Gần đây, cộng đồng game thủ đã xôn xao trước thông tin về một vụ rò rỉ dữ liệu lớn, được cho là ảnh hưởng đến 89 triệu hồ sơ người dùng Steam và mã xác thực 2 yếu tố (2FA). Ban đầu, nhiều người đã nhanh chóng bác bỏ mức độ nghiêm trọng của vụ việc, thậm chí đặt câu hỏi về tính xác thực của nó. Đặc biệt, khi dữ liệu rò rỉ đề cập đến Twilio là “Nhà cung cấp”, trong khi Twilio đã phủ nhận việc họ bị xâm phạm, và Valve phải mất gần 24 giờ mới đưa ra tuyên bố chính thức, khẳng định không sử dụng dịch vụ của Twilio.
Tuy nhiên, sau khi xem xét kỹ lưỡng dữ liệu mẫu đã bị rò rỉ khi tin tức này được công bố lần đầu, có thể thấy rằng đây không phải là một vấn đề nhỏ như nhiều người vẫn nghĩ. Mặc dù thông tin ban đầu có thể khiến nhiều người hoài nghi, nhưng bằng chứng lại cho thấy tính xác thực đáng lo ngại của nó. Kẻ bán dữ liệu, được biết đến với tên Machine1337, đã công bố thêm hai bộ dữ liệu mẫu khác, một liên quan đến Apple và một đến Snapchat. Hơn nữa, Machine1337 có thể có liên hệ với EnergyWeaponUser, một cái tên đã bị ràng buộc với nhiều vụ rò rỉ đình đám như Cisco và Ford. Mặc dù bằng chứng cho thấy đây là hai cá nhân khác nhau, nhưng Machine1337 đã hoạt động ít nhất một năm trên một số diễn đàn hacker, và đã có một số vụ rò rỉ nhỏ hơn, như rò rỉ tin nhắn SMS của hành khách Turkish Airlines, được gán cho Machine1337 vào tháng 4 năm nay.
Tất nhiên, tất cả những điều này có thể chỉ ra một kẻ mạo danh đang tìm cách gây dựng tên tuổi bằng cách lợi dụng tên của người khác. Nhưng vào thời điểm đó, tính xác thực của dữ liệu không phải là vấn đề trọng tâm. Điều quan trọng là: đây không phải, và vẫn không phải, là điều đáng xem nhẹ, ngay cả khi dữ liệu có vẻ vô hại trên bề mặt. Mặc dù cần thiết phải tiếp cận tình huống với sự hoài nghi và cảnh giác (điều mà bạn nên có), nhưng nhiều người đã hoàn toàn bỏ qua nó với giả định rằng dữ liệu chỉ vô nghĩa hoặc hoàn toàn bịa đặt, mặc dù chưa tự mình xem dữ liệu.
Ngay cả bây giờ, vẫn có một vài lý do để lo ngại, ngay cả khi nguy hiểm không “cảm thấy” tức thì.
Lừa Đảo Có Mục Tiêu Là Rủi Ro Lớn Nhất
Và Người Dùng Vừa Trở Thành “Mồi Nhử”
Hãy cùng xem xét những gì dữ liệu này chứa đựng. Thực tế, nó khá “nhàm chán”, chủ yếu chứa siêu dữ liệu (metadata) liên quan đến chi phí mỗi tin nhắn văn bản, nhà mạng được sử dụng để gửi tin nhắn và quốc gia của người dùng. Ngoài ra, các mã 2FA của Steam rõ ràng đã hết hạn sử dụng từ lâu, mặc dù bộ dữ liệu cũng chứa mã liên quan đến việc thay đổi thông tin xác thực tài khoản. Phạm vi ngôn ngữ rộng trong các tin nhắn cũng đã tăng thêm sự tin cậy vào tính xác thực của bộ dữ liệu trước khi nó được xác nhận, với sự hiện diện của tiếng Anh, Bồ Đào Nha, Đức, Nga và nhiều ngôn ngữ khác.
