Вразливість у PlayStation Network дає змогу викрасти акаунт за іменем і номером транзакції

Французький журналіст заявив, що його обліковий запис PlayStation Network двічі зламали протягом кількох годин – попри використання двофакторної автентифікації та passkey. Інцидент, за його словами, виявив серйозну проблему у процедурі відновлення акаунтів компанії Sony.

Журналісту вдалося навіть поспілкуватися з хакером, який пояснив, як саме йому вдалося отримати доступ.

Як зламали акаунт PlayStation

Автор матеріалу розповідає, що його акаунт у PlayStation Network був захищений максимально можливими інструментами: унікальним паролем, 2FA та passkey з біометрією. Проте нещодавно він отримав повідомлення про зміну електронної пошти облікового запису, а згодом – сповіщення від PayPal про платіж на покупку від Sony.

Після цього акаунт виявився повністю відключеним: доступ зник із PS5, мобільного застосунку та вебверсії.

Роль служби підтримки Sony

Звернувшись до служби підтримки Sony, журналіст менш ніж за п’ять хвилин відновив доступ до акаунта – співробітнику було достатньо лише псевдоніма PSN та номера будь-якої старої транзакції, без додаткової перевірки особи, чим, як з’ясувалося згодом, і скористався зловмисник.

Повторний злам і контакт із хакером

Менш ніж за пів години після відновлення доступу акаунт знову було викрадено тим самим способом. Зрештою журналіст зміг зв’язатися з хакером, який зізнався, що для повторного захоплення облікового запису йому достатньо лише номера транзакції та псевдоніма.

За словами зловмисника, Sony дозволяє повторно підтвердити право власності на акаунт без перевірки пароля, особистих даних або особи власника.

Звідки хакер узяв номер транзакції

Журналіст визнав, що сам ненавмисно допустив витік даних. У старій публікації він розмістив скріншот електронного листа від Sony, де був видимий номер транзакції. Хоча зображення згодом видалили, його встигли зберегти та поширити.

Цього виявилося достатньо, щоб будь-хто міг багаторазово відновлювати доступ до акаунта через службу підтримки.

Після публікації історії інші користувачі повідомили про подібні випадки, зазначивши, що Sony приймає як доказ власності не лише номер транзакції, а й останні цифри банківської картки, серійний номер консолі або дані старих платіжних методів, що, на думку журналіста, робить систему відновлення акаунтів надто вразливою до зловживань.

Чи вдалося відновити акаунт

Після повторних звернень до підтримки Sony акаунт тимчасово заблокували через підозрілу активність. Компанія підтвердила, що з облікового запису було видалено всі дані, та пообіцяла провести перевірку, яка може тривати до 10 днів.

Водночас журналіст наголошує: проблема не у зламаному паролі чи passkey, а у надто спрощеній процедурі підтвердження власника акаунта.