Bảo mật 3 bước của Vietnam Esports có thể tạo lỗ hổng cho hacker lợi dụng

Theo nhiều game thủ nhận định, nguyên nhân chủ yếu nằm ở chính sách bảo mật tài khoản mới của Vietnam Esports. Để tăng cường bảo mật tài khoản người dùng, mọi tài khoản Garena đều có thể đăng ký thêm bảo mật bước thứ 3 (bao gồm câu hỏi bảo mật và mã tổng đài hỗ trợ).

Nhìn sơ qua, việc mang lại tới 3 lớp bảo mật sẽ giúp các game thủ bảo vệ tài khoản của mình (vốn gắn liền với đồng tiền họ đã đầu tư) tốt hơn, nhưng nếu soi kỹ vào, thì tầng bảo vệ cấp 3 này lại vô tình mở ra một lỗ hổng cực lớn có thể bị các hacker lợi dụng để chiếm hữu hoàn toàn tài khoản người dùng.

Và câu chuyện bị hack mất hoàn toàn tài khoản dựa trên lỗ hổng bảo mật cấp 3 này đã xảy ra trong thực tế. Theo ghi nhận của Thanh Niên Game, chỉ một thời gian ngắn sau khi áp dụng quy trình này thì đã có các tài khoản của game thủ bị hack mất mặc dù đã đăng ký email và số điện thoại xác thực trong bước bảo mật cấp 2. Vậy lỗ hổng bảo mật trong quy trình bảo vệ 3 lớp này nằm ở đâu? Hãy cùng Thanh Niên Game tìm hiểu. 

• Đầu tiên, nếu muốn hoàn toàn chiếm hữu tài khoản của gamer, các hacker buộc phải hack được password và truy cập được vào các tài khoản đó. Điều này hoàn toàn có thể làm được, và trên thực tế rất nhiều game thủ sơ hở đã "dính đòn" khi quên log out tại phòng máy, bị dính phần mềm keylog, sử dụng chung tài khoản với người khác hoặc dính bẫy từ các đường link giả dạng, dụ dỗ của hacker.

Chiếm được password và truy cập vào tài khoản

• Sau khi truy cập được vào tài khoản, các hacker có thể dễ dàng thay đổi thông tin bảo mật cấp 2 (bao gồm thông tin cá nhân, thông tin trên Chứng minh nhân dân...), cùng lúc đó là tạo các thông tin bảo mật cấp 3 như câu hỏi bảo mật và mã số tổng đài hỗ trợ.

Thông tin bảo mật cấp 2

Thông tin bảo mật cấp 3. Tất cả đều có thể bị thay đổi.

• Cuối cùng, hacker có thể gọi điện thoại trực tiếp đến tổng đài hỗ trợ, sử dụng các thông tin bảo mật cấp 2 và 3 mà họ biết được và yêu cầu thay đổi email hoặc số điện thoại đã đăng ký, thậm chí cả mật khẩu cấp 1 - 2 trong game. Sau 3 bước này, tất cả các thông tin từ chủ nhân của tài khoản sẽ bị xóa sạch và hacker trở thành chủ nhân của tài khoản đó.

Trong vài ngày gần đây, ngoài những topic hoặc comment nêu lên bức xúc về việc mất tài khoản được đăng trên diễn đàn, thì nếu dạo quanh các khu "chợ đen" mua bán tài khoản, điều mà Thanh Niên Game ghi nhận là một sự xôm tụ bất thường trong các post rao bán tài khoản. Thậm chí có những lúc một số trang còn rao bán số lượng lớn từ 30 - 50 tài khoản, thậm chí lên đến hàng trăm với giá "rẻ bèo". Số tài khoản này, trừ khi hàng triệu game thủ Liên Minh Huyền Thoại đột nhiên đồng loạt nghỉ game và bán tài khoản rẻ như cho, thì chỉ có thể xuất phát từ các thành phần xấu trục lợi từ chính sơ hở của game thủ và trong phương pháp quản lý.

Dạo trong diễn đàn hỗ trợ của Vietnam Esports, có thể thấy một số ý kiến của game thủ tâm huyết về vấn đề này. Thậm chí, có "khổ chủ" còn bức xúc viết cả tâm thư lên diễn đàn, nhưng khổ thay bức "tâm thư" này lại nằm lọt thỏm trong một topic và dường như không có mấy ai quan tâm, hoặc nhìn thấy được.

Bên cạnh đó, khi theo dõi nhiều topic trên diễn đàn, sẽ dễ nhìn thấy câu trả lời chung của đội ngũ hỗ trợ, yêu cầu "lên văn phòng nếu có tranh chấp tài khoản". Tuy nhiên, điều chúng tôi thắc mắc ở đây, là nếu tất cả các thông tin từ người dùng thật đã bị thay đổi hoàn toàn, thì họ lấy gì để có thể chứng minh được mình là chủ sở hữu chính đáng của tài khoản đó? Chưa kể, việc... "lên phường giải quyết" này còn có thể làm ngao ngán bất cứ những ai có ý định, bởi những cách trở có thể xảy ra về địa lý, thời gian, công việc...

Trong tình hình quy trình bảo mật mới vừa được Vietnam Esports đưa ra hiện nay, có thể có những lỗ hổng giúp hacker có thể trục lợi, để tránh các trường hợp đáng tiếc, các game thủ hãy luôn nhớ những điều sau:

• Tuyệt đối không nên chia sẻ tài khoản cá nhân của mình cho bất kỳ người nào.
• Để ý thoát tài khoản khi chơi ở phòng máy.
• Đăng ký nhanh bảo mật bước 3 để tránh tình trạng đáng tiếc nhất khi tranh chấp.

Hiện nay số lượng các trang web lừa đảo và những tài khoản gửi đường dẫn lừa đảo trong Garena Plus rất nhiều. Chưa kể tình trạng sử dụng tool hack trong Liên Minh Huyền Thoại chưa được giải quyết thì lại thêm một câu đố khác dành cho Vietnam Esports. Với tình hình hiện tại, thiết nghĩ nhà phát hành Vietnam Esports nên tìm ra phương án bảo mật tốt hơn nhằm bảo vệ khách hàng của mình.