Valve đang gặp vấn đề bảo mật, và đây không còn là điều họ có thể phớt lờ. Việc phát hiện gần đây rằng trò chơi Chemia, có sẵn thông qua chương trình Early Access của Steam, đã bí mật phát tán phần mềm độc hại không chỉ là một dấu hiệu đáng báo động. Đó là một hồi còi cảnh báo nhấp nháy cho chúng ta thấy rằng hệ thống của Steam đang bị lỗi - và người dùng đang bị phơi nhiễm.
Không chỉ là Chemia có phần mềm độc hại. Vấn đề là nó xảy ra dễ dàng như thế nào, Valve đã âm thầm gỡ bỏ trò chơi ra sao, và công ty đã hoàn toàn vắng bóng trong việc đưa ra bất kỳ lời giải thích hay sự giúp đỡ nào cho những người đã tải xuống nó. Nếu Valve muốn tiếp tục gọi Steam là một nền tảng an toàn và đáng tin cậy, họ cần phải hành động như vậy. Hiện tại, họ đang thất bại.
Valve Phải Khắc Phục Lỗ Hổng Bảo Mật Của Steam
Early Access Của Steam Là Một Lỗ Hổng Bảo Mật
Nói thẳng ra: phần Early Access của Steam là một lỗ hổng. Valve sử dụng nó như một cách để các nhà phát triển độc lập thử nghiệm các trò chơi chưa hoàn thiện trong thực tế, điều này nghe có vẻ tốt về mặt lý thuyết. Nhưng trên thực tế, nó đã trở thành một điểm mù - một điểm mà tin tặc đang khai thác.
Chemia là trò chơi Early Access thứ ba trong năm nay bị phát hiện phát tán phần mềm độc hại. Trước đó, có Sniper: Phantom’s Resolution và PirateFi. Tất cả đều lọt qua quy trình của Steam. Tất cả đều được phép lên nền tảng mà không được quét đúng cách. Đó không phải là tai nạn - đó là một quy luật.
Valve có thể lập luận rằng các trò chơi game Early Access là "người mua tự chịu trách nhiệm", nhưng đó không phải là lời bào chữa khi có phần mềm độc hại. Người dùng không chỉ tải xuống các trò chơi bị lỗi. Họ đã vô tình cấp quyền truy cập vào hệ thống của họ cho tin tặc, bao gồm cả thông tin nhạy cảm như khóa ví tiền điện tử và mật khẩu trình duyệt. Điều đó đã vượt qua một ranh giới - một ranh giới mà Valve lẽ ra phải bảo vệ.
Valve Phải Khắc Phục Lỗ Hổng Bảo Mật Của Steam
Sự Im Lặng Của Valve Là Vô Trách Nhiệm
Tệ hơn cả vụ vi phạm là cách Valve phản ứng. Hay đúng hơn là cách họ không phản ứng. Không có tuyên bố công khai, không có cảnh báo cho người chơi, không có nỗ lực giúp đỡ những người đã tải xuống Chemia trước khi nó bị gỡ bỏ. Trang cửa hàng của trò chơi giờ đây chỉ chuyển hướng đến trang chủ của Steam, như thể chưa có chuyện gì xảy ra.
Sự thiếu minh bạch này là không thể chấp nhận được. Khi một vụ vi phạm như thế này xảy ra, trách nhiệm tối thiểu của bất kỳ nền tảng nào là thông báo cho người dùng của mình. Thay vào đó, Valve đã âm thầm che đậy nó. Nó giống như kiểm soát thiệt hại, chứ không phải ngăn chặn thiệt hại.
Việc công ty từ chối thừa nhận những gì đã xảy ra gửi đi một thông điệp sai lầm: rằng các vụ vi phạm bảo mật có thể được xử lý một cách im lặng và người dùng không cần biết khi nào dữ liệu của họ gặp rủi ro.
