Недавнее происшествие с участием французского технического журналиста выявило потенциальную уязвимость в процессе восстановления учётных записей PlayStation Network. Эксперты и пользователи обеспокоены тем, что служба поддержки Sony недостаточно проверяет право собственности на учётную запись, создавая уязвимость, которую можно эксплуатировать.
Первоначальные сообщения указывали на то, что учетные записи PlayStation подвергаются взлому, несмотря на использование надежных мер безопасности, таких как двухфакторная аутентификация и passkeys. Однако теперь выясняется, что проблема не в самих этих функциях, а в уязвимостях в том, как служба поддержки PlayStation обрабатывает восстановление учетных записей.
Кто пострадал и как произошел взлом аккаунта?
Журналист с Numerama первым обратил внимание на эту проблему, объяснив, что его учётная запись PlayStation Network была взломана дважды в течение всего нескольких часов.
Даже при наличии надёжного пароля, двухфакторной аутентификации и ключа доступа с использованием отпечатка пальца или распознавания лица, учётная запись всё равно была скомпрометирована.
В обоих случаях злоумышленник изменил адрес электронной почты учётной записи, внёс незначительное платное изменение в имя пользователя и лишил первоначального владельца доступа к любым сервисам PlayStation, таким как консоли и приложения.
Почему процесс восстановления рассматривался как основная проблема?
Наибольшее беспокойство вызывало то, как легко можно было захватить аккаунт. Сообщения указывают на то, что служба поддержки PlayStation предоставляла доступ, просто подтвердив имя пользователя PSN и номер предыдущей транзакции покупки во время телефонного разговора.
Я не мог поверить, насколько это было легко! Они не попросили сбросить пароль, даже не отправили письмо с подтверждением, и мне не понадобились никакие коды или passkeys. Серьёзно, мой аккаунт снова заработал всего за несколько минут – это было потрясающе!
Но вскоре после этого злоумышленник смог вернуть себе доступ к учётной записи, используя те же шаги восстановления. Это указывает на то, что система проверки разрешала использовать один и тот же процесс несколько раз без активации каких-либо мер безопасности.
Журналист напрямую поговорил с злоумышленником, который заявил, что получил доступ к учетной записи, используя только общедоступную информацию.
Журналист неосознанно поделился скриншотом в сети, который содержал номер транзакции, изначально полагая, что это не конфиденциальная информация. Оказалось, что номер на самом деле был частью транзакции.
Используя этот номер телефона и публичное имя пользователя учётной записи, злоумышленник якобы выдавал себя за владельца учётной записи при запросе восстановления доступа и успешно обманул службу поддержки PlayStation, чтобы несколько раз перевести право собственности.
Это ошибка безопасности или случай социальной инженерии?
Событие немедленно вызвало дебаты среди геймеров. Многие назвали это явным примером манипулирования пользователями с целью получения информации, подчеркнув важность сохранения конфиденциальности деталей транзакций.
Вместо взлома безопасности PlayStation, злоумышленник воспользовался ошибкой пользователя – распространённым риском для любого онлайн-сервиса.
Однако многие не согласились, объясняя, что современные системы многофакторной аутентификации предназначены для предотвращения взлома аккаунтов, даже если личные данные были скомпрометированы.
Эксперты по безопасности отмечают, что такие вещи, как номера транзакций, адреса электронной почты и имена пользователей, все считаются ‘информацией, основанной на знаниях’ – то есть это детали, которые люди знают, а не присущие им черты.
Если ключи доступа и двухфакторная аутентификация могут быть обойдены без необходимости использования физического устройства, сканирования отпечатка пальца или подтверждения по электронной почте, то вся суть этих мер безопасности сводится на нет.
Некоторые рецензенты задавались вопросом, почему система не заметила или не предотвратила множественные, быстрые попытки доступа к одной и той же учётной записи, и почему она не запросила дополнительную проверку в этом случае.
Насколько широко может быть потенциальный риск?
Что особенно тревожит, так это масштабность этой проблемы. Имена пользователей PlayStation Network видны всем, а доказательства покупок – такие как номера транзакций – можно найти в таких местах, как электронные письма, выписки по платежам, скриншоты и даже сохраненные резервные копии.
Если служба поддержки регулярно принимает эти данные в качестве доказательства владения аккаунтом, то учётные записи с большим количеством цифрового контента могут быть под угрозой, даже если кто-то не получит ваш пароль.
Хотя мы не обнаружили никаких доказательств широкомасштабной, автоматизированной атаки, эта ситуация показывает, что методы восстановления могут быть уязвимы, если приоритет отдается простоте использования, а не надежной безопасности.
После того, как ситуация развернулась, PlayStation предприняла дальнейшие действия: они расследовали проблему, ненадолго приостановили доступ к учётной записи, вызвавшей вопросы, и запросили обширные доказательства личности. Это включало оригинальные данные учётной записи и личную информацию для подтверждения владения.
Это указывает на то, что, хотя более строгие меры безопасности и присутствуют, они не всегда используются сразу при попытке восстановить доступ.
Журналист всё ещё ждёт окончательного решения, и Sony не сообщила, изменит ли она свой подход к аналогичным ситуациям в будущем.
Для получения большего количества подобных материалов оставайтесь с нами на Gfinityesports.com, лучшем веб-сайте с новостями об играх.
Смотрите также
- Chaos Zero Nightmare Team Composition Guide and Tips
- Обзор Battlefield 6: Всё, что вам нужно знать о кампании, мультиплеере и режиме королевской битвы
- Событие Pokémon Unite Mega Charizard Y 10,000-Meter Challenge: вот как получить Mega Charizard Y бесплатно.
- The Seamless Dream: Killing The VR Loading Screen
- Вышел ли из строя Duet Night Abyss? Как проверить статус сервера?
- Руководство по достижениям Silksong: Перечислены все 52 трофея
- STALKER 2 Обновление 1.008 добавляет контент «Stories Untold» бесплатно.
- Arc Raiders Expedition Wipe вызывает возмущение, поскольку разблокированные мастерские станции исчезли.
- Самый узнаваемый меч из Kingdom Come: Deliverance 2 можно приобрести за 1300 долларов.
- Лучшие предложения Чёрной пятницы для VR: Quest 3S, PSVR 2, Ray-Ban Meta & многое другое со значительными скидками.
2025-12-24 09:43