Công ty Pokémon (The Pokémon Company) vừa qua đã tiến hành đặt lại mật khẩu cho một số tài khoản người dùng để đảm bảo an toàn thông tin. Theo thông báo từ phía hãng, đây là biện pháp phòng ngừa sau khi họ phát hiện những nỗ lực xâm nhập trái phép vào những tài khoản đó.
Trong tuần trước, trên trang web hỗ trợ chính thức của Pokémon có xuất hiện một cảnh báo: "Sau khi phát hiện hành vi xâm nhập trái phép nhằm vào hệ thống tài khoản của chúng tôi, công ty Pokémon đã chủ động khóa các tài khoản có khả năng bị tấn công." Hiện tại, cảnh báo này đã được gỡ bỏ.
Người phát ngôn của công ty Pokémon, ông Daniel Benkwitt, khẳng định không có vụ rò rỉ dữ liệu nào xảy ra, mà chỉ là một loạt các nỗ lực đăng nhập bất hợp pháp vào một số tài khoản.
Ông Benkwitt giải thích: "Hệ thống tài khoản không bị xâm phạm. Điều chúng tôi phát hiện và ngăn chặn là những nỗ lực đăng nhập vào một số tài khoản. Để bảo vệ khách hàng, chúng tôi đã đặt lại mật khẩu của những tài khoản này, dẫn đến cảnh báo trên trang web hỗ trợ."
Pokémon là thương hiệu game vô cùng nổi tiếng với hàng trăm triệu người chơi trên toàn thế giới.
Theo ông Benkwitt, chỉ có 0,1% tài khoản bị tin tặc nhắm vào thực sự đã bị xâm nhập thành công. Ông cũng nhấn mạnh rằng những người dùng bị ảnh hưởng đã được yêu cầu đặt lại mật khẩu, do đó những người dùng khác không cần phải làm gì.
Các chuyên gia cho rằng những nỗ lực tấn công này có thể liên quan đến phương thức "nhồi nhét thông tin xác thực" (credential stuffing). Trong phương thức này, tin tặc sử dụng tên đăng nhập và mật khẩu đánh cắp được từ các vụ rò rỉ dữ liệu khác để cố gắng truy cập vào tài khoản trên các nền tảng khác nhau.
Một ví dụ gần đây là vụ tấn công vào công ty xét nghiệm di truyền 23andMe vào năm ngoái. Khi đó tin tặc đã sử dụng mật khẩu bị rò rỉ từ các vụ tấn công khác để đột nhập vào khoảng 14.000 tài khoản. Sau khi xâm nhập các tài khoản này, tin tặc đã truy cập vào những dữ liệu di truyền cá nhân của hàng triệu người dùng 23andMe.
Sự cố này buộc 23andMe và một số đối thủ cạnh tranh khác phải triển khai xác thực hai yếu tố (2FA) bắt buộc. Tính năng này là một trong những cách giúp ngăn chặn các cuộc tấn công tương tự.
Hiện tại, công ty Pokémon không cung cấp tính năng xác thực hai yếu tố cho người dùng. Đây được xem là một lỗ hổng bảo mật đáng kể, có thể khiến người dùng dễ bị tấn công hơn.
Theo TechCrunch.