Trong thế giới game, Valve luôn là một cái tên thân thuộc. Tuy nhiên, một vụ rò rỉ dữ liệu gần đây đã khiến cộng đồng Steam xôn xao, khi khoảng 89 triệu bản ghi liên quan đến người dùng và mã xác thực hai yếu tố (2FA) của Steam bị rao bán. Dù ban đầu nhiều người nhanh chóng bác bỏ mức độ nghiêm trọng của vụ việc, và Valve cũng đã mất gần 24 giờ để đưa ra tuyên bố chính thức xác nhận họ không phải là nạn nhân trực tiếp của cuộc tấn công, đây vẫn không phải là một “chuyện nhỏ” như một số người lầm tưởng.
Thông tin ban đầu cho thấy Twilio là “nhà cung cấp” liên quan, nhưng Twilio đã phủ nhận việc bị xâm phạm. Valve cũng khẳng định không sử dụng dịch vụ của Twilio. Sau khi xem xét bản dữ liệu mẫu, chúng tôi nhận thấy rằng vụ rò rỉ dữ liệu Steam này có những khía cạnh đáng lo ngại hơn nhiều so với vẻ ngoài của nó. Mặc dù thông tin có vẻ vô hại trên bề mặt, đặc biệt khi Valve đã xác nhận rằng hệ thống của họ không bị xâm phạm, việc bỏ qua hoàn toàn rủi ro là một hành động thiếu thận trọng. Đã có đủ bằng chứng cho thấy đây là một sự cố có thật, không phải một trò lừa bịp tinh vi, và nguy cơ tiềm ẩn từ vụ lộ thông tin Steam này vẫn còn đó.
Một trong những lý do khiến thông tin bị rò rỉ này trở nên đáng tin cậy ngay từ đầu là sự xuất hiện của các ngôn ngữ đa dạng trong dữ liệu, từ tiếng Anh, tiếng Bồ Đào Nha, tiếng Đức, tiếng Nga và nhiều ngôn ngữ khác. Kẻ bán dữ liệu, với tên Machine1337, đã tiếp tục công bố hai bộ dữ liệu mẫu khác liên quan đến Apple và Snapchat. Hơn nữa, Machine1337 có thể có liên hệ với EnergyWeaponUser, một cái tên gắn liền với nhiều vụ xâm nhập lớn như Cisco và Ford. Điều này cho thấy tính nghiêm trọng và tiềm năng rủi ro thực sự từ những thông tin bị đánh cắp này.
Cho đến nay, vẫn còn một số lý do để chúng ta lo ngại, ngay cả khi mối đe dọa không có vẻ nghiêm trọng ngay lập tức.
Nguy cơ lớn nhất: Lừa đảo có mục tiêu (Spear Phishing)
Người dùng trở thành mồi nhử tiềm năng
Chúng ta hãy cùng xem xét dữ liệu bị rò rỉ chứa những gì. Thực tế, thông tin khá “nhàm chán”, chủ yếu là siêu dữ liệu liên quan đến chi phí mỗi tin nhắn văn bản, nhà mạng được sử dụng để gửi tin nhắn và quốc gia của người dùng. Các mã 2FA của Steam rõ ràng đã quá hạn sử dụng từ lâu, mặc dù bộ dữ liệu cũng chứa mã liên quan đến việc thay đổi thông tin đăng nhập tài khoản. Tuy nhiên, khi nói đến số điện thoại, chỉ có 1.825 số điện thoại duy nhất trong số 3.000 số được cung cấp trong bộ dữ liệu mẫu. Nếu tỷ lệ trùng lặp này giữ nguyên trên toàn bộ kho dữ liệu, có thể ước tính khoảng 54 triệu số điện thoại duy nhất đã bị lộ. Đây vẫn là một con số rất lớn, dù chỉ bằng gần một nửa so với con số ban đầu được công bố.
