PSN / Depositphotos

Журналісту французького видання Numerama двічі не пощастило: його акаунт PSN зламати кілька разів, навіть попри складний пароль, двофакторну автентифікацію та ключ доступу.

В обох випадках зловмисники без проблем змінили пошту й пароль, а також витратили гроші з прив’язаних карток. З’ясувалося, що головна слабка ланка це процедура відновлення акаунта через підтримку Sony. Щоб підтвердити власність, достатньо було лише номера транзакції. А PlayStation Network не вимагала жодних додаткових перевірок або надісланий ключ доступу.

Зловмисник дістав потрібний номер зі старого скриншота, який власник колись виклав у мережі. Саме цей код і став “доказом” права на акаунт. Після першого зламу служба підтримки не насторожилася. Тож технічному журналіст Numerama Ніколя Лелуш відновив доступ до профіля через підтримку PlayStation. Але згодом зловмисник повторив схему зі старим скриншотом і вдруге зламав обліковий запис.

23 грудня постраждалий підтвердив, що найбільша прогалина залишається у самій логіці перевірки, кому належить PSN акаунт. За його словами, система дає можливість відновити профіль без жодних додаткових підтверджень і не звертає уваги навіть тоді, коли надходять кілька запитів поспіль щодо одного й того ж профіля.

Цікаво, що хакер вийшов на зв’язок із журналістом. У видаленому допису, що зберігся на Arubedo, журналіст написав про механізм схеми: трохи соціальної інженерії плюс доступ до внутрішніх інструментів підтримки. Все, що потрібно для зламу це мінімум даних, наприклад пошта чи номер транзакції. І не важливо, що акаунт має складний пароль або двофакторну автентифікацію. Всі бар’єри PSN можна обійти не буквально зламом, а через саму процедуру відновлення.

Розслідування триває. Поки що офіційної заяви від Sony щодо змін у процедурі підтримки поки немає. Тож можемо порадити не викладати скриншоти транзакцій або видалити наявні.

Хочеш знати більше, ніж ChatGPT 5? Підписуйся на ITC.ua у Telegram ПІДПИСАТИСЯ

Джерело: Wccftech