Hình ảnh minh họa tấn công lừa đảo (phishing) trên macOS nhắm vào người dùng công nghệ
Tuy nhiên, khi nói đến số điện thoại, chỉ có 1.825 số điện thoại duy nhất trong bộ dữ liệu trong số 3.000 số được cung cấp. Nếu (với giả định lớn) tỷ lệ trùng lặp trong mẫu duy trì trên toàn bộ dữ liệu, bạn sẽ ước tính có khoảng 54 triệu số duy nhất. Đây vẫn là một con số lớn, nhưng cũng gần bằng một nửa so với con số ban đầu mà nó tưởng chừng như vậy.
Luôn có một vài lý do để tin vào tính xác thực của vụ rò rỉ, từ dữ liệu đa dạng đến nhiều ngôn ngữ, và thậm chí là các diễn đàn nơi những thông tin này được đăng tải. Nhiều diễn đàn “ngầm” này hoạt động rất chặt chẽ khi nói đến việc bán dữ liệu bị hack, và Machine1337 chắc chắn đã bị cấm nếu những vụ rò rỉ khác là giả mạo và họ đã lừa đảo người dùng khác. Giờ đây, khi chúng ta biết rằng dữ liệu là thật, không phải 54 triệu người dùng có mã xác thực cũ đã bị rò rỉ, mà là 54 triệu người dùng vừa trở thành mục tiêu lừa đảo.
Chúng ta đều biết lừa đảo (phishing) là gì, và khá dễ để nhận ra một vụ lừa đảo vì nhiều trong số đó nhắm vào số lượng lớn người dùng và được gửi đi mà ít quan tâm đến sự liên quan của chúng với người nhận. Tuy nhiên, bộ dữ liệu này lại cho phép các cuộc tấn công có mục tiêu (được gọi là spear phishing) trở nên khả thi. Ví dụ, chỉ có hơn 6.000 người nói tiếng Nga ở Bồ Đào Nha vào năm 2022. Mặc dù con số đó gần như chắc chắn đã tăng lên kể từ đó, nhưng hầu hết những kẻ cố gắng thực hiện càng nhiều vụ lừa đảo càng tốt cho người dùng Bồ Đào Nha sẽ không làm điều đó bằng tiếng Nga. Một người dùng Steam nhận mã 2FA Steam của họ bằng tiếng Nga đã cung cấp thông tin bổ sung về cách điều chỉnh tin nhắn cho một người dùng cụ thể, nhưng điều tồi tệ hơn là ở chỗ khác.
Đã có nhiều vụ rò rỉ của nhiều dịch vụ khác nhau trong nhiều năm qua, và những vụ rò rỉ đó có thể bao gồm tên, số điện thoại, địa chỉ email và nhiều thông tin khác. Tôi đã kiểm tra một số số điện thoại trên HaveIBeenPwned và phát hiện ra rằng nhiều trong số đó đã bị rò rỉ trong bộ dữ liệu Facebook năm 2021, chứa khoảng 20% tổng số người dùng của Facebook, bao gồm nhiều chi tiết cá nhân, và đủ để xác định một người dùng. Bây giờ, hãy kết hợp điều đó với người dùng Nga mà chúng ta đã xác định. Nếu một số điện thoại trùng khớp trong một bộ dữ liệu khác, chẳng hạn như của Facebook, thì một kẻ tấn công có thể tạo ra một cuộc tấn công lừa đảo nhắm vào một người dùng có chứa tên của họ, được viết bằng ngôn ngữ của họ, đề cập đến một sự khẩn cấp liên quan đến tài khoản Steam của họ. Bây giờ bạn đã thu hút được sự chú ý của người dùng, theo một cách mà một cuộc tấn công lừa đảo thông thường sẽ không thể làm được.
