Rò rỉ dữ liệu 2FA đã tác động đến khoảng 89 triệu tài khoản trên nền tảng Steam.

Sự kiện này một lần nữa minh chứng cho những rủi ro bảo mật tồn tại khi dùng mã xác thực gửi qua SMS.

Valve xác nhận vụ rò rỉ liên quan đến hệ thống xác thực hai yếu tố (2FA) qua SMS của Steam, ảnh hưởng đến gần 89 triệu người dùng. Mặc dù không có mật khẩu hay thông tin thanh toán bị lộ, người dùng nên chuyển sang sử dụng ứng dụng xác thực trên điện thoại để tăng mức độ an toàn.

Vụ rò rỉ liên quan đến mã 2FA và số điện thoại, không gây ảnh hưởng đến mật khẩu

Theo thông báo bảo mật mới nhất từ Valve, tin tặc đã truy cập dữ liệu gồm số điện thoại và mã 2FA gửi qua SMS của phần lớn người dùng Steam. Tuy nhiên, hệ thống nội bộ của Steam không bị xâm nhập, và Valve khẳng định không có mật khẩu, dữ liệu thanh toán hay thông tin cá nhân nào bị rò rỉ.

Dữ liệu rò rỉ gồm các mã 2FA đã hết hạn cùng với số điện thoại liên quan. Valve khẳng định các số điện thoại này không thể dùng để truy xuất tài khoản Steam của người dùng.

Nguyên nhân có thể xuất phát từ nhà cung cấp dịch vụ SMS bên thứ ba

Nguồn gốc sự cố vẫn chưa rõ ràng, nhưng nghi vấn đang hướng về một bên thứ ba chuyên cung cấp dịch vụ gửi mã xác thực qua SMS. Có tin đồn cho rằng hệ thống của Twilio – một nhà cung cấp dịch vụ nhắn tin phổ biến – bị tấn công, nhưng Twilio đã bác bỏ và Valve cũng xác nhận họ không sử dụng Twilio cho các dịch vụ liên quan đến Steam.

Valve thông báo sự cố có thể liên quan đến tài khoản quản trị của một đơn vị xử lý dữ liệu khác bị tin tặc khai thác.

Ứng dụng Steam Mobile vẫn là giải pháp bảo mật hàng đầu

Sự kiện này một lần nữa cho thấy việc gửi mã xác thực qua SMS chứa nhiều nguy cơ về bảo mật. Valve đã triển khai hệ thống xác thực riêng trên ứng dụng Steam Mobile, cho phép tạo mã đăng nhập tạm thời, quét mã QR, xác nhận các thao tác tài khoản, giúp nâng cao an toàn cho người dùng.

Người dùng nên ưu tiên sử dụng ứng dụng Steam Mobile để tránh các nguy cơ tiềm ẩn khi chỉ dựa vào xác thực qua SMS.

Cảnh báo người dùng trước các mưu đồ tấn công lừa đảo

Valve cảnh báo người dùng cần cảnh giác với các email hoặc tin nhắn giả mạo nhân viên hỗ trợ kỹ thuật hoặc các chương trình khuyến mãi game, bởi các chiêu trò lừa đảo (phishing) ngày càng tinh vi, dễ khiến người dùng tiết lộ thông tin nhạy cảm.

Valve cho biết mọi thông báo chính thức liên quan đến tài khoản chỉ được gửi khi người dùng chủ động yêu cầu.

Khuyến nghị các biện pháp bảo vệ tài khoản

Dù không có mật khẩu nào bị rò rỉ, người dùng nên kiểm tra thiết bị đã đăng nhập, đổi mật khẩu cũ, sử dụng trình quản lý mật khẩu và tránh dùng lại mật khẩu giống nhau trên nhiều dịch vụ.

Đây là thời điểm lý tưởng để rà soát và củng cố toàn bộ thiết lập bảo mật cho tài khoản Steam – nơi lưu giữ không chỉ thông tin cá nhân mà còn cả thư viện game trị giá hàng triệu đồng của mỗi người chơi.