Nicolas Lellouche, Journalist der Website Numerama, verlor den Zugriff auf sein Konto auf PlayStation. Der Angreifer änderte die zugehörige E-Mail-Adresse und das Passwort und berechnete über verknüpftes PayPal 9,99 Euro für die Änderung des Benutzernamens. Der Fall ereignete sich bei França und erlangte Auswirkungen, nachdem Lellouche Einzelheiten in den sozialen Medien teilte. Der Hack ereignete sich innerhalb weniger Stunden zweimal und zeigte eine Schwachstelle im Prozess zur Überprüfung der Kontoinhaberschaft durch den Sony-Support auf.
Der Hacker nutzte Social Engineering, um den PlayStation-Support davon zu überzeugen, dass er der rechtmäßige Besitzer des Kontos war. Ele stellte lediglich den Benutzernamen und eine Transaktions-ID-Nummer aus einem alten Kauf bereit, die einem von Lellouche im Jahr 2023 öffentlich geteilten Screenshot entnommen wurde.
Lellouche stellte das Konto vorübergehend wieder her, nachdem er den Support kontaktiert hatte, aber der Angreifer wiederholte den Vorgang kurz darauf und zeigte damit, dass die Methode mehrmals angewendet werden kann, ohne dass Warnungen im System angezeigt werden.
Wie es zur ersten Invasion kam
Der Journalist erhielt Benachrichtigungen über eine Änderung der Verbindungs-ID und eine unerwartete Belastung bei PayPal. Als er versuchte, auf das Konto zuzugreifen, stellte er fest, dass die E-Mail-Adresse und das Passwort geändert worden waren und die Verbindung zu seiner PS5-Konsole aus der Ferne unterbrochen wurde. Der Hacker, der in internen PSN-Nachrichten als „Derol Bodden“ identifiziert wurde, entfernte Freunde, Konversationen und veränderte persönliche Daten aus dem Konto.
Lellouche kontaktierte den Angreifer direkt über Nachrichten auf der PlayStation-Plattform. Der Hacker erklärte den Vorgang und gab an, dass die Sony-Unterstützung nur minimale Überprüfungen erfordert, um den Kontobesitz zu übertragen.
Schwächen im Supportprozess
Der PlayStation-Support akzeptierte die Transaktions-ID als eindeutigen Eigentumsnachweis, ohne dass zusätzliche Daten wie das Geburtsdatum oder die vollständige Zugriffshistorie erforderlich waren. Die Essa-Praxis erleichtert Social-Engineering-Betrügereien, bei denen der Angreifer den Supportmitarbeiter dazu überredet, Änderungen ohne strenge Validierungen vorzunehmen.
Sicherheitsexperten weisen darauf hin, dass Informationen wie Transaktionsnummern, Seriennummern von alten Konsolen oder Daten von zuvor verknüpften Karten auf die gleiche Weise genutzt werden können. Hackers sammelt diese Daten aus Screenshots, die online geteilt werden, einschließlich in Nachrichtenberichten oder Foren.
- Vermeiden Sie es, Bilder von PSN-E-Mails oder Rechnungen zu veröffentlichen, auf denen Transaktions-IDs zu sehen sind.
- Geben Sie keine Konsolenseriennummern oder Details früherer Käufe weiter.
- Nutzen Sie Prepaid-Karten für Einkäufe im digitalen Geschäft und begrenzen Sie so die finanziellen Risiken.
- Überwachen Sie regelmäßig Zugriffsbenachrichtigungen und Kontoänderungen.
Wiederherstellung und Wiederholung des Angriffs
Nach der ersten Wiederherstellung hat Lellouche die Sicherheit reaktiviert und die Anmeldeinformationen geändert. Doch in weniger als einer Stunde nahm der Hacker erneut Kontakt mit dem Support auf und erlangte die Kontrolle zurück. Das System hat mehrere aufeinanderfolgende Anfragen für dasselbe Konto nicht als verdächtig gekennzeichnet.
Der Journalist hat ein neues Support-Ticket eröffnet, das noch analysiert wird. Ele plant, weitere Untersuchungen zu dem Fall zu veröffentlichen.
Empfohlene Schutzmaßnahmen
PSN-Benutzer müssen ihre Sicherheitsgewohnheiten verstärken, um Gefährdungen zu minimieren. Die Aktivierung von 2FA und Passkeys schützt vor direktem Eindringen, jedoch nicht vor Manipulation durch menschliche Unterstützung.
Experten schlagen vor, dauerhafte Zahlungsarten vom Konto zu entfernen und auf einmalige zusätzliche zu setzen. Além Überprüfen Sie außerdem alte Social-Media-Beiträge, um alle sensiblen PlayStation-bezogenen Daten zu löschen.
- Aktivieren Sie E-Mail-Benachrichtigungen für alle Kontoänderungen.
- Verwenden Sie Passwort-Manager für einzigartige und komplexe Anmeldeinformationen.
- Vermeiden Sie die direkte Verknüpfung von Kreditkarten; bevorzugen Geldbörsen oder Geschenkkarten.
- Bei Verdacht wenden Sie sich umgehend an den Support und legen Sie einen Eigentumsnachweis vor.
Geschichte ähnlicher Probleme
Fälle von PSN-Kontodiebstahl über den Support treten regelmäßig auf und betreffen Trophäensammler und normale Benutzer. Bei früheren Vorfällen verkauften Hacker wertvolle Konten auf dem Schwarzmarkt, nachdem sie sich ähnlichen Zugang verschafft hatten.
Sony wurde kritisiert, weil es keine robusteren Prüfungen wie Passphrasen oder die Analyse von Zugriffsmustern implementierte. Até Zu diesem Zeitpunkt hat das Unternehmen den Fall Lellouche nicht öffentlich kommentiert.
Auswirkungen auf die Gaming-Community
Der Bericht ging in sozialen Netzwerken und Gaming-Foren viral und löste Debatten über die Zuverlässigkeit des PSN für umfangreiche digitale Bibliotheken aus. Jogadores äußern Bedenken hinsichtlich Investitionen in Spiele und Inhalte, die dauerhaft verloren gehen könnten.
Communities empfehlen die Speicherung von Backups in der Cloud und eine ständige Überwachung. Der Vorfall unterstreicht die Bedeutung des Online-Datenschutzes beim gelegentlichen Teilen.
Abschließende Sicherheitsrichtlinien
Durch die Geheimhaltung persönlicher Daten wird verhindert, dass Hacker an Informationen gelangen, die sie für Support-Betrügereien benötigen. Die Kombination starker digitaler Tools mit Vorsicht bei der Öffentlichkeitsarbeit bietet einen besseren Schutz.
Betroffene Benutzer sollten ungerechtfertigte Gebühren bei Banken oder PayPal beanstanden und alle Interaktionen mit dem Support für mögliche Eskalationen dokumentieren.
