Vụ rò rỉ dữ liệu gần đây đã làm chấn động cộng đồng game thủ, khi khoảng 89 triệu bản ghi liên quan đến người dùng Steam và mã xác thực hai yếu tố (2FA) được rao bán công khai. Ban đầu, nhiều người nhanh chóng bác bỏ mức độ nghiêm trọng của vụ việc, thậm chí đặt câu hỏi về tính xác thực của nó. Thông tin rò rỉ đề cập đến Twilio là “Nhà cung cấp”, mặc dù Twilio đã phủ nhận việc bị xâm phạm. Valve cũng mất gần 24 giờ để đưa ra tuyên bố chính thức, ngoài việc xác nhận với MellowOnline1 rằng họ không sử dụng dịch vụ của Twilio. Dù vậy, sau khi xem xét dữ liệu mẫu được công bố ban đầu, các chuyên gia tại congnghehot.net nhận định đây không phải là một “chuyện nhỏ” như nhiều người vẫn nghĩ.
Tất nhiên, ban đầu, mọi chuyện có thể chỉ là một trò lừa bịp tinh vi. Tuy nhiên, dữ liệu đã được rao bán và người bán, với tên Machine1337, sau đó đã công bố thêm hai bộ dữ liệu mẫu khác, một liên quan đến Apple và một đến Snapchat. Hơn nữa, Machine1337 có thể có liên hệ với EnergyWeaponUser, một cái tên được cho là đứng sau nhiều vụ rò rỉ lớn như Cisco và Ford. Mặc dù bằng chứng cho thấy đây là hai cá nhân khác nhau, nhưng tài khoản Machine1337 đã hoạt động ít nhất một năm trên một số diễn đàn hacker. Một số vụ rò rỉ nhỏ hơn, như rò rỉ tin nhắn gửi cho hành khách của Turkish Airlines, cũng được quy cho Machine1337, và vụ việc đó xảy ra vào tháng 4 năm nay.
Trong khi tất cả những điều này có thể chỉ ra một kẻ mạo danh đang tìm cách tạo dựng tên tuổi bằng cách dựa hơi người khác, thì tính xác thực của dữ liệu tại thời điểm đó không phải là vấn đề chính. Vấn đề là: đó không phải, và cho đến nay vẫn không phải, là điều đáng xem nhẹ, ngay cả khi dữ liệu có vẻ vô hại trên bề mặt. Việc tiếp cận tình hình với sự hoài nghi và ngờ vực là điều dễ hiểu (và nên có), nhưng nhiều người đã hoàn toàn bỏ qua nó với giả định rằng dữ liệu chỉ là vô nghĩa hoặc hoàn toàn bịa đặt, mặc dù chưa tự mình xem xét dữ liệu.
Ngay cả bây giờ, vẫn có một vài lý do để lo ngại, ngay cả khi nguy hiểm không cảm thấy đến ngay lập tức.
Tấn Công Lừa Đảo Có Chủ Đích (Spear Phishing) – Nguy Cơ Lớn Nhất
Người Dùng Trở Thành Mục Tiêu Dễ Dàng
Đầu tiên và quan trọng nhất, hãy cùng xem xét dữ liệu bị rò rỉ chứa gì. Thực tế, nó khá “nhàm chán”, chủ yếu chứa siêu dữ liệu liên quan đến chi phí mỗi tin nhắn văn bản, nhà mạng được sử dụng để gửi tin nhắn và quốc gia của người dùng. Ngoài ra, các mã 2FA của Steam rõ ràng đã quá hạn sử dụng, mặc dù bộ dữ liệu cũng chứa các mã liên quan đến việc thay đổi thông tin đăng nhập tài khoản. Phạm vi ngôn ngữ rộng trong các tin nhắn cũng chứng minh tính xác thực của bộ dữ liệu trước khi nó được xác nhận, với các ngôn ngữ như tiếng Anh, tiếng Bồ Đào Nha, tiếng Đức, tiếng Nga và nhiều ngôn ngữ khác. Tuy nhiên, khi nói đến số điện thoại, chỉ có 1.825 số điện thoại độc nhất trong bộ dữ liệu trong tổng số 3.000 số được cung cấp. Nếu (nếu lớn) tỷ lệ trùng lặp trong mẫu giữ nguyên trên toàn bộ kho dữ liệu, bạn sẽ thấy khoảng 54 triệu số điện thoại độc nhất. Đây vẫn là một con số rất lớn, nhưng cũng gần bằng một nửa con số ban đầu được đưa ra.
