Vừa qua, thông tin về một vụ rò rỉ dữ liệu lớn liên quan đến cộng đồng game thủ Steam đã gây xôn xao, với gần 89 triệu hồ sơ người dùng và mã xác thực hai yếu tố (2FA) được cho là đã bị rao bán. Mặc dù sau đó đã có xác nhận rằng Valve, nhà phát triển Steam, không phải là bên trực tiếp bị xâm phạm, mà là một bên thứ ba cung cấp dịch vụ tin nhắn. Dù nhiều người vội vàng phủ nhận mức độ nghiêm trọng của vụ việc, cho rằng dữ liệu đã cũ và không còn giá trị, nhưng việc xem nhẹ nguy cơ này có thể dẫn đến những hậu quả không lường trước được. Thegioithuthuat.net, với vai trò là một chuyên trang công nghệ uy tín, sẽ phân tích sâu hơn về vụ việc này và những rủi ro bảo mật tiềm ẩn mà người dùng Steam cần nhận thức rõ.
Ban đầu, thông tin về vụ việc này từng bị nghi ngờ là một trò lừa đảo tinh vi. Tuy nhiên, bằng chứng cho thấy dữ liệu đã được bán, và người bán, với tên Machine1337, đã công bố thêm hai bộ dữ liệu mẫu khác được cho là liên quan đến Apple và Snapchat. Hơn nữa, Machine1337 có thể có mối liên hệ với EnergyWeaponUser, một cái tên gắn liền với nhiều vụ xâm nhập cấp cao như Cisco và Ford. Điều này cho thấy tính xác thực của các vụ rò rỉ này không thể bị xem nhẹ. Dù dữ liệu ban đầu có vẻ vô hại, đặc biệt là các mã 2FA đã hết hạn sử dụng, nhưng việc bỏ qua hoàn toàn nguy cơ tiềm ẩn là một sai lầm.
Ngay cả khi nguy hiểm không có vẻ trực tiếp, vẫn có nhiều lý do khiến chúng ta phải lo ngại về vụ rò rỉ dữ liệu này.
Nguy Cơ Lừa Đảo Mục Tiêu (Spear Phishing): Mối Đe Dọa Lớn Nhất
Người Dùng Biến Thành “Mồi Nhử”
Trước hết, hãy cùng điểm qua những gì dữ liệu rò rỉ chứa đựng. Thực tế, thông tin khá “nhạt nhẽo” đối với người dùng thông thường, chủ yếu là siêu dữ liệu liên quan đến chi phí mỗi tin nhắn, nhà mạng được sử dụng để gửi tin nhắn và quốc gia của người dùng. Các mã 2FA của Steam rõ ràng đã quá hạn sử dụng, nhưng bộ dữ liệu cũng chứa các mã liên quan đến việc thay đổi thông tin đăng nhập tài khoản. Sự đa dạng về ngôn ngữ trong các tin nhắn (tiếng Anh, Bồ Đào Nha, Đức, Nga, v.v.) cũng củng cố tính xác thực của bộ dữ liệu trước khi nó được xác nhận. Tuy nhiên, về số điện thoại, chỉ có 1.825 số điện thoại duy nhất trong số 3.000 mẫu được cung cấp. Nếu tỷ lệ trùng lặp này duy trì trên toàn bộ dữ liệu, có thể có khoảng 54 triệu số điện thoại duy nhất. Con số này vẫn rất lớn, dù ít hơn gần một nửa so với con số ban đầu được đưa ra.
Biểu đồ minh họa cuộc tấn công lừa đảo mục tiêu trên macOS, cho thấy cách hacker sử dụng dữ liệu rò rỉ để tạo tin nhắn lừa đảo cá nhân hóa và chiếm đoạt tài khoản.