Valve Phải Khắc Phục Lỗ Hổng Bảo Mật Của Steam
Mối Đe Dọa Vượt Ra Ngoài Steam
Điều đáng lo ngại hơn là ai đứng sau cuộc tấn công này. Phần mềm độc hại được truy tìm đến EncryptHub, một nhóm tin tặc còn được gọi là Larva-208, đã từng liên quan đến các chiến dịch lừa đảo toàn cầu trước đây. Đây không phải là một loại virus ngẫu nhiên bị gói gọn trong một trò chơi. Đó là một cuộc tấn công phối hợp được thiết kế để khai thác sự tin tưởng vào nền tảng Steam.
Phần mềm độc hại không chỉ lây nhiễm máy tính. Nó đã lấy các chỉ dẫn từ các kênh Telegram, tải xuống nhiều tệp độc hại hơn từ các tên miền đáng ngờ, và chạy âm thầm trong nền để tránh bị phát hiện. Và đúng vậy - nó đặc biệt nhắm mục tiêu vào dữ liệu ví tiền điện tử. Mặc dù Chemia không phải là một web3 game, nhưng phần mềm độc hại của nó rõ ràng nhắm đến người dùng web3.
Điều đó có nghĩa là sự giao thoa giữa gaming và crypto giờ đây chính thức nằm trong tầm ngắm của tin tặc. Bất kỳ ai có tài sản kỹ thuật số nên suy nghĩ kỹ trước khi tải xuống các trò chơi mới - ngay cả từ các nền tảng đáng tin cậy.
Valve Phải Khắc Phục Lỗ Hổng Bảo Mật Của Steam
Steam Không Thể Cứ Đẩy Trách Nhiệm Này Cho Người Dùng
Các chuyên gia bảo mật hiện đang khuyên mọi người quét hệ thống của họ và kiểm tra các dấu hiệu nhiễm trùng. Và mặc dù đó là lời khuyên tốt, nó cũng làm nổi bật vấn đề lớn hơn: gánh nặng đang được chuyển sang cho người dùng, những người không có lý do gì để nghi ngờ có điều gì đó sai trái ngay từ đầu.
Hãy nói rõ ràng - việc kiểm tra các tệp trò chơi xem có phần mềm độc hại hay không không phải là công việc của game thủ bình thường. Đó là công việc của Valve. Nhưng hiện tại, Steam không chỉ thất bại trong việc ngăn chặn các cuộc tấn công này - mà còn từ chối chịu trách nhiệm sau đó. Đó là một thất bại lớn về khả năng lãnh đạo và trách nhiệm. Cách tiếp cận này không bền vững. Valve càng coi bảo mật là vấn đề của người khác, họ càng mời gọi tin tặc lợi dụng. Và họ sẽ làm vậy - bởi vì họ đã và đang làm.
Valve Có Sức Mạnh Để Khắc Phục Điều Này
Valve không phải là một startup nhỏ đang vật lộn với nguồn lực hạn chế. Họ điều hành một trong những nền tảng game kỹ thuật số lớn nhất thế giới. Họ có tiền, tài năng và cơ sở hạ tầng để triển khai các biện pháp bảo vệ mạnh mẽ hơn, hệ thống phát hiện tốt hơn và một quy trình rõ ràng để xử lý các sự cố như thế này.
Không có lời bào chữa nào cho việc cho phép các trò chơi chứa phần mềm độc hại lên nền tảng vào năm 2025. Không có lời bào chữa nào cho việc không thông báo cho người dùng. Và chắc chắn không có lời bào chữa nào cho việc giả vờ như chưa có chuyện gì xảy ra.
Valve cần phải dọn dẹp chương trình Early Access của mình. Họ cần giới thiệu quét phần mềm độc hại theo thời gian thực, kiểm tra các bản tải lên của nhà phát triển và áp đặt các quy tắc nghiêm ngặt hơn để đẩy các bản cập nhật lên các trò chơi đang hoạt động. Họ cũng cần bắt đầu trung thực với cộng đồng của mình khi có sự cố xảy ra.
Đây không phải là về sự hoàn hảo. Đây là về việc chịu trách nhiệm.
