Konta PlayStation w niebezpieczeństwie. Włamywacze omijają 2FA z pomocą… supportu Sony

Eksperci z serwisu Niebezpiecznik nagłośnili krytyczny problem związany z bezpieczeństwem kont w sieci PlayStation Network (PSN).

Okazuje się, iż gracze mogą stracić dostęp do swojej cyfrowej biblioteki gier, choćby jeżeli rygorystycznie przestrzegają zasad cyberhigieny. Atakującym nie jest potrzebny złośliwy kod, wirusy ani skomplikowany phishing. Wystarczy im… kontakt z pomocą techniczną Sony.

Dramatycznie słaba weryfikacja

Z relacji ekspertów ds. cyberbezpieczeństwa wynika, iż proces odzyskiwania konta w systemach PlayStation opiera się na absurdalnie łatwych do zdobycia danych. Aby przejąć czyjś profil, wyłączyć uwierzytelnianie dwuetapowe (2FA) i zmienić przypisany do niego adres e-mail, włamywacz potrzebuje jedynie dwóch rzeczy:

• Publicznego identyfikatora PSN ID (który z założenia jest widoczny dla innych graczy).
• Numeru starej transakcji (najczęściej pełnego numeru zamówienia ze sklepu) LUB czterech ostatnich cyfr karty płatniczej, która była kiedykolwiek przypisana do tego konta.

Zdobycie tych danych nie stanowi dla wprawnych cyberprzestępców większego wyzwania. Końcówki numerów kart regularnie pojawiają się w masowych wyciekach danych z różnych sklepów internetowych. W przypadku streamerów lub twórców wideo, takie informacje potrafią również przypadkowo mignąć na ekranie podczas poruszania się po ustawieniach konsoli w trakcie transmisji na żywo.

Support jako narzędzie ataku

Mając w ręku cudzy PSN ID oraz końcówkę karty, atakujący po prostu kontaktuje się z pomocą techniczną Sony (dzwoni na infolinię lub korzysta z narzędzi do odzyskiwania) i podaje się za prawowitego właściciela. Zdumiewający jest fakt, iż support uznaje te wyrywkowe informacje za wystarczające do pełnego zresetowania zabezpieczeń. Pracownik obsługi wyłącza 2FA i przypisuje do konta nowy e-mail, co w praktyce oddaje nasz profil w ręce hakera na tacy.

Jak chronić swoje konto PSN?

Ponieważ wina leży w tym przypadku całkowicie po stronie wadliwych procedur Sony, tradycyjne metody ochrony (jak silne hasła) nie wystarczą. Eksperci z Niebezpiecznika radzą jednak, jak zminimalizować ryzyko ataku:

• Nigdy nie chwal się paragonami: unikaj publikowania w sieci zdjęć paragonów, rachunków czy zrzutów ekranu potwierdzających zakupy w PS Store. Ukryte tam numery zamówień to wytrych do Twojego konta.
• Używaj jednorazowych kart wirtualnych: do opłacania zakupów w PlayStation (i innych usługach cyfrowych) najlepiej używać wirtualnych, jednorazowych kart płatniczych (oferowanych m.in. przez aplikacje bankowe i fintechy). Dzięki temu choćby jeżeli dane z karty wyciekną, będą one dla włamywacza bezużyteczne.
• Zachowaj numer seryjny konsoli: w przypadku utraty konta kluczowym dowodem dla supportu na to, iż to Ty jesteś prawowitym właścicielem, będzie numer seryjny konsoli, na której to konto zostało pierwotnie założone, oraz szczegółowa lista bardzo starych transakcji. Warto mieć te dane zapisane w bezpiecznym miejscu.

Do czasu uszczelnienia procedur weryfikacyjnych przez Sony, gracze muszą zachować szczególną ostrożność w zarządzaniu swoimi danymi płatniczymi powiązanymi z ekosystemem PlayStation.

Foxconn zaatakowany ransomware

Jeśli artykuł Konta PlayStation w niebezpieczeństwie. Włamywacze omijają 2FA z pomocą… supportu Sony nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.