Tính xác thực của vụ rò rỉ này luôn được củng cố bởi nhiều yếu tố, từ dữ liệu đa dạng đến nhiều ngôn ngữ, và cả các diễn đàn nơi chúng được đăng tải. Nhiều diễn đàn “ngầm” này quản lý rất chặt chẽ việc mua bán dữ liệu bị tấn công, và Machine1337 chắc chắn sẽ bị cấm nếu các vụ rò rỉ khác là giả mạo hoặc lừa đảo người dùng. Với việc dữ liệu này hiện đã được xác nhận là có thật, điều đó có nghĩa là không phải 54 triệu người dùng có mã xác thực cũ bị rò rỉ, mà là 54 triệu người dùng vừa trở thành mục tiêu tiềm năng của các cuộc tấn công lừa đảo (phishing).
Tất cả chúng ta đều đã quen thuộc với lừa đảo trực tuyến, và việc nhận diện một vụ lừa đảo thường khá dễ dàng bởi chúng thường nhắm vào một lượng lớn người dùng và được gửi đi mà ít quan tâm đến tính liên quan với người nhận. Tuy nhiên, bộ dữ liệu này lại cho phép thực hiện các cuộc tấn công nhắm mục tiêu (hay còn gọi là spear phishing). Ví dụ, có hơn 6.000 người nói tiếng Nga ở Bồ Đào Nha vào năm 2022. Mặc dù con số này chắc chắn đã tăng lên kể từ đó, nhưng hầu hết những kẻ cố gắng thực hiện càng nhiều vụ lừa đảo càng tốt nhắm vào người dùng Bồ Đào Nha sẽ không làm điều đó bằng tiếng Nga. Một người dùng Steam nhận được mã 2FA của Steam bằng tiếng Nga đã cung cấp thêm thông tin về cách điều chỉnh một tin nhắn để phù hợp với một người dùng cụ thể, và tình hình còn tệ hơn nữa.
Trong nhiều năm qua, đã có rất nhiều vụ rò rỉ dữ liệu từ nhiều dịch vụ khác nhau, và những vụ rò rỉ đó có thể bao gồm tên, số điện thoại, địa chỉ email, v.v. Việc kiểm tra một số số điện thoại bị rò rỉ trên HaveIBeenPwned cho thấy nhiều số trong số đó đã bị rò rỉ trong bộ dữ liệu Facebook năm 2021, chứa khoảng 20% tất cả người dùng Facebook, bao gồm nhiều chi tiết cá nhân – đủ để xác định một người dùng. Bây giờ, hãy kết hợp điều đó với người dùng Nga mà chúng ta đã xác định. Nếu một số điện thoại khớp trong một bộ dữ liệu khác, chẳng hạn như của Facebook, thì kẻ tấn công có thể tạo ra một nỗ lực lừa đảo nhắm vào người dùng, chứa tên của họ, được viết bằng ngôn ngữ của họ, và đề cập đến một vấn đề khẩn cấp liên quan đến tài khoản Steam của họ. Lúc này, bạn đã thu hút được sự chú ý của người dùng, theo cách mà một nỗ lực lừa đảo thông thường sẽ không làm được.
Đây không phải là một kịch bản giả định; các cuộc tấn công lừa đảo mục tiêu là có thật, và mặc dù một vụ rò rỉ dữ liệu riêng lẻ có thể không gây ảnh hưởng lớn, việc kết hợp nhiều nguồn dữ liệu giúp kẻ tấn công tạo ra một cuộc tấn công được tùy chỉnh cho bạn. Trên thực tế, có những “combolists” kết hợp nhiều bộ dữ liệu lại với nhau, với những ví dụ nổi tiếng mà bạn có thể đã nghe nói đến dưới dạng các “combolists” tên người dùng và mật khẩu khổng lồ Collection #1 đến Collection #5. Tài khoản Steam có thể bán được giá khá cao, và skin vũ khí trong các tựa game như Counter-Strike có thể có giá trị hàng trăm, thậm chí hàng nghìn đô la. Chắc chắn có động cơ lừa đảo khi nói đến người dùng Steam, và khi kết hợp với các bộ dữ liệu khác, nó có thể trở nên khá nguy hiểm cho người dùng có dữ liệu bị rò rỉ. Trong khi bạn và tôi đều biết phải cẩn thận với các tin nhắn văn bản ngẫu nhiên, không phải ai cũng cảnh giác như vậy, và điều này vừa cung cấp cho những kẻ tấn công tiềm năng một cách để tùy chỉnh tin nhắn của họ một cách độc đáo cho nạn nhân, nhằm cố gắng đánh cắp hàng nghìn đô la.
