Μια πρόσφατη έρευνα του γαλλικού μέσου Numerama φέρνει στο φως μια κρίσιμη αδυναμία στα συστήματα ασφαλείας του PlayStation Network (PSN).
Η αποκάλυψη προέκυψε μετά την προσωπική εμπειρία ενός δημοσιογράφου, ο οποίος είδε τον λογαριασμό του να παραβιάζεται δύο φορές μέσα σε λίγες ώρες, παρά το γεγονός ότι είχε ενεργοποιημένη την προστασία Two-Factor Authentication (2FA) και Passkey.
Το περιστατικό αναδεικνύει τον τρόπο με τον οποίο η κοινωνική μηχανική (social engineering) μπορεί να παρακάμψει ακόμη και τα πιο σύγχρονα μέτρα προστασίας της Sony.
Η μέθοδος της επίθεσης και η ανάκτηση λογαριασμού
Σύμφωνα με το ρεπορτάζ του Nicolas Lellouche, ο εισβολέας κατάφερε να αποκτήσει πρόσβαση στον λογαριασμό του χρησιμοποιώντας μόνο το PSN Online ID και έναν αριθμό συναλλαγής από ένα παλιό τιμολόγιο. Ο δημοσιογράφος είχε δημοσιεύσει κατά λάθος μια φωτογραφία απόδειξης σε παλαιότερο άρθρο του, την οποία ο χάκερ χρησιμοποίησε για να πείσει την τηλεφωνική υποστήριξη της Sony ότι είναι ο νόμιμος κάτοχος.
Με αυτόν τον τρόπο, το τμήμα υποστήριξης απενεργοποίησε τις δικλείδες ασφαλείας και άλλαξε το email σύνδεσης, επιτρέποντας στον εισβολέα να πραγματοποιήσει αγορές ύψους 9,99 ευρώ για την αλλαγή του ονόματος χρήστη.
Το πιο ανησυχητικό στοιχείο της υπόθεσης είναι ότι ο λογαριασμός παραβιάστηκε ξανά μόλις μία ώρα μετά την πρώτη ανάκτησή του. Ο χάκερ, σε επικοινωνία που είχε με το θύμα, ισχυρίστηκε ότι έχει αναπτύξει μια εφαρμογή που διευκολύνει την πρόσβαση στους διακομιστές της εταιρείας, αν και ο ισχυρισμός αυτός δεν έχει ακόμη επιβεβαιωθεί.
Η διαδικασία επαλήθευσης της Sony φαίνεται να βασίζεται υπερβολικά σε ιστορικά στοιχεία αγορών, τα οποία αν διαρρεύσουν, καθιστούν τον λογαριασμό ευάλωτο σε μόνιμη απώλεια.
Επί του παρόντος, ο λογαριασμός του δημοσιογράφου παραμένει σε κατάσταση αναστολής για λόγους ασφαλείας, με την Sony να ζητά επιπλέον στοιχεία όπως την ημερομηνία γέννησης και το αρχικό email δημιουργίας.
Η εταιρεία δεν έχει προβεί σε επίσημη τοποθέτηση σχετικά με το αν σκοπεύει να αλλάξει τις διαδικασίες της τηλεφωνικής υποστήριξης. Οι ειδικοί συμβουλεύουν τους κατόχους PS4 και PS5 να αποφεύγουν τη δημοσίευση οποιουδήποτε αποδεικτικού αγοράς και να ελέγχουν τακτικά το ιστορικό των συναλλαγών τους.
Ακολουθήστε το XplayGR στο Google News για να μαθαίνετε πρώτοι όλες τις εξελίξεις από τον χώρο του gaming και της ψυχαγωγίας.
Δείτε όλες τις τελευταίες ειδήσεις στο XplayGR.com.
