Ο Nicolas Lellouche, δημοσιογράφος για τον ιστότοπο Numerama, έχασε την πρόσβαση στον λογαριασμό του στο PlayStation Ο εισβολέας άλλαξε το σχετικό email, τον κωδικό πρόσβασης και χρεώθηκε 9,99 ευρώ μέσω του συνδεδεμένου PayPal για να αλλάξει το όνομα χρήστη. Η υπόθεση σημειώθηκε στο França και απέκτησε επιπτώσεις αφού ο Lellouche μοιράστηκε λεπτομέρειες στα μέσα κοινωνικής δικτύωσης. Η εισβολή συνέβη δύο φορές μέσα σε λίγες ώρες, υπογραμμίζοντας μια αδυναμία στη διαδικασία επαλήθευσης ιδιοκτησίας λογαριασμού από την υποστήριξη Sony.
Ο χάκερ χρησιμοποίησε κοινωνική μηχανική για να πείσει την υποστήριξη του PlayStation ότι ήταν ο νόμιμος κάτοχος του λογαριασμού. Ο Ele παρείχε μόνο το όνομα χρήστη και έναν αριθμό αναγνωριστικού συναλλαγής από μια παλιά αγορά, που ελήφθη από ένα στιγμιότυπο οθόνης που κοινοποιήθηκε δημόσια από τον Lellouche το 2023. Το Essa ήταν αρκετές πληροφορίες για υποστήριξη για την παροχή πρόσβασης, παρακάμπτοντας όλα τα ενεργοποιημένα μέτρα ψηφιακής ασφάλειας.
Ο Lellouche ανέκτησε προσωρινά τον λογαριασμό αφού επικοινώνησε με την υποστήριξη, αλλά ο εισβολέας επανέλαβε τη διαδικασία λίγο αργότερα, δείχνοντας ότι η μέθοδος μπορεί να εφαρμοστεί πολλές φορές χωρίς ειδοποιήσεις στο σύστημα.
Πώς έγινε η αρχική εισβολή
Ο δημοσιογράφος έλαβε ειδοποιήσεις για μια αλλαγή στο αναγνωριστικό σύνδεσης και μια απροσδόκητη χρέωση στο PayPal. Όταν προσπάθησε να αποκτήσει πρόσβαση στον λογαριασμό, διαπίστωσε ότι το email και ο κωδικός πρόσβασης είχαν τροποποιηθεί και η κονσόλα του PS5 αποσυνδέθηκε εξ αποστάσεως. Ο χάκερ, που αναγνωρίστηκε ως “Derol Bodden” σε εσωτερικά μηνύματα PSN, αφαίρεσε φίλους, συνομιλίες και άλλαξε προσωπικά δεδομένα από τον λογαριασμό.
Ο Lellouche επικοινώνησε απευθείας με τον εισβολέα μέσω μηνυμάτων στην πλατφόρμα του PlayStation. Ο χάκερ εξήγησε τη διαδικασία, δηλώνοντας ότι η υποστήριξη Sony απαιτεί ελάχιστους ελέγχους για τη μεταφορά της ιδιοκτησίας του λογαριασμού.
Αδυναμίες στη διαδικασία υποστήριξης
Η υποστήριξη του PlayStation αποδέχτηκε το αναγνωριστικό συναλλαγής ως μοναδική απόδειξη ιδιοκτησίας, χωρίς να απαιτεί πρόσθετα δεδομένα όπως ημερομηνία γέννησης ή πλήρες ιστορικό πρόσβασης. Η πρακτική Essa διευκολύνει τις απάτες κοινωνικής μηχανικής, όπου ο εισβολέας πείθει τον παράγοντα υποστήριξης να κάνει αλλαγές χωρίς αυστηρές επικυρώσεις.
Οι ειδικοί ασφαλείας επισημαίνουν ότι πληροφορίες όπως αριθμοί συναλλαγών, σειριακούς αριθμούς από παλιές κονσόλες ή δεδομένα από προηγουμένως συνδεδεμένες κάρτες μπορούν να χρησιμοποιηθούν με τον ίδιο τρόπο. Το Hackers συλλέγει αυτά τα δεδομένα από στιγμιότυπα οθόνης που μοιράζονται στο διαδίκτυο, συμπεριλαμβανομένων των ειδήσεων ή των φόρουμ.
- Αποφύγετε τη δημοσίευση εικόνων email PSN ή τιμολογίων που εμφανίζουν αναγνωριστικά συναλλαγών.
- Μην κοινοποιείτε σειριακούς αριθμούς κονσόλας ή λεπτομέρειες προηγούμενων αγορών.
- Χρησιμοποιήστε προπληρωμένες κάρτες για αγορές στο ψηφιακό κατάστημα, περιορίζοντας τους οικονομικούς κινδύνους.
