Valve vừa xác nhận một vụ rò rỉ dữ liệu liên quan đến hệ thống xác thực hai yếu tố (2FA) qua SMS của Steam, ảnh hưởng đến khoảng 89 triệu người dùng. Dù không có mật khẩu hay thông tin thanh toán bị lộ, người dùng được khuyến cáo nên chuyển sang sử dụng ứng dụng xác thực qua di động của Steam để tăng cường bảo mật.
Rò rỉ liên quan đến mã 2FA và số điện thoại, không ảnh hưởng đến mật khẩu
Theo bản tin bảo mật mới nhất từ Valve, các tin tặc đã truy cập vào dữ liệu gồm số điện thoại và mã xác thực 2FA được gửi qua SMS cho phần lớn người dùng Steam. Tuy nhiên, hệ thống nội bộ của Steam không bị xâm nhập và Valve khẳng định không có mật khẩu, dữ liệu thanh toán hay thông tin cá nhân nào bị rò rỉ.
Dữ liệu bị lộ bao gồm các mã 2FA đã hết hạn và số điện thoại tương ứng. Valve nhấn mạnh rằng các số điện thoại này không thể được dùng để truy vết ngược lại tài khoản người dùng Steam.
Nguyên nhân có thể đến từ bên thứ ba cung cấp dịch vụ SMS
Nguồn gốc chính xác của vụ việc vẫn chưa được xác định, nhưng nghi ngờ đang tập trung vào một bên thứ ba chuyên cung cấp dịch vụ gửi mã xác thực qua SMS. Ban đầu, có tin đồn rằng hệ thống của Twilio – một công ty dịch vụ nhắn tin phổ biến – đã bị tấn công. Tuy nhiên, Twilio đã phủ nhận điều này và Valve cũng xác nhận rằng họ không sử dụng Twilio cho các dịch vụ liên quan đến Steam.
Valve cho biết sự cố nhiều khả năng đến từ tài khoản quản trị của một đơn vị xử lý dữ liệu khác đang bị khai thác.
Ứng dụng Steam Mobile vẫn là phương án bảo mật tối ưu
Thay vì SMS, Valve sử dụng hệ thống xác thực riêng qua ứng dụng Steam Mobile, cho phép tạo mã đăng nhập tạm thời, quét mã QR, xác nhận các hành động tài khoản và nâng cao tính bảo mật.
Người dùng nên sử dụng ứng dụng này để có thể tránh được các rủi ro tiềm ẩn khi chỉ dựa vào xác thực SMS.
Cảnh báo người dùng về các cuộc tấn công lừa đảo
Valve cũng cảnh báo người dùng cần thận trọng với các email hoặc tin nhắn giả mạo kỹ thuật viên hỗ trợ hoặc chương trình khuyến mãi game. Những hình thức lừa đảo (phishing) ngày càng tinh vi, dễ khiến người dùng vô tình cung cấp thông tin nhạy cảm.
Valve cho biết mọi liên lạc chính thức liên quan đến tài khoản sẽ chỉ được gửi khi người dùng chủ động yêu cầu.
Gợi ý hành động bảo vệ tài khoản
Mặc dù không có mật khẩu nào bị lộ, người dùng vẫn nên kiểm tra lại thiết bị đã đăng nhập, cập nhật mật khẩu cũ, sử dụng trình quản lý mật khẩu và đảm bảo không dùng lại mật khẩu giống nhau trên nhiều dịch vụ, ứng dụng khác nhau.
Đây là thời điểm thích hợp để kiểm tra toàn bộ thiết lập bảo mật cho tài khoản Steam – nơi lưu trữ không chỉ thông tin cá nhân mà còn cả thư viện game trị giá hàng triệu đồng của mỗi người chơi.
CÙNG CHUYÊN MỤC