Các vụ rò rỉ dữ liệu này xuất hiện trên các diễn đàn hacker. Nhiều diễn đàn “ngầm” này hoạt động rất nghiêm ngặt khi giao dịch dữ liệu bị tấn công. Machine1337 chắc chắn đã bị cấm nếu những vụ rò rỉ khác là giả mạo và họ đã lừa đảo người dùng khác. Với việc chúng ta đã biết dữ liệu là có thật, vấn đề không phải là 54 triệu người dùng bị lộ mã xác thực đã cũ hàng tháng, mà là 54 triệu người dùng vừa trở thành mục tiêu tiềm năng của các cuộc tấn công lừa đảo.
Chúng ta đều biết lừa đảo (phishing) là gì, và thường khá dễ dàng để phát hiện một vụ lừa đảo vì nhiều trong số chúng nhắm vào một lượng lớn người dùng và được gửi đi mà ít quan tâm đến mức độ liên quan của chúng với người nhận. Tuy nhiên, bộ dữ liệu này lại cho phép các cuộc tấn công có mục tiêu (được gọi là spear phishing). Ví dụ, năm 2022 có hơn 6.000 người nói tiếng Nga ở Bồ Đào Nha. Mặc dù con số này gần như chắc chắn đã tăng lên kể từ đó, nhưng hầu hết những kẻ cố gắng thực hiện càng nhiều vụ lừa đảo càng tốt đối với người dùng Bồ Đào Nha sẽ không làm điều đó bằng tiếng Nga. Một người dùng Steam nhận mã 2FA của họ bằng tiếng Nga đã cung cấp thêm thông tin về cách điều chỉnh tin nhắn cho một người dùng cụ thể, nhưng mọi thứ còn tệ hơn.
Mô phỏng tấn công lừa đảo (phishing) có mục tiêu bằng tin nhắn email hoặc SMS
Image Credit: LayerX Labs
Trong nhiều năm qua, đã có rất nhiều vụ xâm phạm các dịch vụ khác nhau, và những vụ rò rỉ đó có thể bao gồm tên, số điện thoại, địa chỉ email và nhiều thông tin khác. Chúng tôi đã kiểm tra một số số điện thoại trên HaveIBeenPwned và phát hiện ra rằng nhiều trong số chúng đã bị rò rỉ trong bộ dữ liệu Facebook năm 2021, chứa khoảng 20% tổng số người dùng của Facebook, bao gồm nhiều chi tiết cá nhân và đủ để nhận dạng một người dùng. Bây giờ, hãy kết hợp điều đó với người dùng nói tiếng Nga mà chúng ta đã xác định. Nếu một số điện thoại khớp với một bộ dữ liệu khác, chẳng hạn như của Facebook, thì kẻ tấn công có thể tạo ra một cuộc tấn công lừa đảo nhắm vào người dùng có chứa tên của họ, viết bằng ngôn ngữ của họ, đề cập đến một sự khẩn cấp liên quan đến tài khoản Steam của họ. Lúc này, kẻ tấn công đã thu hút được sự chú ý của người dùng, theo cách mà một cuộc tấn công lừa đảo thông thường sẽ không làm được.
Đây không phải là một kịch bản giả định; các cuộc tấn công lừa đảo có mục tiêu là có thật, và mặc dù một vụ rò rỉ dữ liệu riêng lẻ có vẻ không gây ảnh hưởng lớn, việc kết hợp nhiều nguồn dữ liệu giúp ai đó tạo ra một cuộc tấn công phù hợp với bạn. Thực tế, có những “combolists” kết hợp nhiều bộ dữ liệu lại với nhau, với những ví dụ nổi tiếng mà bạn có thể đã nghe nói đến dưới dạng các danh sách tên người dùng và mật khẩu khổng lồ Collection #1 đến Collection #5. Tài khoản Steam có thể bán được khá nhiều tiền, và các skin vũ khí trong Counter-Strike có thể trị giá hàng trăm và thậm chí hàng nghìn đô la. Chắc chắn có động cơ lừa đảo khi nói đến người dùng Steam, và khi kết hợp với các bộ dữ liệu khác, nó có thể trở nên khá nguy hiểm cho người dùng có dữ liệu bị rò rỉ. Mặc dù bạn và tôi đều biết phải cẩn thận với những tin nhắn văn bản ngẫu nhiên, nhưng không phải ai cũng cảnh giác như vậy, và vụ rò rỉ này chỉ cung cấp cho những kẻ tấn công tiềm năng một cách để điều chỉnh tin nhắn của chúng một cách độc đáo cho nạn nhân nhằm cố gắng đánh cắp có thể hàng nghìn đô la.