Di Chuyển Ngang (Lateral Movement): Mối Đe Dọa Tiềm Ẩn
Làm Sao Biết Thêm Hệ Thống Không Bị Xâm Nhập?
Một khía cạnh khác, và cũng là điều gây lo ngại đặc biệt, là tiềm năng của việc di chuyển ngang (lateral movement). Về cơ bản, đây là một quá trình mà kẻ tấn công di chuyển sâu hơn vào mạng, giành quyền truy cập vào nhiều hệ thống hơn khi chúng tiến sâu. Nếu Valve thực sự bị tấn công, ai có thể chắc chắn rằng bộ dữ liệu này là kết thúc? Mặc dù các công ty nên áp dụng bảo mật nội bộ nghiêm ngặt như bảo mật bên ngoài, nhưng điều đó không phải lúc nào cũng xảy ra. Nếu một công ty không áp dụng các nguyên tắc Zero Trust, bất kỳ ai kết nối với mạng nội bộ có thể di chuyển qua phần còn lại của mạng như một kết nối đáng tin cậy, tự do cố gắng truy cập các hệ thống nội bộ khác một khi đã có chỗ đứng.
Hình ảnh cận cảnh Steam Deck OLED, biểu tượng cho nền tảng Steam và cộng đồng game thủ, nhấn mạnh tầm quan trọng của bảo mật tài khoản người dùng.
Để rõ ràng, chúng ta hiện biết rằng điều này đã không xảy ra theo tuyên bố của Valve vào ngày 14 tháng 5, và thành thật mà nói, khả năng này không cao ngay từ đầu. Các vụ rò rỉ khác của Machine1337 dường như đã dừng lại ở nơi chúng bắt đầu, chẳng hạn như trong trường hợp của Turkish Airlines. Không có thêm thông tin nào về điều đó, nhưng với mối liên hệ tiềm tàng với EnergyWeaponUser, việc lo lắng là điều không hề vô lý. Điều có vẻ hợp lý nhất đã xảy ra là họ đã có quyền truy cập vào một bên trung gian xử lý tin nhắn văn bản cho Valve. Valve đã nói rằng họ không sử dụng Twilio, và Twilio đã phủ nhận một vụ xâm phạm. Có thể là một bên trung gian đã ký hợp đồng với Twilio ở Bồ Đào Nha (và có lẽ các khu vực khác) để gửi các tin nhắn liên quan đến Steam.
Với những điều đã nói, chúng ta không có đủ thông tin để loại trừ bất cứ điều gì, và việc bỏ qua ngay lập tức một vụ xâm phạm tiềm tàng của Valve, trong khi thiếu thông tin chính thức, là điều gây khó chịu. Valve đã mất khá nhiều thời gian để phủ nhận, và về lý thuyết, có thể công ty đã bị tấn công. Rõ ràng, chúng ta hiện tại đã biết rằng điều này không phải vậy, nhưng điều đó không bao giờ nằm ngoài khả năng. Mặc dù chúng ta có thể giả định rằng Valve gần như chắc chắn lưu trữ chi tiết đăng nhập với các biện pháp tốt nhất, một công ty trải qua một vụ xâm phạm, mà có thể là Valve trong trường hợp này, đã mắc lỗi ở đâu đó. Ai biết được một công ty bị rò rỉ dữ liệu đã mắc sai lầm ở những đâu nữa?
