Vụ rò rỉ dữ liệu VRChat ảnh hưởng 2,4 triệu người dùng: Công ty im lặng và không cung cấp dịch vụ bảo vệ

Nền tảng trò chuyện trực tuyến VRChat vừa xác nhận một sự cố bảo mật nghiêm trọng xảy ra trong môi trường đám mây (cloud) của họ, dẫn đến việc lộ thông tin của gần 2,5 triệu người dùng. Công ty đã xác nhận "sự cố an ninh dữ liệu" này trong một báo cáo gửi đến Tổng chưởng lý bang Maine (Mỹ), nhưng đáng chú ý là họ chưa hề công bố thông tin này qua bất kỳ kênh chính thức nào dành cho cộng đồng người dùng.

Theo báo cáo, môi trường đám mây của VRChat đã bị xâm nhập trái phép trong khoảng thời gian từ ngày 10 đến ngày 12 tháng 5. Kẻ tấn công đã trích xuất thông tin liên quan đến 2.436.782 tài khoản người dùng.

Chi tiết dữ liệu bị ảnh hưởng

VRChat cho biết các dữ liệu bị lấy cắp bao gồm:

• Tên người dùng (username) và địa chỉ email.
• Trạng thái đăng ký dịch vụ VRChat+.
• Lịch sử đăng nhập (bao gồm thông tin thiết bị, định danh phần cứng và địa chỉ IP).
• ID người dùng từ các tài khoản liên kết như Steam hoặc Meta.

Tuy nhiên, công ty khẳng định không có bằng chứng cho thấy mật khẩu, thông tin thẻ tín dụng hay dữ liệu thanh toán khác, cũng như các giấy tờ tùy thân dùng để xác minh độ tuổi bị ảnh hưởng trong vụ việc này.

Phản ứng của công ty và tranh cãi

Trong bản công bố của mình, VRChat stated: "VRChat chân thành xin lỗi vì sự cố bảo mật này đã xảy ra. Chúng tôi hiểu rằng niềm tin giữa nền tảng và cộng đồng được xây dựng qua hành động nhất quán, và chúng tôi nhận toàn bộ trách nhiệm về lo ngại mà sự kiện này gây ra. An ninh và quyền riêng tư của thông tin người chơi vẫn là ưu tiên cao nhất của chúng tôi, và chúng tôi cam kết sẽ làm mọi thứ trong khả năng để bảo vệ nó."

Sau khi phát hiện sự xâm nhập, VRChat cho biết họ đã cô lập mối đe dọa, triển khai các biện pháp kiểm soát bảo mật bổ sung và thuê các chuyên gia bảo mật bên ngoài để hỗ trợ.

Tuy nhiên, một động thái bất thường đối với các vụ vi phạm dữ liệu tại Mỹ là VRChat đã không đề nghị cung cấp dịch vụ giám sát danh tính (identity theft monitoring) hay giám sát tín dụng cho người dùng. Mặc dù việc này không phải là yêu cầu pháp lý bắt buộc, nhưng nó là một thông lệ phổ biến và được mong đợi, đặc biệt là đối với các vụ tấn công ảnh hưởng đến hàng triệu cá nhân như vậy.

Về VRChat

VRChat là một nền tảng trò chuyện trực tuyến thế giới mở, nơi người dùng có thể đi lại và tương tác với nhau thông qua các hình đại diện (avatar) 3D. Nền tảng này hỗ trợ cả kính thực tế ảo (VR) và máy tính thông thường.

Được so sánh với Second Life, VRChat cho phép người dùng khám phá các thế giới do người khác tạo ra, chơi các mini-game và trò chuyện tự do. Nó cũng được xem là một phiên bản thực tế hơn của tầm nhìn về vũ trụ ảo (metaverse) mà Meta từng theo đuổi, nhưng không có các cuộc họp công việc hay KPI nhàm chán, và với số lượng người dùng đông đảo hơn rất nhiều. Ra mắt lần đầu vào năm 2014, nền tảng này đã phát triển lên đến hàng triệu người dùng, với hàng chục triệu nội dung độc đáo được cộng đồng tạo ra.