Vụ rò rỉ thông tin gây chấn động cộng đồng game thủ gần đây, liên quan đến khoảng 89 triệu bản ghi người dùng Steam và các mã xác thực hai yếu tố (2FA), ban đầu khiến nhiều người lo ngại về sự an toàn của nền tảng Valve. Mặc dù sau đó đã xác nhận rằng chính Valve không phải là nạn nhân trực tiếp của vụ xâm nhập này, nhưng kho dữ liệu khổng lồ đó đã được rao bán. Thông tin bị rò rỉ đề cập đến Twilio là “Nhà cung cấp”, dù Twilio đã phủ nhận việc bị tấn công. Valve cũng mất gần 24 giờ để đưa ra tuyên bố chính thức, ngoài việc xác nhận với MellowOnline1 rằng họ không sử dụng dịch vụ của Twilio. Sau khi xem xét bản mẫu dữ liệu rò rỉ, có thể thấy rằng mức độ nghiêm trọng của vụ việc không hề nhỏ như nhiều người đang nghĩ.
Ban đầu, sự kiện này có thể được xem là một trò lừa bịp tinh vi. Tuy nhiên, dữ liệu dường như đã được bán, và người bán, với tên Machine1337, đã tiếp tục công bố thêm hai bộ dữ liệu mẫu khác, một được cho là liên quan đến Apple và một khác là Snapchat. Điều đáng chú ý hơn, Machine1337 có thể có mối liên hệ với EnergyWeaponUser, một cái tên đã được gắn với nhiều vụ rò rỉ dữ liệu cấp cao như Cisco và Ford. Các bằng chứng cho thấy đây là hai cá nhân khác nhau, nhưng tài khoản Machine1337 đã hoạt động ít nhất một năm trên một số diễn đàn hacker này. Một số vụ rò rỉ nhỏ hơn, chẳng hạn như tin nhắn văn bản gửi cho hành khách của Turkish Airlines, đã được quy cho Machine1337, và vụ vi phạm cụ thể đó xảy ra vào tháng 4 năm nay.
Trong khi tất cả những điều này có thể chỉ ra một kẻ giả mạo đang tìm cách tạo tên tuổi cho mình bằng cách dựa hơi người khác, tính xác thực của dữ liệu tại thời điểm đó không phải là vấn đề chính. Vấn đề là: vụ việc này không phải, và vẫn không phải, là điều để coi thường, ngay cả khi dữ liệu có vẻ vô hại trên bề mặt. Việc tiếp cận tình huống với một thái độ hoài nghi lành mạnh và sự thiếu tin tưởng chung (như bạn nên có) là điều dễ hiểu, nhưng nhiều người đã hoàn toàn bác bỏ nó với giả định rằng dữ liệu đơn giản là vô nghĩa hoặc hoàn toàn bịa đặt, mặc dù chưa tự mình xem xét dữ liệu. Ngay cả bây giờ, vẫn có một số lý do để lo ngại, ngay cả khi nguy hiểm không “cảm thấy” ngay lập tức.
Lừa Đảo Mục Tiêu (Spear Phishing) – Mối Đe Dọa Lớn Nhất
Người dùng trở thành mục tiêu dễ dàng
Đầu tiên, hãy cùng xem xét những gì dữ liệu này chứa đựng. Thực tế, chúng khá “nhàm chán”, chủ yếu là siêu dữ liệu liên quan đến chi phí mỗi tin nhắn, nhà mạng được sử dụng để gửi tin nhắn và quốc gia của người dùng. Ngoài ra, các mã 2FA của Steam rõ ràng đã hết hạn sử dụng từ lâu, mặc dù bộ dữ liệu cũng chứa các mã liên quan đến việc thay đổi thông tin đăng nhập tài khoản. Phạm vi ngôn ngữ rộng trong các tin nhắn cũng chứng minh tính xác thực của bộ dữ liệu trước khi được xác nhận, với sự hiện diện của tiếng Anh, tiếng Bồ Đào Nha, tiếng Đức, tiếng Nga và nhiều ngôn ngữ khác. Tuy nhiên, khi nói đến số điện thoại, chỉ có 1.825 số điện thoại duy nhất trong bộ dữ liệu trong số 3.000 số được cung cấp. Nếu (với một giả định lớn) tỷ lệ trùng lặp trong mẫu giữ nguyên trên toàn bộ kho dữ liệu, bạn sẽ thấy khoảng 54 triệu số điện thoại duy nhất. Con số này vẫn rất lớn, nhưng cũng gần bằng một nửa so với con số ban đầu.
