở mức độ bề mặt và không gây ra mối đe dọa thực sự đối với tài khoản.
Steam logo trên nền xanh dương
Mặc dù chưa thể chắc chắn hậu quả của vụ rò rỉ dữ liệu này sẽ như thế nào (nếu có), Valve (công ty chủ quản Steam) cảnh báo người dùng hãy luôn cảnh giác với bất kỳ tin nhắn bảo mật nào mà bạn không yêu cầu, đồng thời trấn an người dùng rằng tài khoản Steam của họ chưa bị hack.
Valve cho biết qua kênh thông báo chính thức: “Dữ liệu bị rò rỉ không liên kết số điện thoại với tài khoản Steam, thông tin mật khẩu, thông tin thanh toán hoặc dữ liệu cá nhân khác. Các tin nhắn văn bản cũ không thể được sử dụng để phá vỡ bảo mật tài khoản Steam của bạn, và bất cứ khi nào một mã được sử dụng để thay đổi email hoặc mật khẩu Steam của bạn bằng SMS, bạn sẽ nhận được xác nhận qua email và/hoặc tin nhắn bảo mật của Steam.”
Để tăng cường lớp bảo mật cho tài khoản Steam, Valve khuyến nghị thiết lập Steam Mobile Authenticator như một biện pháp an toàn bổ sung.
Kết luận
Tóm lại, trong khi dữ liệu (bao gồm mã xác thực một lần và số điện thoại) liên quan đến một số lượng lớn người dùng Steam đã bị rò rỉ do sự cố với nhà cung cấp dịch vụ bên thứ ba, hệ thống cốt lõi và dữ liệu nhạy cảm trên tài khoản Steam của bạn (mật khẩu, thông tin thanh toán) vẫn an toàn. Nguy cơ chính là tiềm năng nhận tin nhắn lừa đảo (phishing). Luôn cảnh giác với các tin nhắn yêu cầu thông tin cá nhân hoặc mã xác thực mà bạn không chủ động yêu cầu. Việc kích hoạt Steam Mobile Authenticator là cách tốt nhất để bảo vệ tài khoản của bạn khỏi các hình thức tấn công phi SMS. Bạn nghĩ sao về vụ việc này? Hãy để lại bình luận bên dưới nhé!