Di chuyển ngang là mối đe dọa thực sự
Làm sao biết các hệ thống khác không bị xâm phạm?
Mặt khác của vấn đề, và là điều đặc biệt đáng lo ngại, là khả năng di chuyển ngang (lateral movement). Về cơ bản, đây là một quá trình trong đó kẻ tấn công di chuyển sâu hơn vào mạng, giành quyền truy cập vào nhiều hệ thống hơn khi chúng tiến vào. Nếu chính Valve bị xâm phạm, ai có thể nói rằng bộ dữ liệu này là kết quả cuối cùng? Mặc dù các công ty nên áp dụng bảo mật nội bộ nghiêm ngặt như bảo mật bên ngoài, nhưng điều đó không phải lúc nào cũng xảy ra. Nếu một công ty không áp dụng các nguyên tắc không tin cậy (zero-trust), bất kỳ ai kết nối với mạng nội bộ có thể đi qua phần còn lại của mạng như một kết nối đáng tin cậy, tự do cố gắng truy cập các hệ thống nội bộ khác một khi đã đặt chân vào.
Thiết bị chơi game cầm tay Steam Deck OLED, biểu tượng của hệ sinh thái Steam
Rõ ràng, chúng ta hiện biết rằng điều này đã không xảy ra theo tuyên bố ngày 14 tháng 5 của Valve, và thành thật mà nói, khả năng này không cao ngay từ đầu. Các vụ rò rỉ khác của Machine1337 dường như đã dừng lại ở nơi chúng bắt đầu, như trường hợp của Turkish Airlines. Không có thêm thông tin gì về việc đó, nhưng với những mối liên hệ tiềm năng với EnergyWeaponUser, việc lo lắng là không sai. Điều có vẻ rất có thể đã xảy ra là họ đã giành quyền truy cập vào một bên trung gian xử lý tin nhắn văn bản cho Valve. Valve đã nói rằng họ không sử dụng Twilio, và Twilio đã phủ nhận việc bị xâm phạm. Có thể một bên trung gian ký hợp đồng với Twilio ở Bồ Đào Nha (và có lẽ các khu vực khác) để gửi các tin nhắn liên quan đến Steam.
Mặc dù vậy, chúng ta không có đủ thông tin để loại trừ bất cứ điều gì, và việc bác bỏ ngay lập tức khả năng Valve bị xâm phạm, khi không có thông tin chính thức, là điều hết sức khó chịu. Valve đã mất khá nhiều thời gian để phủ nhận điều đó, và về lý thuyết, có thể công ty đã bị xâm phạm. Rõ ràng, chúng ta biết bây giờ rằng điều này không phải là trường hợp, nhưng nó không bao giờ nằm ngoài khả năng. Mặc dù chúng ta có thể giả định rằng Valve gần như chắc chắn lưu trữ thông tin đăng nhập với các phương pháp hay nhất, một công ty gặp phải một vụ xâm phạm, mà có thể là Valve trong trường hợp này, đã mắc lỗi ở đâu đó. Ai biết một công ty bị rò rỉ dữ liệu đã mắc lỗi ở những nơi nào khác?