Ban đầu luôn có một vài lý do để tin vào tính xác thực của vụ rò rỉ, từ dữ liệu đa dạng đến nhiều ngôn ngữ, và cả các diễn đàn nơi những thông tin này được đăng tải. Nhiều diễn đàn “ngầm” này hoạt động rất chặt chẽ khi nói đến việc mua bán dữ liệu bị tấn công, và Machine1337 chắc chắn đã bị cấm nếu những vụ rò rỉ khác là giả mạo và họ đã lừa đảo người dùng khác. Với việc chúng ta hiện biết rằng dữ liệu là có thật, thì không phải 54 triệu người dùng bị rò rỉ mã xác thực cũ hàng tháng, mà là 54 triệu người dùng vừa trở thành mục tiêu lừa đảo.
Tấn công lừa đảo người dùng MacTấn công lừa đảo (phishing) nhắm vào người dùng Mac, minh họa nguy cơ bị lộ thông tin cá nhân.
Chúng ta đều biết lừa đảo (phishing) là gì, và việc phát hiện một vụ lừa đảo có thể khá dễ dàng vì nhiều trong số đó nhắm vào số lượng lớn người dùng và được gửi đi mà ít quan tâm đến sự liên quan của chúng với người nhận tin nhắn. Tuy nhiên, bộ dữ liệu này làm cho các cuộc tấn công có chủ đích (được gọi là spear phishing) trở nên khả thi. Ví dụ, chỉ có hơn 6.000 người nói tiếng Nga ở Bồ Đào Nha vào năm 2022. Mặc dù con số đó gần như chắc chắn đã tăng lên kể từ đó, nhưng hầu hết những kẻ cố gắng thực hiện càng nhiều vụ lừa đảo càng tốt đối với người dùng Bồ Đào Nha sẽ không làm như vậy bằng tiếng Nga. Một người dùng Steam nhận mã 2FA Steam của họ bằng tiếng Nga đã cung cấp thêm thông tin về cách điều chỉnh tin nhắn cho một người dùng cụ thể, nhưng mọi thứ còn tệ hơn.
Đã có nhiều vụ rò rỉ dữ liệu từ nhiều dịch vụ khác nhau trong những năm qua, và những vụ rò rỉ đó có thể bao gồm tên, số điện thoại, địa chỉ email, v.v. Các chuyên gia đã kiểm tra một số số điện thoại trên HaveIBeenPwned và phát hiện ra rằng nhiều trong số đó đã bị rò rỉ trong bộ dữ liệu Facebook năm 2021, chứa khoảng 20% tổng số người dùng của Facebook, bao gồm nhiều chi tiết cá nhân và đủ để xác định một người dùng. Bây giờ, hãy kết hợp điều đó với người dùng Nga mà chúng ta đã xác định. Nếu một số điện thoại khớp với một bộ dữ liệu khác, chẳng hạn như của Facebook, thì một kẻ tấn công có thể tạo ra một cuộc tấn công lừa đảo nhắm vào người dùng có tên của họ, được viết bằng ngôn ngữ của họ, đề cập đến một sự khẩn cấp liên quan đến tài khoản Steam của họ. Giờ đây, bạn đã thu hút được sự chú ý của người dùng, và theo cách mà một cuộc tấn công lừa đảo thông thường sẽ không làm được.
Đây không phải là một kịch bản giả định; các cuộc tấn công lừa đảo có chủ đích là có thật, và mặc dù một vụ rò rỉ dữ liệu riêng lẻ có thể không gây tác động lớn, việc kết hợp nhiều nguồn dữ liệu giúp kẻ xấu tạo ra một cuộc tấn công được thiết kế riêng cho bạn. Thực tế, có những “combolist” kết hợp nhiều bộ dữ liệu lại với nhau, với những ví dụ nổi tiếng mà bạn có thể đã nghe nói đến dưới dạng các combolist lớn về tên người dùng và mật khẩu từ Collection #1 đến Collection #5. Tài khoản Steam có thể bán được khá nhiều tiền, và các skin vũ khí trong các tựa game như Counter-Strike có thể có giá trị hàng trăm, thậm chí hàng nghìn đô la. Chắc chắn có một động cơ lừa đảo khi nói đến người dùng Steam, và kết hợp với các bộ dữ liệu khác, nó có thể cực kỳ nguy hiểm cho người dùng có dữ liệu bị rò rỉ. Mặc dù bạn và tôi đều biết phải cẩn thận với các tin nhắn văn bản ngẫu nhiên, nhưng không phải ai cũng cảnh giác như vậy, và vụ rò rỉ này chỉ cung cấp cho những kẻ tấn công tiềm năng một cách để điều chỉnh tin nhắn của họ một cách độc đáo cho nạn nhân nhằm cố gắng đánh cắp hàng nghìn đô la tiềm năng.