- Παρακολουθήστε τακτικά τις ειδοποιήσεις πρόσβασης και τις αλλαγές λογαριασμού.
Ανάκτηση και επανάληψη της επίθεσης
Μετά την πρώτη ανάκτηση, ο Lellouche επανενεργοποίησε την ασφάλεια και άλλαξε τα διαπιστευτήρια. Ωστόσο, σε λιγότερο από μία ώρα, ο χάκερ επανέλαβε την επαφή με την υποστήριξη και ανέκτησε τον έλεγχο. Το σύστημα δεν επισήμανε ως ύποπτα πολλαπλά διαδοχικά αιτήματα για τον ίδιο λογαριασμό.
Ο δημοσιογράφος άνοιξε νέο δελτίο υποστήριξης, το οποίο παραμένει υπό ανάλυση. Ο Ele σχεδιάζει να δημοσιεύσει περαιτέρω έρευνα για την υπόθεση.
Συνιστώμενα μέτρα προστασίας
Οι χρήστες PSN πρέπει να ενισχύσουν τις συνήθειες ασφαλείας για να ελαχιστοποιήσουν τις εκθέσεις. Η ενεργοποίηση 2FA και κλειδιών πρόσβασης προστατεύει από άμεση εισβολή, αλλά όχι από χειραγώγηση ανθρώπινης υποστήριξης.
Οι ειδικοί προτείνουν την κατάργηση μόνιμων τρόπων πληρωμής από τον λογαριασμό και την επιλογή πρόσθετων εφάπαξ. Além Επιπλέον, ελέγξτε παλιές αναρτήσεις στα μέσα κοινωνικής δικτύωσης για να διαγράψετε τυχόν ευαίσθητα δεδομένα που σχετίζονται με το PlayStation.
- Ενεργοποιήστε τις ειδοποιήσεις μέσω email για όλες τις αλλαγές λογαριασμού.
- Χρησιμοποιήστε διαχειριστές κωδικών πρόσβασης για μοναδικά και σύνθετα διαπιστευτήρια.
- Αποφύγετε τη απευθείας σύνδεση πιστωτικών καρτών. προτιμήστε πορτοφόλια ή δωροκάρτες.
- Εάν υπάρχει υποψία, επικοινωνήστε αμέσως με την υποστήριξη με απόδειξη ιδιοκτησίας.
Ιστορικό παρόμοιων προβλημάτων
Περιπτώσεις κλοπής λογαριασμού PSN μέσω υποστήριξης συμβαίνουν περιοδικά, επηρεάζοντας τους συλλέκτες τροπαίων και τους απλούς χρήστες. Σε προηγούμενα περιστατικά, χάκερ πούλησαν πολύτιμους λογαριασμούς στη μαύρη αγορά αφού απέκτησαν παρόμοια πρόσβαση.
Ο Sony αντιμετώπισε κριτική για τη μη εφαρμογή πιο αυστηρών ελέγχων, όπως φράσεις πρόσβασης ή ανάλυση μοτίβων πρόσβασης. Até Προς το παρόν, η εταιρεία δεν έχει σχολιάσει δημόσια την περίπτωση του Lellouche.
Αντίκτυπος στην κοινότητα του gaming
Η αναφορά έγινε viral στα κοινωνικά δίκτυα και στα φόρουμ παιχνιδιών, προκαλώντας συζητήσεις σχετικά με την αξιοπιστία του PSN για εκτεταμένες ψηφιακές βιβλιοθήκες. Ο Jogadores εκφράζει την ανησυχία του για επενδύσεις σε παιχνίδια και περιεχόμενο που μπορεί να χαθεί οριστικά.
Οι κοινότητες συνιστούν αποθήκευση αντιγράφων ασφαλείας στο cloud και συνεχή παρακολούθηση. Το περιστατικό ενισχύει τη σημασία του διαδικτυακού απορρήτου στην περιστασιακή κοινή χρήση.
Τελικές οδηγίες ασφαλείας
Η διατήρηση προσωπικών δεδομένων απόρρητων εμποδίζει τους χάκερ να λάβουν πληροφορίες που απαιτούνται για απάτες υποστήριξης. Ο συνδυασμός ισχυρών ψηφιακών εργαλείων με προσοχή στη δημόσια έκθεση προσφέρει καλύτερη προστασία.
Οι επηρεαζόμενοι χρήστες θα πρέπει να αμφισβητήσουν τις αδικαιολόγητες χρεώσεις με τις τράπεζες ή το PayPal και να τεκμηριώσουν όλες τις αλληλεπιδράσεις με υποστήριξη για πιθανές κλιμακώσεις.