Ngoài ra, đây là lý do tại sao việc thay đổi mật khẩu luôn là một biện pháp được khuyến nghị khi nói về bất kỳ vụ xâm phạm dịch vụ nào. Việc khuyến khích người dùng thay đổi mật khẩu không phải là “gieo rắc nỗi sợ hãi” khi không có thông tin, đặc biệt là khi việc xoay vòng mật khẩu định kỳ có thể được coi là một phần của các phương pháp hay nhất. Việc bắt buộc xoay vòng mật khẩu là không tốt vì nó khiến người dùng thực hiện các hành vi kém an toàn hơn, như lặp lại trên mật khẩu hiện có, ghi chúng ra giấy hoặc lưu chúng ở những vị trí không an toàn. Nhưng bất kỳ ai nghiêm túc về bảo mật sẽ có trình quản lý mật khẩu và liên tục sử dụng mật khẩu mạnh mẽ, điều này sẽ loại bỏ mặt tiêu cực của việc xoay vòng mật khẩu.
Đúng, kịch bản Valve tự mình bị xâm phạm hiện là giả định, vì Valve nói rằng dữ liệu SMS bị rò rỉ không liên quan trực tiếp đến tài khoản Steam, và Twilio phủ nhận bất kỳ sự xâm phạm nào. Tôi nhận thức được điều đó, nhưng mọi vụ xâm phạm bảo mật đều là giả định cho đến khi nó xảy ra. Các vụ xâm phạm chỉ được ngăn chặn bằng cách lập kế hoạch cho những điều giả định, và cách duy nhất để ngăn chặn một vụ xâm phạm bảo mật là chủ động thay vì phản ứng; nếu bạn phản ứng, bạn đã quá muộn. Hướng dẫn hiện đại (NIST SP-800-63B và UK NCSC) rõ ràng: khi có khả năng thông tin đăng nhập của bạn bị lộ, bạn hãy thay đổi chúng. Điều này đôi khi được tích hợp như một phần của chiến lược phản ứng tự động được gọi là đặt lại theo sự kiện (event-driven reset), không chỉ là chính sách xoay vòng mật khẩu thông thường. Với giá trị tiền mặt thực tế của một số kho đồ Steam và sự phổ biến của việc nhồi thông tin đăng nhập (credential-stuffing), việc đặt lại một lần cộng với việc bật Trình xác thực di động Steam (Steam Mobile Authenticator) là một phản ứng chi phí thấp, lợi ích cao. Gọi đó là “gieo rắc nỗi sợ hãi” là hiểu sai cả các tiêu chuẩn và những rủi ro.
Nếu bạn nghĩ rằng ngân hàng của bạn “có thể” đã bị một vụ xâm phạm bảo mật có khả năng cho phép kẻ tấn công truy cập vào tài khoản của bạn, và bạn không có thông tin nào để xác nhận điều đó, ngoài việc một số dữ liệu đã bị rò rỉ, bạn sẽ thay đổi mật khẩu ngay lập tức.
Luôn coi mọi vụ rò rỉ bảo mật là một rủi ro tiềm ẩn
Ngay cả khi rủi ro có vẻ thấp
Mặc dù có thể dễ dàng bác bỏ một điều gì đó tầm thường như mã xác thực cũ và số điện thoại, nhưng vẫn có những lý do khiến dữ liệu vẫn đáng lo ngại. Không chỉ là cách nó có thể được kết hợp với các bộ dữ liệu khác, mà còn là thực tế rằng một công ty nào đó trong chuỗi đã bị xâm phạm ngay từ đầu. Cho đến khi có thông báo khác, động thái an toàn nhất là luôn giả định rằng có một mức độ rủi ro đối với tài khoản của bạn. Bằng cách đó, bạn có thể thực hiện các bước để tự bảo vệ mình một cách chủ động, thay vì chờ đợi một mối nguy hiểm tiềm tàng chỉ để phản ứng khi đã quá muộn. Trong kịch bản đó, tốt nhất, bạn có thể bị khóa tài khoản Steam của mình trong khi chờ Valve hỗ trợ chuyển quyền sở hữu về cho bạn. Tệ nhất, bạn có thể mất quyền truy cập vào tài khoản của mình mãi mãi.