Nguy Cơ Chuyển Động Ngang (Lateral Movement) Trong Mạng Lưới
Liệu Có Hệ Thống Nào Khác Bị Ảnh Hưởng?
Mặt khác của vấn đề, và là điều đặc biệt đáng lo ngại, là tiềm năng của chuyển động ngang (lateral movement). Về cơ bản, đây là một quá trình mà kẻ tấn công di chuyển sâu hơn vào mạng, giành quyền truy cập vào nhiều hệ thống hơn khi chúng tiến sâu. Nếu chính Valve bị xâm phạm, ai có thể nói rằng bộ dữ liệu này là kết thúc của nó? Mặc dù các công ty nên áp dụng bảo mật nội bộ nghiêm ngặt như bảo mật bên ngoài, nhưng điều đó không phải lúc nào cũng đúng. Nếu một công ty không áp dụng nguyên tắc không tin cậy (zero-trust), bất kỳ ai kết nối với mạng nội bộ có thể đi qua phần còn lại của mạng như một kết nối đáng tin cậy, tự do cố gắng truy cập các hệ thống nội bộ khác khi đã đặt chân vào.
Để rõ ràng, chúng ta hiện biết rằng điều này đã không xảy ra theo tuyên bố ngày 14 tháng 5 của Valve, và thành thật mà nói, nó không có khả năng xảy ra từ đầu. Các vụ rò rỉ khác của Machine1337 dường như đã dừng lại ở điểm chúng bắt đầu, như trong trường hợp của Turkish Airlines. Không có gì thêm xảy ra, nhưng với khả năng liên kết với EnergyWeaponUser, việc lo lắng không phải là không có cơ sở. Điều có vẻ có khả năng nhất đã xảy ra là họ đã có quyền truy cập vào một bên trung gian xử lý tin nhắn văn bản cho Valve. Valve đã nói rằng họ không sử dụng Twilio, và Twilio đã phủ nhận việc bị xâm phạm. Có thể một bên trung gian ký hợp đồng với Twilio ở Bồ Đào Nha (và có thể ở các khu vực khác) để gửi các tin nhắn liên quan đến Steam.
Máy chơi game cầm tay Steam Deck OLEDHình ảnh chiếc Steam Deck OLED, thiết bị chơi game cầm tay của Valve, trong bối cảnh lo ngại về bảo mật dữ liệu người dùng Steam.
Mặc dù vậy, chúng ta không có đủ thông tin để loại trừ bất kỳ điều gì, và việc bác bỏ ngay lập tức một vụ xâm phạm tiềm tàng của Valve, khi không có thông tin chính thức, thật sự đáng thất vọng. Valve đã mất khá nhiều thời gian để phủ nhận, và về lý thuyết, có thể công ty đã bị xâm phạm. Rõ ràng, chúng ta biết bây giờ rằng điều này không xảy ra, nhưng nó không bao giờ nằm ngoài khả năng. Mặc dù chúng ta có thể giả định rằng Valve gần như chắc chắn lưu trữ thông tin đăng nhập với các phương pháp tốt nhất, một công ty gặp phải một vụ xâm phạm, mà có thể là Valve trong trường hợp này, đã mắc lỗi ở đâu đó. Ai biết một công ty bị rò rỉ dữ liệu đã mắc lỗi ở những đâu khác?
Ngoài ra, đây là lý do tại sao việc thay đổi mật khẩu luôn là một khuyến nghị khi nói về bất kỳ vụ xâm phạm dịch vụ nào. Việc khuyến khích người dùng thay đổi mật khẩu không phải là “gieo rắc nỗi sợ hãi” khi không có thông tin, đặc biệt khi việc xoay vòng mật khẩu định kỳ có thể được coi là một phần của các phương pháp tốt nhất. Việc buộc phải xoay vòng mật khẩu là không tốt vì nó khiến người dùng tham gia vào các thực hành kém an toàn hơn nói chung, như lặp lại các mật khẩu hiện có, viết chúng ra hoặc lưu chúng ở những vị trí không an toàn, nhưng bất kỳ ai nghiêm túc về bảo mật sẽ có một trình quản lý mật khẩu và liên tục sử dụng mật khẩu mạnh, điều này loại bỏ mặt tiêu cực của việc xoay vòng mật khẩu.