Đã có một vài lý do để tin vào tính xác thực của vụ rò rỉ, từ dữ liệu đa dạng đến nhiều ngôn ngữ, và thậm chí cả các diễn đàn nơi chúng được đăng tải. Nhiều diễn đàn “ngầm” này hoạt động rất chặt chẽ khi nói đến việc bán dữ liệu bị tấn công, và Machine1337 chắc chắn đã bị cấm nếu những vụ rò rỉ khác là giả mạo và họ đã lừa đảo người dùng khác. Với việc chúng ta hiện đã biết dữ liệu là thật, thì không phải 54 triệu người dùng bị rò rỉ mã xác thực hàng tháng tuổi, mà là 54 triệu người dùng vừa trở thành mục tiêu của các cuộc tấn công lừa đảo (phishing).
Minh họa một cuộc tấn công lừa đảo (phishing) nhắm mục tiêu vào người dùng máy tính Mac, cho thấy email giả mạo và thông báo cảnh báo bảo mật.
Chúng ta đều biết lừa đảo (phishing) là gì, và việc phát hiện một vụ lừa đảo thường khá dễ dàng do nhiều vụ trong số đó nhắm vào số lượng lớn người dùng và được gửi đi mà ít quan tâm đến mức độ liên quan của chúng với người nhận tin nhắn. Tuy nhiên, bộ dữ liệu này lại cho phép thực hiện các cuộc tấn công lừa đảo có mục tiêu (được gọi là spear phishing). Ví dụ, có hơn 6.000 người nói tiếng Nga ở Bồ Đào Nha vào năm 2022. Mặc dù con số đó gần như chắc chắn đã tăng lên kể từ đó, nhưng hầu hết những kẻ cố gắng thực hiện càng nhiều nỗ lực lừa đảo càng tốt cho người dùng Bồ Đào Nha sẽ không làm điều đó bằng tiếng Nga. Một người dùng Steam nhận mã 2FA Steam của họ bằng tiếng Nga đã cung cấp thêm thông tin về cách điều chỉnh tin nhắn cho một người dùng cụ thể, nhưng mọi thứ còn tồi tệ hơn.
Trong những năm qua, đã có nhiều vụ rò rỉ dữ liệu từ nhiều dịch vụ khác nhau, và những vụ rò rỉ đó có thể bao gồm tên, số điện thoại, địa chỉ email và nhiều thông tin khác. Khi kiểm tra một số số điện thoại trên HaveIBeenPwned, tôi phát hiện ra rằng nhiều số trong số đó đã bị rò rỉ trong bộ dữ liệu Facebook năm 2021, chứa khoảng 20% tổng số người dùng của Facebook, bao gồm nhiều chi tiết cá nhân, và đủ để nhận dạng một người dùng. Bây giờ, hãy kết hợp điều đó với người dùng Nga mà chúng ta đã xác định. Nếu một số điện thoại trùng khớp trong một bộ dữ liệu khác, chẳng hạn như của Facebook, thì kẻ tấn công có thể tạo ra một nỗ lực lừa đảo nhắm vào người dùng có chứa tên của họ, được viết bằng ngôn ngữ của họ, đề cập đến một vấn đề khẩn cấp liên quan đến tài khoản Steam của họ. Bây giờ bạn đã thu hút được sự chú ý của người dùng, theo một cách mà một nỗ lực lừa đảo thông thường sẽ không thể làm được.