Như một lẽ thường, đây là lý do tại sao thay đổi mật khẩu luôn là một khuyến nghị khi nói về bất kỳ vụ xâm phạm dịch vụ nào. Khuyến khích người dùng thay đổi mật khẩu không phải là “gieo rắc nỗi sợ hãi” khi thiếu thông tin, đặc biệt là khi việc xoay vòng mật khẩu đều đặn có thể được coi là một phần của các biện pháp bảo mật tốt nhất. Việc buộc người dùng xoay vòng mật khẩu là không tốt vì nó khiến họ thực hiện các biện pháp kém an toàn hơn, như lặp lại các mật khẩu hiện có, viết chúng ra hoặc lưu chúng ở những vị trí không an toàn. Nhưng bất kỳ ai nghiêm túc về bảo mật sẽ sử dụng trình quản lý mật khẩu và luôn sử dụng mật khẩu mạnh mẽ, điều này loại bỏ mặt tiêu cực của việc xoay vòng mật khẩu.
Đúng, kịch bản Valve bị tấn công trực tiếp hiện chỉ là giả thuyết, vì Valve nói rằng dữ liệu SMS bị rò rỉ không liên quan trực tiếp đến tài khoản Steam, và Twilio phủ nhận mọi sự thỏa hiệp. Tôi nhận thức được điều đó, nhưng mọi vụ xâm phạm bảo mật đều là giả thuyết cho đến khi nó xảy ra. Các vụ rò rỉ chỉ được ngăn chặn bằng cách lập kế hoạch cho những điều giả thuyết, và cách duy nhất để ngăn chặn một vụ xâm phạm bảo mật là chủ động thay vì phản ứng; nếu bạn phản ứng, bạn đã quá muộn. Hướng dẫn hiện đại (NIST SP-800-63B và UK NCSC) rất rõ ràng: khi có khả năng đáng tin cậy rằng thông tin đăng nhập của bạn đã bị lộ, bạn phải thay đổi chúng. Điều này đôi khi được kết hợp như một phần của chiến lược phản ứng tự động được gọi là đặt lại theo sự kiện, không chỉ là chính sách xoay vòng mật khẩu thông thường. Với giá trị tiền mặt thực tế của một số kho đồ Steam và sự phổ biến của việc nhồi nhét thông tin đăng nhập (credential-stuffing), việc đặt lại một lần và bật Steam Mobile Authenticator là một phản ứng chi phí thấp, lợi ích cao. Gọi đó là “gieo rắc nỗi sợ hãi” là hiểu sai cả các tiêu chuẩn và mức độ rủi ro.
Nếu bạn nghĩ rằng ngân hàng của mình “có thể” đã bị xâm phạm bảo mật có khả năng cho phép kẻ tấn công truy cập tài khoản của bạn, và bạn không có thông tin để xác nhận theo cách nào khác, ngoài việc một số dữ liệu đã bị rò rỉ, bạn sẽ thay đổi mật khẩu ngay lập tức.
Coi Mọi Rò Rỉ Bảo Mật Là Một Rủi Ro Tiềm Tàng
Ngay Cả Khi Có Vẻ Không Phải Là Vấn Đề Lớn
Mặc dù có thể rất hấp dẫn khi coi những thứ tầm thường như mã xác thực cũ và số điện thoại là không đáng kể, vẫn có những lý do khiến dữ liệu này vẫn đáng lo ngại. Không chỉ là cách nó có thể được kết hợp với các bộ dữ liệu khác, mà còn là thực tế rằng một công ty nào đó trong chuỗi cung ứng đã bị xâm phạm ngay từ đầu. Cho đến khi có thông báo khác, động thái an toàn nhất là luôn luôn giả định rằng có một mức độ rủi ro đối với tài khoản của bạn. Bằng cách đó, bạn có thể thực hiện các bước để tự bảo vệ mình một cách chủ động, thay vì chờ đợi một nguy hiểm tiềm tàng để rồi chỉ phản ứng khi đã quá muộn. Trong kịch bản đó, tốt nhất là bạn có thể bị khóa tài khoản Steam trong khi chờ hỗ trợ của Valve chuyển quyền sở hữu về cho bạn. Tệ nhất, bạn có thể mất quyền truy cập vào tài khoản của mình vĩnh viễn.