Đúng vậy, kịch bản Valve bị xâm phạm giờ đây chỉ là giả thuyết, vì Valve nói rằng dữ liệu SMS bị rò rỉ không liên quan đến tài khoản Steam, và Twilio phủ nhận bất kỳ sự xâm phạm nào. Chúng ta nhận thức được sự thật đó, nhưng mọi vụ xâm phạm bảo mật đều là giả thuyết cho đến khi nó xảy ra. Các vụ xâm phạm chỉ được ngăn chặn bằng cách lập kế hoạch cho các giả thuyết, và cách duy nhất để ngăn chặn một vụ xâm phạm bảo mật là chủ động thay vì phản ứng; nếu bạn phản ứng, bạn đã quá muộn. Hướng dẫn hiện đại (NIST SP-800-63B và UK NCSC) rất rõ ràng: khi có khả năng đáng tin cậy rằng thông tin đăng nhập của bạn đã bị lộ, bạn cần thay đổi chúng. Điều này đôi khi được tích hợp như một phần của chiến lược phản ứng tự động được gọi là đặt lại theo sự kiện (event-driven reset), không chỉ là chính sách xoay vòng mật khẩu thông thường. Với giá trị tiền mặt thực tế của một số kho đồ Steam và sự phổ biến của việc nhồi nhét thông tin đăng nhập (credential-stuffing), việc đặt lại một lần cộng với bật Steam Mobile Authenticator là một phản ứng chi phí thấp, lợi ích cao. Gọi đó là “gieo rắc nỗi sợ hãi” là hiểu sai cả tiêu chuẩn và rủi ro.
Nếu bạn nghĩ ngân hàng của mình “có thể” đã bị một vụ xâm phạm bảo mật có thể cho phép kẻ tấn công truy cập vào tài khoản của bạn, và bạn không có thông tin nào để xác nhận điều đó, ngoài việc một số dữ liệu đã bị rò rỉ, bạn sẽ thay đổi mật khẩu ngay lập tức.
Hãy Coi Mọi Sự Cố Bảo Mật Là Một Rủi Ro Tiềm Ẩn
Ngay Cả Khi Dường Như Không Đáng Lo Ngại
Mặc dù có thể rất hấp dẫn khi bỏ qua một thứ tầm thường như mã xác thực cũ và số điện thoại, vẫn có những lý do tại sao dữ liệu này vẫn đáng lo ngại. Không chỉ là cách nó có thể được kết hợp với các bộ dữ liệu khác, mà còn là việc một công ty nào đó trong chuỗi đã bị xâm phạm ngay từ đầu. Cho đến khi có tuyên bố khác, động thái an toàn nhất là luôn luôn giả định rằng có một mức độ rủi ro đối với tài khoản của bạn. Bằng cách đó, bạn có thể thực hiện các bước để tự bảo vệ mình một cách chủ động, thay vì chờ đợi một nguy hiểm tiềm tàng để chỉ phản ứng khi đã quá muộn. Trong kịch bản đó, tốt nhất là bạn có thể bị khóa tài khoản Steam trong khi chờ Valve hỗ trợ chuyển quyền sở hữu lại cho bạn. Xấu nhất, bạn có thể mất quyền truy cập vào tài khoản của mình vĩnh viễn.