Đây không phải là một kịch bản giả định; các cuộc tấn công lừa đảo có mục tiêu là có thật, và mặc dù một vụ rò rỉ dữ liệu riêng lẻ có thể không có vẻ quá nghiêm trọng, nhưng việc kết hợp nhiều nguồn dữ liệu giúp kẻ tấn công tạo ra một cuộc tấn công được tùy chỉnh riêng cho bạn. Thực tế, có những “combolists” (danh sách kết hợp) tập hợp nhiều bộ dữ liệu lại với nhau, với những ví dụ nổi tiếng mà bạn có thể đã nghe nói đến dưới dạng các combolist tên người dùng và mật khẩu khổng lồ Collection #1 đến Collection #5. Tài khoản Steam có thể bán được với giá khá cao, và các skin vũ khí trong các trò chơi như Counter-Strike có thể trị giá hàng trăm thậm chí hàng nghìn đô la. Chắc chắn có động cơ lừa đảo khi nhắm vào người dùng Steam, và kết hợp với các bộ dữ liệu khác, nó có thể trở nên khá nguy hiểm cho những người dùng có dữ liệu đã bị rò rỉ. Mặc dù cả bạn và tôi đều biết phải cẩn thận với các tin nhắn văn bản ngẫu nhiên, không phải ai cũng siêng năng như vậy, và vụ rò rỉ này vừa cung cấp cho những kẻ tấn công tiềm năng một cách để tùy chỉnh tin nhắn của họ cho nạn nhân nhằm cố gắng đánh cắp hàng nghìn đô la tiềm năng.
Nguy Cơ Lây Lan Trong Hệ Thống (Lateral Movement) – Mối Lo Ngại Tiềm Ẩn
Làm sao để biết không có hệ thống nào khác bị xâm nhập?
Mặt khác của vấn đề, và là điều mà tôi đặc biệt lo lắng, là tiềm năng lây lan trong hệ thống (lateral movement). Về cơ bản, đây là một quá trình mà kẻ tấn công di chuyển sâu hơn vào mạng, giành quyền truy cập vào nhiều hệ thống hơn khi chúng tiến vào. Nếu chính Valve bị xâm nhập, ai có thể nói rằng bộ dữ liệu này là kết thúc của nó? Mặc dù các công ty nên áp dụng bảo mật nội bộ một cách nghiêm ngặt như bảo mật bên ngoài, nhưng điều đó không phải lúc nào cũng xảy ra. Nếu một công ty không áp dụng các nguyên tắc Zero Trust, bất kỳ ai kết nối với mạng nội bộ có thể vượt qua phần còn lại của mạng như một kết nối đáng tin cậy, tự do cố gắng truy cập các hệ thống nội bộ khác sau khi đã đặt chân vào.
Hình ảnh một thiết bị chơi game Steam Deck OLED, biểu tượng cho hệ sinh thái game của Valve, nơi tài khoản người dùng và dữ liệu có giá trị cần được bảo mật.
Để rõ ràng, chúng ta hiện đã biết rằng điều này đã không xảy ra theo tuyên bố của Valve vào ngày 14 tháng 5, và thành thật mà nói, khả năng này không cao ngay từ đầu. Các vụ rò rỉ khác của Machine1337 dường như đã dừng lại ở nơi chúng bắt đầu, như trong trường hợp của Turkish Airlines. Không có thêm thông tin gì về điều đó, nhưng với mối liên hệ tiềm năng với EnergyWeaponUser, việc lo lắng không phải là không có cơ sở. Điều có vẻ rất có thể đã xảy ra là họ đã giành quyền truy cập vào một bên trung gian xử lý tin nhắn văn bản cho Valve. Valve đã nói rằng họ không sử dụng Twilio, và Twilio đã phủ nhận một vụ xâm nhập. Có thể một bên trung gian ký hợp đồng với Twilio ở Bồ Đào Nha (và có lẽ các khu vực khác) để gửi các tin nhắn liên quan đến Steam.
Với những điều đã nói, chúng ta không có đủ thông tin để loại trừ bất cứ điều gì, và việc bác bỏ ngay lập tức một vụ xâm nhập tiềm năng của Valve, khi không có thông tin chính thức, là điều gây khó chịu. Valve đã mất khá nhiều thời gian để phủ nhận, và về mặt lý thuyết, có thể công ty đã bị xâm nhập. Rõ ràng, chúng ta biết bây giờ rằng điều này không xảy ra, nhưng nó không bao giờ nằm ngoài khả năng. Mặc dù chúng ta có thể đưa ra các giả định rằng Valve gần như chắc chắn lưu trữ thông tin đăng nhập với các phương pháp hay nhất, nhưng một công ty trải qua một vụ xâm nhập, mà có thể là Valve trong trường hợp này, đã mắc lỗi ở đâu đó. Ai biết được một công ty đang gặp sự cố rò rỉ dữ liệu đã mắc lỗi ở những nơi nào khác?