Ảnh minh họa một mật khẩu yếu '123456789', cảnh báo về nguy cơ bảo mật khi sử dụng mật khẩu dễ đoán và tầm quan trọng của việc thiết lập mật khẩu mạnh, phức tạp để bảo vệ tài khoản.
Xin nhắc lại một lần nữa, chúng ta hiện biết rằng Valve không bị xâm phạm. Tôi cũng không nghĩ rằng có khả năng đáng kể bất kỳ ai sẽ phải chịu hậu quả hoặc mất quyền truy cập vào tài khoản Steam của họ do vụ rò rỉ này. Cá nhân tôi tin rằng rất có thể một dịch vụ trung gian đã bị hack, và sẽ không có cách nào để chuyển từ dịch vụ đó sang mạng nội bộ của Valve. Tôi cũng không mong đợi thêm thông tin nào liên quan đến Valve trong vụ rò rỉ dữ liệu này. Tuy nhiên, lừa đảo mục tiêu là có thật, và vụ rò rỉ này hoàn toàn cho phép điều đó xảy ra. Hơn nữa, ngay cả một cơ hội nhỏ bị hack cũng không có nghĩa là mọi người nên ngồi yên chờ đợi nó xảy ra. Có lý do tại sao các công ty khuyến nghị thay đổi mật khẩu khi một dịch vụ bị xâm phạm, ngay cả khi dịch vụ đó nói rằng mật khẩu của họ đã được băm và thêm “muối” (hashed and salted). Các hướng dẫn hiện đại phân biệt giữa việc xoay vòng mật khẩu định kỳ và đặt lại theo sự kiện, và một nghi ngờ hợp lý là quá đủ để chuyển từ xoay vòng định kỳ sang đặt lại theo sự kiện. Khi thiếu thông tin, thận trọng luôn là lựa chọn tốt hơn.
Tôi không nói rằng bạn phải mất ngủ vì vụ rò rỉ này, nhưng có vẻ như sự kiện này đã làm nổi bật sự thiếu quan tâm rộng rãi hơn đối với việc rò rỉ dữ liệu cá nhân và bảo mật cá nhân. Mặc dù Valve về mặt kỹ thuật là đúng khi nói rằng số điện thoại không được liên kết trực tiếp với tài khoản, nhiều số này có thể được liên kết với tài khoản bằng một số nỗ lực. Tôi cho rằng bất kỳ ai sử dụng mật khẩu yếu hơn và biết rằng họ nằm trong các bộ dữ liệu khác nên thay đổi mật khẩu của mình, bởi vì bất kỳ ai mua bộ dữ liệu này đều có ý định sử dụng nó cho các nỗ lực lừa đảo và kết hợp nó với các bộ dữ liệu khác. Các bộ dữ liệu có thể được liên kết với nhau để xây dựng một bức tranh chính xác về con người bạn, điều này giúp việc lừa đảo mục tiêu dễ dàng hơn, và đây là một bộ dữ liệu nữa được thêm vào chồng. Trong trường hợp xấu nhất, một bộ dữ liệu ban đầu bị rò rỉ có thể là dấu hiệu cho nhiều điều sắp tới, mặc dù chúng ta biết rằng điều đó có thể không xảy ra ở đây. Ít nhất, hãy coi đây là cơ hội để bạn sử dụng trình quản lý mật khẩu và cải thiện mật khẩu cũng như bảo mật tổng thể của mình. Rốt cuộc, rất nhiều bộ dữ liệu đã được bán và truyền tay nhau chỉ để rồi xuất hiện lần đầu tiên sau nhiều tháng.