Để nhắc lại, chúng ta hiện biết rằng Valve không bị xâm phạm. Và chúng tôi cũng không nghĩ rằng có khả năng đáng kể rằng ai đó sẽ phải chịu hậu quả hoặc sẽ mất quyền truy cập vào tài khoản Steam của họ do vụ rò rỉ này. Chúng tôi cá nhân tin rằng có khả năng một dịch vụ trung gian đã bị hack, và sẽ không có cách nào để chuyển từ dịch vụ đó sang mạng nội bộ của Valve. Chúng tôi cũng không mong đợi thêm điều gì liên quan đến Valve trong vụ rò rỉ dữ liệu này. Tuy nhiên, lừa đảo có chủ đích là có thật, và vụ rò rỉ này tạo điều kiện cho điều đó. Hơn nữa, ngay cả một cơ hội nhỏ bị tấn công cũng không có nghĩa là mọi người nên ngồi yên và chờ đợi nó xảy ra. Có lý do tại sao các công ty khuyến nghị thay đổi mật khẩu của bạn khi một dịch vụ bị xâm phạm, ngay cả khi dịch vụ đó nói rằng mật khẩu của họ đã được băm và thêm muối (hashed and salted). Các hướng dẫn hiện đại phân biệt giữa việc xoay vòng định kỳ và đặt lại theo sự kiện, và một nghi ngờ hợp lý là quá đủ để chuyển từ xoay vòng định kỳ sang đặt lại theo sự kiện. Khi không có thông tin, thận trọng luôn là động thái tốt hơn.
Mật khẩu yếu 123456789 trên màn hình kiểm tra độ mạnhMàn hình hiển thị mật khẩu yếu “123456789” và cảnh báo nguy cơ bảo mật, minh họa sự cần thiết của mật khẩu mạnh.
Chúng tôi không nói rằng bạn phải mất ngủ vì vụ rò rỉ này, nhưng có vẻ như sự kiện này đã làm nổi bật sự thiếu quan tâm rộng rãi hơn đối với việc rò rỉ dữ liệu cá nhân và bảo mật cá nhân. Mặc dù Valve đúng về mặt kỹ thuật khi nói rằng số điện thoại không được liên kết trực tiếp với tài khoản, nhiều số này có thể được liên kết với tài khoản bằng một số nỗ lực. Chúng tôi cho rằng bất kỳ ai sử dụng mật khẩu yếu và biết rằng họ có mặt trong các bộ dữ liệu khác nên thay đổi mật khẩu của họ, bởi vì bất kỳ ai mua bộ dữ liệu này đều có ý định sử dụng nó cho các vụ lừa đảo và kết hợp nó với các bộ dữ liệu khác. Các bộ dữ liệu có thể được liên kết với nhau để xây dựng một bức tranh chính xác về bạn là ai, điều này làm cho việc lừa đảo có chủ đích dễ dàng hơn, và đây chỉ là một vụ nữa để thêm vào danh sách. Trong trường hợp xấu nhất, một bộ dữ liệu ban đầu bị rò rỉ có thể là dấu hiệu cho những điều tồi tệ hơn sắp tới, mặc dù chúng ta biết rằng điều đó có thể không xảy ra ở đây. Ít nhất, hãy xem đây là cơ hội để sử dụng một trình quản lý mật khẩu và cải thiện mật khẩu và bảo mật tổng thể của bạn. Rốt cuộc, rất nhiều bộ dữ liệu đã được bán và truyền tay nhau chỉ để xuất hiện lần đầu tiên vài tháng sau đó.
Tóm lại, mặc dù Valve không trực tiếp bị xâm phạm, vụ rò rỉ dữ liệu liên quan đến thông tin người dùng Steam vẫn tiềm ẩn những nguy cơ đáng kể, đặc biệt là khả năng các cuộc tấn công lừa đảo có chủ đích. Việc coi thường các mã 2FA cũ và số điện thoại là một sai lầm, bởi chúng có thể dễ dàng kết hợp với các bộ dữ liệu khác để tạo ra hồ sơ chi tiết và nhắm mục tiêu chính xác vào nạn nhân. Bảo mật không phải là phản ứng khi đã quá muộn, mà là hành động chủ động.
congnghehot.net khuyến nghị bạn:
- Thay đổi mật khẩu cho tài khoản Steam và các dịch vụ quan trọng khác, sử dụng mật khẩu mạnh, độc đáo.
- Kích hoạt và sử dụng xác thực hai yếu tố (2FA) một cách hiệu quả, đặc biệt là thông qua ứng dụng xác thực di động của Steam (Steam Mobile Authenticator).
- Sử dụng trình quản lý mật khẩu để tạo và lưu trữ mật khẩu an toàn.
- Luôn cảnh giác với các tin nhắn, email hoặc cuộc gọi đáng ngờ, ngay cả khi chúng có vẻ rất cá nhân hóa.
Bạn có nhận định gì về vụ rò rỉ dữ liệu này và những rủi ro mà nó tiềm ẩn? Hãy chia sẻ ý kiến của bạn bên dưới phần bình luận!