Ngoài ra, đây là lý do tại sao việc thay đổi mật khẩu luôn là một khuyến nghị khi nói về bất kỳ vụ xâm nhập dịch vụ nào. Việc khuyến khích người dùng thay đổi mật khẩu không phải là “gieo rắc nỗi sợ hãi” khi không có thông tin, đặc biệt là khi việc xoay vòng mật khẩu theo định kỳ có thể được coi là một phần của các phương pháp hay nhất. Việc bắt buộc xoay vòng mật khẩu là không tốt vì nó khiến người dùng tham gia vào các thực hành kém an toàn hơn nói chung, như lặp lại các mật khẩu hiện có, ghi chúng ra hoặc lưu chúng ở những vị trí không an toàn, nhưng bất kỳ ai nghiêm túc về bảo mật sẽ có trình quản lý mật khẩu và luôn sử dụng mật khẩu mạnh, điều này loại bỏ mặt tiêu cực của việc xoay vòng mật khẩu.
Đúng vậy, kịch bản mà chính Valve bị xâm nhập hiện là giả thuyết, vì Valve nói rằng dữ liệu SMS bị rò rỉ không liên quan đến tài khoản Steam, và Twilio phủ nhận bất kỳ sự thỏa hiệp nào. Tôi nhận thức được thực tế đó, nhưng mọi vi phạm bảo mật đều là giả thuyết cho đến khi nó xảy ra. Các vụ rò rỉ chỉ được ngăn chặn bằng cách lập kế hoạch cho những giả thuyết, và cách duy nhất để ngăn chặn một vụ vi phạm bảo mật là chủ động thay vì phản ứng; nếu bạn phản ứng, bạn đã quá muộn. Hướng dẫn hiện đại (NIST SP-800-63B và UK NCSC) rõ ràng: khi có khả năng thông tin đăng nhập của bạn bị lộ, bạn hãy thay đổi chúng. Điều này đôi khi được kết hợp như một phần của chiến lược phản ứng tự động được gọi là đặt lại theo sự kiện (event-driven reset), chứ không chỉ là chính sách xoay vòng mật khẩu thông thường. Với giá trị tiền mặt thực tế của một số kho đồ Steam và sự phổ biến của việc nhồi nhét thông tin đăng nhập, việc đặt lại một lần cộng với việc bật Steam Mobile Authenticator là một phản ứng có chi phí thấp, lợi ích cao. Gọi đó là “gieo rắc nỗi sợ hãi” là hiểu sai cả các tiêu chuẩn và rủi ro.
Nếu bạn nghĩ rằng ngân hàng của mình “có thể” đã bị xâm nhập bảo mật có khả năng cho phép kẻ tấn công truy cập vào tài khoản của bạn, và bạn không có thông tin nào để xác nhận điều đó, ngoài việc một số dữ liệu đã bị rò rỉ, bạn sẽ thay đổi mật khẩu ngay lập tức.
Coi Mọi Sự Cố Bảo Mật Là Một Rủi Ro Tiềm Ẩn
Ngay cả khi rủi ro có vẻ thấp
Mặc dù có thể rất hấp dẫn khi bỏ qua một điều gì đó tầm thường như mã xác thực cũ và số điện thoại, vẫn có những lý do khiến dữ liệu này vẫn đáng lo ngại. Đó không chỉ là cách nó có thể được kết hợp với các bộ dữ liệu khác, mà còn là thực tế rằng một công ty nào đó trong chuỗi đã bị xâm nhập ngay từ đầu. Cho đến khi có tuyên bố khác, động thái an toàn nhất là luôn luôn giả định rằng có một mức độ rủi ro đối với tài khoản của bạn. Bằng cách đó, bạn có thể thực hiện các bước để tự bảo vệ mình một cách chủ động, thay vì chờ đợi một mối nguy hiểm tiềm ẩn để chỉ phản ứng khi đã quá muộn. Trong kịch bản đó, tốt nhất, bạn có thể bị khóa tài khoản Steam của mình trong khi chờ bộ phận hỗ trợ của Valve chuyển quyền sở hữu lại cho bạn. Xấu nhất, bạn có thể mất quyền truy cập vào tài khoản của mình vĩnh viễn.