Đây không phải là một kịch bản giả định; các cuộc tấn công lừa đảo có mục tiêu là có thật, và mặc dù một vụ rò rỉ dữ liệu riêng lẻ có thể không có vẻ đặc biệt nghiêm trọng, nhưng việc kết hợp nhiều nguồn dữ liệu giúp kẻ tấn công tạo ra một cuộc tấn công phù hợp với bạn. Trên thực tế, có những “combolist” kết hợp nhiều bộ dữ liệu lại với nhau, với những ví dụ nổi tiếng mà bạn có thể đã nghe nói đến dưới dạng các combolist tên người dùng và mật khẩu khổng lồ Collection #1 đến Collection #5. Tài khoản Steam có thể bán được khá nhiều tiền, và skin vũ khí trong các trò chơi như Counter-Strike có thể trị giá hàng trăm thậm chí hàng nghìn đô la. Chắc chắn có một động cơ lừa đảo khi nói đến người dùng Steam, và khi kết hợp với các bộ dữ liệu khác, nó có thể tỏ ra khá nguy hiểm cho những người dùng có dữ liệu đã bị rò rỉ. Trong khi bạn và tôi đều biết phải cẩn thận với các tin nhắn văn bản ngẫu nhiên, không phải ai cũng cẩn trọng như vậy, và vụ rò rỉ này vừa cung cấp cho những kẻ tấn công tiềm năng một cách để điều chỉnh tin nhắn của chúng một cách độc đáo cho nạn nhân, nhằm cố gắng đánh cắp hàng nghìn đô la tiềm năng.
Di Chuyển Ngang Là Mối Đe Dọa Thực Sự
Làm Sao Chúng Ta Biết Thêm Hệ Thống Không Bị Xâm Phạm?
Mặt khác của vấn đề, và là điều tôi đặc biệt lo lắng, là tiềm năng cho sự di chuyển ngang (lateral movement). Về cơ bản, đây là một quá trình mà kẻ tấn công di chuyển sâu hơn vào mạng lưới, giành quyền truy cập vào nhiều hệ thống hơn khi chúng tiến vào. Nếu Valve thực sự bị xâm phạm, ai có thể nói bộ dữ liệu này là điểm dừng cuối cùng? Mặc dù các công ty nên áp dụng bảo mật nội bộ nghiêm ngặt như bảo mật bên ngoài, điều đó không phải lúc nào cũng xảy ra. Nếu một công ty không áp dụng các nguyên tắc không tin cậy (zero-trust), bất kỳ ai được kết nối với mạng nội bộ có thể đi qua phần còn lại của mạng dưới dạng kết nối đáng tin cậy, tự do cố gắng truy cập các hệ thống nội bộ khác sau khi đã có một “chân” trong cửa.
Thiết bị Steam Deck OLED hiển thị màn hình chính, biểu tượng cho hệ thống Steam và cộng đồng game thủ
Nói rõ hơn, chúng ta hiện đã biết rằng điều này đã không xảy ra theo tuyên bố của Valve vào ngày 14 tháng 5, và thành thật mà nói, nó không phải là điều quá khó xảy ra ngay từ đầu. Các vụ rò rỉ khác của Machine1337 dường như đã dừng lại ở điểm chúng bắt đầu, như trường hợp của Turkish Airlines. Không có gì thêm về vụ đó, nhưng với mối liên hệ tiềm năng với EnergyWeaponUser, không phải là không đáng lo ngại. Điều có vẻ nhiều khả năng nhất đã xảy ra là chúng đã giành được quyền truy cập vào một bên trung gian xử lý tin nhắn văn bản cho Valve. Valve đã nói rằng họ không sử dụng Twilio, và Twilio đã phủ nhận một vụ rò rỉ. Có thể là một bên trung gian ký hợp đồng với Twilio ở Bồ Đào Nha (và có lẽ các khu vực khác) để gửi các tin nhắn liên quan đến Steam.
Với điều đã nói, chúng ta không có đủ thông tin để loại trừ bất cứ điều gì, và việc loại bỏ ngay lập tức khả năng Valve bị xâm phạm, trong trường hợp không có thông tin chính thức, là điều không khỏi gây khó chịu. Valve đã mất khá nhiều thời gian để phủ nhận, và về lý thuyết, có thể công ty đã bị xâm phạm. Rõ ràng, chúng ta biết bây giờ rằng điều này không phải vậy, nhưng nó không bao giờ nằm ngoài khả năng. Mặc dù chúng ta có thể giả định rằng Valve gần như chắc chắn lưu trữ chi tiết đăng nhập với các phương pháp hay nhất, một công ty trải qua một vụ rò rỉ, mà có khả năng là Valve trong trường hợp này, đã mắc lỗi ở đâu đó. Ai biết một công ty bị rò rỉ dữ liệu đã mắc lỗi ở những nơi nào khác?
