Gần đây đã xuất hiện thông tin cho rằng dữ liệu của khoảng hai phần ba tài khoản Steam đã bị rò rỉ trên dark web. Tuy không có mật khẩu, thông tin thanh toán hay dữ liệu cá nhân nào bị xâm phạm, người dùng vẫn nên kích hoạt ứng dụng xác thực (authenticator) di động của Steam nếu chưa làm.
Trong một bản tin bảo mật mới đây, Steam xác nhận rằng tin tặc đã truy cập vào số điện thoại và dữ liệu xác thực hai yếu tố (2FA) qua SMS liên kết với phần lớn tài khoản Steam. Hệ thống nội bộ của Steam không bị xâm nhập, và Valve cũng không khuyến cáo người dùng thay đổi mật khẩu. Tuy nhiên, đây là thời điểm thích hợp để kiểm tra lại cài đặt bảo mật cho các tài khoản có thể chứa hàng trăm, thậm chí hàng nghìn trò chơi PC.
Dữ liệu bị rò rỉ bao gồm mã 2FA không mã hóa nhưng đã hết hạn và số điện thoại đã nhận những mã này. Valve nhấn mạnh rằng những số điện thoại đó không thể được dùng để xác định danh tính tài khoản Steam, và không có mật khẩu nào bị lộ. Nguồn gốc của vụ rò rỉ hiện vẫn chưa rõ, nhưng nghi vấn đang tập trung vào một dịch vụ bên thứ ba chuyên gửi mã 2FA qua SMS.
Mặc dù mã xác thực bị rò rỉ không đủ để tin tặc truy cập vào tài khoản, sự cố lần này là lời nhắc rằng việc nhận mã 2FA qua SMS kém an toàn hơn so với ứng dụng xác thực. Trong khi nhiều dịch vụ sử dụng các ứng dụng như Authy hoặc Google Authenticator, Valve lại dùng hệ thống riêng trong ứng dụng di động Steam – nơi phát sinh mã đăng nhập tạm thời, xác nhận các thao tác tài khoản và quét mã QR đăng nhập.
Theo người dùng LinkedIn có tên Underdark.ai, một thành viên trên diễn đàn dark web Mipped gần đây đã rao bán dữ liệu của 89 triệu tài khoản Steam. Sau khi kiểm tra, Valve xác nhận rằng một trong các dịch vụ bên thứ ba truyền mã 2FA qua SMS đã bị xâm phạm.
Ban đầu, có thông tin cho rằng tài khoản nội bộ của Twilio bị tấn công, nhưng công ty đã phủ nhận điều này. Valve cũng nói với nhóm bảo mật Sentinels of the Store rằng họ không sử dụng dịch vụ của Twilio. Tuy nhiên, có thể một tài khoản quản trị của một nhà cung cấp dữ liệu khác đã bị lợi dụng.
Dù vậy, người dùng nên cảnh giác với các thông báo khả nghi liên quan đến tài khoản Steam. Tin tặc thường giả dạng nhân viên hỗ trợ kỹ thuật hoặc gửi các chương trình khuyến mãi trò chơi giả mạo để lừa đảo. Valve cho biết họ chỉ gửi thông báo về tài khoản nếu người dùng đã yêu cầu rõ ràng trước đó.
Ngoài ra, người dùng nên theo dõi các hoạt động bất thường và kiểm tra lại danh sách thiết bị đã được ủy quyền. Dù Valve xác nhận rằng không có mật khẩu nào bị truy cập, đây vẫn là thời điểm hợp lý để thay đổi các mật khẩu cũ, bắt đầu sử dụng trình quản lý mật khẩu, và kiểm tra xem bạn có đang dùng chung mật khẩu ở nhiều dịch vụ khác nhau hay không.
