PSN / Depositphotos
Журналисту французского издания Numerama дважды не повезло: его аккаунт PSN взломали несколько раз, даже несмотря на сложный пароль, двухфакторную аутентификацию и ключ доступа.
В обоих случаях злоумышленники без проблем изменили почту и пароль, а также потратили деньги с привязанных карточек. Выяснилось, что главное слабое звено это процедура восстановления аккаунта через поддержку Sony. Чтобы подтвердить собственность, достаточно было только номера транзакции. А PlayStation Network не требовала никаких дополнительных проверок или присланный ключ доступа.
Злоумышленник достал нужный номер из старого скриншота, который владелец когда-то выложил в сети. Именно этот код и стал «доказательством» права на аккаунт. После первого взлома служба поддержки не насторожилась. Поэтому техническому журналисту Numerama Николя Лелуш восстановил доступ к профилю через поддержку PlayStation. Но впоследствии злоумышленник повторил схему со старым скриншотом и во второй раз взломал учетную запись.
23 декабря пострадавший подтвердил, что самый большой пробел остается в самой логике проверки, кому принадлежит PSN аккаунт. По его словам, система дает возможность восстановить профиль без дополнительных подтверждений и не обращает внимания даже тогда, когда поступают несколько запросов подряд по одному и тому же профилю.
Интересно, что хакер вышел на связь с журналистом. В удаленном сообщении, сохранившемся на Arubedo, журналист написал о том как работает схема: немного социальной инженерии плюс доступ к внутренним инструментам поддержки. Все, что нужно для взлома это минимум данных, например почта или номер транзакции. И не важно, что аккаунт имеет сложный пароль или двухфакторную аутентификацию. Все барьеры PSN можно обойти не буквально взломом, а через саму процедуру восстановления.
Расследование продолжается. Пока официального заявления от Sony об изменениях в процедуре поддержки пока нет. Поэтому можем посоветовать не выкладывать скриншоты транзакций или удалить имеющиеся.
Источник: Wccftech
Контент сайту призначений для осіб віком від 21 року. Переглядаючи матеріали, ви підтверджуєте свою відповідність віковим обмеженням.
Cуб'єкт у сфері онлайн-медіа; ідентифікатор медіа - R40-06029.