Ngoài ra, đây là lý do tại sao thay đổi mật khẩu luôn là một phương pháp được khuyến nghị khi nói về bất kỳ vụ xâm phạm dịch vụ nào. Không phải là “gây hoang mang” khi thiếu thông tin để khuyến khích người dùng thay đổi mật khẩu, đặc biệt là khi xoay vòng mật khẩu theo định kỳ có thể được coi là một phần của các phương pháp hay nhất. Xoay vòng mật khẩu bắt buộc là không tốt vì chúng khiến người dùng thực hiện các phương pháp kém an toàn hơn, như lặp lại các mật khẩu hiện có, ghi chúng xuống hoặc lưu chúng ở các vị trí không an toàn, nhưng bất kỳ ai nghiêm túc về bảo mật đều sẽ có một trình quản lý mật khẩu và luôn sử dụng mật khẩu mạnh mẽ, điều này làm mất đi mặt tiêu cực của việc xoay vòng mật khẩu.
Đúng, kịch bản Valve tự bị xâm phạm bây giờ là giả định, vì Valve nói rằng dữ liệu SMS bị rò rỉ không liên quan trực tiếp đến tài khoản Steam, và Twilio phủ nhận bất kỳ sự xâm phạm nào. Tôi nhận thức được sự thật đó, nhưng mọi vụ xâm phạm bảo mật đều là giả định cho đến khi nó xảy ra. Các vụ xâm phạm chỉ được ngăn chặn bằng cách lập kế hoạch cho các giả định, và cách duy nhất để ngăn chặn một vụ xâm phạm bảo mật là chủ động thay vì phản ứng; nếu bạn phản ứng, bạn đã quá muộn. Hướng dẫn hiện đại (NIST SP-800-63B và UK NCSC) rõ ràng: khi có khả năng đáng tin cậy rằng thông tin xác thực của bạn đã bị lộ, bạn hãy thay đổi chúng. Điều này đôi khi được kết hợp như một phần của chiến lược phản hồi tự động được gọi là đặt lại theo sự kiện (event-driven reset), không chỉ là chính sách xoay vòng mật khẩu thông thường. Với giá trị tiền mặt thực tế của một số kho đồ Steam và sự phổ biến của việc nhồi nhét thông tin xác thực (credential-stuffing), việc đặt lại một lần và bật Steam Mobile Authenticator là một phản ứng chi phí thấp, lợi ích cao. Gọi đó là “gây hoang mang” là hiểu sai cả các tiêu chuẩn và mức độ rủi ro.
Nếu bạn nghĩ ngân hàng của mình “có thể” đã bị xâm phạm bảo mật mà có khả năng cho phép kẻ tấn công truy cập vào tài khoản của bạn, và bạn không có thông tin để xác nhận điều đó, ngoài việc một số dữ liệu đã bị rò rỉ, bạn sẽ thay đổi mật khẩu ngay lập tức.
Coi Mọi Rủi Ro Bảo Mật Đều Là Nguy Cơ Tiềm Ẩn
Ngay Cả Khi Nó Có Vẻ Không Có Vấn Đề
Mặc dù có thể hấp dẫn khi coi những thứ tầm thường như mã xác thực cũ và số điện thoại là vô nghĩa, nhưng vẫn có những lý do khiến dữ liệu này vẫn đáng lo ngại. Không chỉ là cách nó có thể được kết hợp với các bộ dữ liệu khác, mà còn là thực tế rằng một công ty nào đó trong chuỗi cung ứng đã bị xâm phạm ngay từ đầu. Cho đến khi có tuyên bố khác, động thái an toàn nhất là luôn luôn giả định rằng có một mức độ rủi ro đối với tài khoản của bạn. Bằng cách đó, bạn có thể thực hiện các bước để bảo vệ mình một cách chủ động, thay vì chờ đợi một mối nguy hiểm tiềm ẩn để chỉ phản ứng khi đã quá muộn. Trong kịch bản đó, tốt nhất, bạn có thể bị khóa tài khoản Steam của mình trong khi chờ bộ phận hỗ trợ của Valve chuyển quyền sở hữu trở lại cho bạn. Tệ nhất, bạn có thể mất quyền truy cập vào tài khoản của mình vĩnh viễn.