Kiểm tra độ mạnh mật khẩu hiển thị chuỗi "123456789" – một ví dụ về mật khẩu yếu cần tránh
Để nhắc lại, chúng ta biết bây giờ rằng Valve không bị xâm phạm. Chúng tôi cũng không nghĩ rằng có khả năng đáng kể nào ai đó sẽ phải chịu hậu quả hoặc sẽ mất quyền truy cập vào tài khoản Steam của họ do vụ rò rỉ này. Cá nhân tôi tin rằng có khả năng một dịch vụ trung gian đã bị tấn công, và sẽ không có cách nào để chuyển từ dịch vụ đó sang mạng nội bộ của Valve. Tôi cũng không mong đợi thêm điều gì liên quan đến Valve trong vụ rò rỉ dữ liệu này. Tuy nhiên, lừa đảo có mục tiêu là có thật, và vụ rò rỉ này cho phép điều đó xảy ra. Hơn nữa, ngay cả một cơ hội nhỏ bị tấn công cũng không có nghĩa là mọi người nên ngồi yên và chờ đợi nó xảy ra. Có lý do các công ty khuyến nghị thay đổi mật khẩu khi một dịch vụ bị xâm phạm, ngay cả khi dịch vụ đó nói rằng mật khẩu của họ đã được băm và mã hóa. Các hướng dẫn hiện đại phân biệt giữa việc xoay vòng định kỳ và đặt lại theo sự kiện, và một nghi ngờ hợp lý là quá đủ để chuyển từ xoay vòng định kỳ sang đặt lại theo sự kiện. Khi không có thông tin, thận trọng luôn là động thái tốt hơn.
Tôi không nói rằng bạn phải mất ngủ vì vụ rò rỉ này, nhưng có vẻ như sự kiện này đã làm nổi bật sự thiếu quan tâm rộng rãi hơn đối với việc rò rỉ dữ liệu cá nhân và bảo mật cá nhân. Mặc dù Valve về mặt kỹ thuật đúng khi nói rằng số điện thoại không được liên kết trực tiếp với tài khoản, nhưng nhiều số trong số này có thể được liên kết với tài khoản bằng một số nỗ lực. Tôi cho rằng bất kỳ ai đang sử dụng mật khẩu yếu hơn và biết rằng họ đang có mặt trong các bộ dữ liệu khác nên thay đổi mật khẩu của họ, bởi vì bất kỳ ai mua bộ dữ liệu này đều có ý định sử dụng nó cho các cuộc tấn công lừa đảo và kết hợp nó với các bộ dữ liệu khác. Các bộ dữ liệu có thể được liên kết với nhau để xây dựng một bức tranh chính xác về bạn, điều này giúp việc lừa đảo có mục tiêu dễ dàng hơn, và đây lại là một bộ dữ liệu nữa được thêm vào. Trong trường hợp xấu nhất, một bộ dữ liệu ban đầu bị rò rỉ có thể là dấu hiệu của nhiều điều sẽ xảy ra, mặc dù chúng ta biết rằng điều đó có thể không xảy ra ở đây. Ít nhất, hãy coi đây là cơ hội để sử dụng một trình quản lý mật khẩu và cải thiện mật khẩu và bảo mật tổng thể của bạn. Rốt cuộc, rất nhiều bộ dữ liệu đã được bán và truyền tay nhau chỉ để xuất hiện lần đầu tiên sau nhiều tháng.
Vụ rò rỉ dữ liệu Steam này là một lời nhắc nhở quan trọng về sự cần thiết của việc chủ động bảo mật thông tin cá nhân trong kỷ nguyên số. Ngay cả khi rủi ro trực tiếp không quá lớn, việc bỏ qua các nguy cơ tiềm ẩn có thể dẫn đến hậu quả nghiêm trọng. Hãy hành động ngay hôm nay để bảo vệ tài khoản Steam và các tài khoản trực tuyến khác của bạn.
Bạn có suy nghĩ gì về vụ rò rỉ dữ liệu liên quan đến Steam này? Bạn đã thực hiện những biện pháp bảo mật nào để bảo vệ tài khoản của mình? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới và cùng thảo luận về cách chúng ta có thể giữ an toàn trong thế giới công nghệ ngày nay.