Kiểm tra độ mạnh mật khẩu hiển thị một chuỗi mật khẩu yếu "123456789", nhấn mạnh tầm quan trọng của việc sử dụng mật khẩu mạnh và duy nhất để bảo vệ tài khoản Steam và dữ liệu cá nhân.
Để nhắc lại, một lần nữa, chúng ta biết rằng Valve không bị xâm nhập. Tôi cũng không nghĩ rằng có khả năng đáng kể rằng bất kỳ ai sẽ phải chịu thiệt hại hoặc mất quyền truy cập vào tài khoản Steam của họ do vụ rò rỉ này. Cá nhân tôi tin rằng có khả năng một dịch vụ trung gian đã bị tấn công, và sẽ không có cách nào để chuyển từ dịch vụ đó sang mạng nội bộ của Valve. Tôi cũng không mong đợi thêm thông tin nào liên quan đến Valve trong vụ rò rỉ dữ liệu này. Tuy nhiên, lừa đảo mục tiêu (spear phishing) là có thật, và vụ rò rỉ này cho phép điều đó. Hơn nữa, ngay cả một cơ hội nhỏ bị tấn công cũng không có nghĩa là mọi người nên ngồi yên và chờ đợi nó xảy ra. Có lý do các công ty khuyến nghị thay đổi mật khẩu khi một dịch vụ bị xâm nhập, ngay cả khi dịch vụ đó nói rằng mật khẩu của họ đã được băm (hashed) và thêm muối (salted). Các hướng dẫn hiện đại phân biệt rõ ràng giữa việc xoay vòng mật khẩu định kỳ và đặt lại mật khẩu theo sự kiện, và một sự nghi ngờ hợp lý là quá đủ để chuyển từ xoay vòng định kỳ sang đặt lại theo sự kiện. Khi không có thông tin, thận trọng luôn là động thái tốt hơn.
Tôi không nói rằng bạn phải mất ngủ vì vụ rò rỉ này, nhưng có vẻ như sự kiện này đã làm nổi bật sự thiếu quan tâm rộng rãi hơn đối với việc rò rỉ dữ liệu cá nhân và bảo mật cá nhân. Mặc dù Valve về mặt kỹ thuật đúng khi nói rằng số điện thoại không được liên kết trực tiếp với tài khoản, nhiều số này có thể được liên kết với tài khoản bằng một số nỗ lực. Tôi cho rằng bất kỳ ai đang sử dụng mật khẩu yếu mà biết rằng họ nằm trong các bộ dữ liệu khác nên thay đổi mật khẩu của mình, bởi vì bất kỳ ai mua bộ dữ liệu này đều có ý định sử dụng nó cho các nỗ lực lừa đảo và kết hợp nó với các bộ dữ liệu khác. Các bộ dữ liệu có thể được liên kết với nhau để xây dựng một bức tranh chính xác về con người bạn, điều này giúp việc lừa đảo mục tiêu dễ dàng hơn, và đây là một bộ dữ liệu nữa để thêm vào đống đó. Trong trường hợp xấu nhất, một bộ dữ liệu ban đầu bị rò rỉ có thể là dấu hiệu cho nhiều điều sắp xảy ra, mặc dù chúng ta biết rằng điều đó có thể không xảy ra ở đây. Ít nhất, hãy coi đây là cơ hội để sử dụng trình quản lý mật khẩu và cải thiện mật khẩu cũng như bảo mật tổng thể của bạn. Rốt cuộc, rất nhiều bộ dữ liệu đã được bán và truyền tay nhau chỉ để xuất hiện lần đầu tiên vài tháng sau đó.