Kiểm tra độ mạnh mật khẩu với mật khẩu yếu "123456789", minh họa tầm quan trọng của mật khẩu mạnh và duy nhất
Để nhắc lại, một lần nữa, chúng ta biết bây giờ rằng Valve không bị xâm phạm. Và tôi cũng không nghĩ rằng có khả năng đáng kể bất kỳ ai sẽ phải chịu hậu quả hoặc sẽ mất quyền truy cập vào tài khoản Steam của họ do vụ rò rỉ này. Cá nhân tôi tin rằng có khả năng một dịch vụ trung gian đã bị hack, và sẽ không có cách nào để chuyển từ dịch vụ đó sang mạng nội bộ của Valve. Tôi cũng không mong đợi thêm thông tin nào liên quan đến Valve trong vụ rò rỉ dữ liệu này. Tuy nhiên, lừa đảo có mục tiêu là có thật, và vụ rò rỉ này cho phép chính xác điều đó. Hơn nữa, ngay cả một cơ hội nhỏ bị hack cũng không có nghĩa là mọi người nên ngồi yên và chờ đợi nó xảy ra. Có lý do các công ty khuyến nghị thay đổi mật khẩu khi một dịch vụ bị xâm phạm, ngay cả khi dịch vụ đó nói rằng mật khẩu của họ đã được băm (hashed) và thêm muối (salted). Các hướng dẫn hiện đại phân biệt rõ ràng giữa việc xoay vòng định kỳ và đặt lại theo sự kiện, và một sự nghi ngờ hợp lý là quá đủ để chuyển từ xoay vòng định kỳ sang đặt lại theo sự kiện. Khi thiếu thông tin, thận trọng luôn là động thái tốt hơn.
Tôi không nói rằng bạn phải mất ngủ vì vụ rò rỉ này, nhưng có vẻ như sự kiện này đã làm nổi bật một sự thiếu quan tâm rộng rãi hơn đối với việc rò rỉ dữ liệu cá nhân và bảo mật cá nhân. Mặc dù Valve về mặt kỹ thuật là đúng khi nói rằng số điện thoại không được liên kết trực tiếp với tài khoản, nhưng nhiều số này có thể được liên kết với tài khoản bằng một số nỗ lực. Tôi sẽ lập luận rằng bất kỳ ai sử dụng mật khẩu yếu hơn và biết rằng họ nằm trong các bộ dữ liệu khác nên thay đổi mật khẩu của họ, bởi vì bất kỳ ai mua bộ dữ liệu này đều có ý định sử dụng nó cho các cuộc tấn công lừa đảo và kết hợp nó với các bộ dữ liệu khác. Các bộ dữ liệu có thể được liên kết với nhau để xây dựng một bức tranh chính xác về bạn là ai, điều này giúp việc lừa đảo có mục tiêu dễ dàng hơn, và đây lại là một yếu tố nữa để bổ sung vào danh sách. Trong trường hợp xấu nhất, một bộ dữ liệu ban đầu bị rò rỉ có thể là dấu hiệu cho thấy nhiều điều sẽ đến, mặc dù chúng ta biết rằng điều đó có lẽ không phải là trường hợp ở đây. Ít nhất, hãy coi đây là cơ hội để sử dụng một trình quản lý mật khẩu và cải thiện mật khẩu cũng như bảo mật tổng thể của bạn. Rốt cuộc, rất nhiều bộ dữ liệu đã được bán và truyền tay nhau chỉ để xuất hiện lại lần đầu tiên sau nhiều tháng.
