由于索尼支持验证失败,记者两次失去 PSN 帐户访问权限
Numerama 网站的法国记者 Nicolas Lellouche 在 2025 年底的短时间内两次遭到黑客攻击,暴露了索尼支持安全程序中的严重缺陷。即使激活了双因素身份验证 (2FA) 和访问密钥(密码),攻击者仍设法控制配置文件、更改数据并收取 9.99 欧元的费用。
这次攻击并没有利用技术漏洞,而是利用了人工验证过程的脆弱性。黑客利用社会工程技术,利用记者本人几年前公开分享的最少信息,让一名 PlayStation 支持人员相信他是该帐户的真正所有者。
勒卢什在社交媒体上详细介绍了该案件,引起了巨大反响,向数百万平台用户发出了关于失去数字游戏库访问权限的警告,而数字游戏库通常代表着重大投资。数小时内的重复攻击表明索尼识别和阻止可疑帐户恢复活动的能力存在系统性故障。
第一次入侵的细节
当记者收到连接 ID 更改的通知以及与 PSN 关联的 PayPal 帐户上的未知费用时,他注意到了此次入侵。当他尝试访问自己的个人资料时,发现自己的电子邮件和密码均已被修改,并且他的 PlayStation 5 主机已与该帐户远程断开连接。这名黑客在平台的消息中自称“Derol Bodden”,他甚至删除了好友、删除了对话并更改了受损个人资料中的个人信息。
令人惊讶的是,Lelloche 设法通过 PlayStation 自己的消息系统与攻击者建立了直接联系。在谈话中,黑客公开详细介绍了所使用的方法,并透露索尼支持人员需要非常低的安全检查才能转移帐户的所有权。该骗局成功的关键信息是旧购买的一个简单交易 ID,黑客从记者于 2023 年公开发布的屏幕截图中获得了该 ID。
PlayStation 服务中的漏洞
该事件暴露了索尼客户服务协议中的一个严重缺陷。社会工程是一种用于欺骗人们并获取机密信息的心理操纵技术,在该公司的支持下被成功应用。履行代理接受单个交易 ID 作为所有权的明确证明,无需请求更可靠和私密的验证数据,例如注册的出生日期、链接控制台的序列号或最近的购买历史记录。这种做法展示了一种安全策略,该策略通过让合法用户的生活更轻松,为欺诈者打开了危险的漏洞。黑客说服支持人员绕过最强大的数字安全措施(例如 2FA 和密钥)的能力证明,安全链中最薄弱的环节通常是人为因素,而索尼的支持团队培训程序不足以减轻这种风险。
第二次入侵和系统性失败
经过漫长的支持过程后,Lelloche 重新获得了对他帐户的访问权限。他立即重置了密码,重新启动了所有安全措施,并检查是否有任何不当更改。然而,轻松的感觉是短暂的。
不到一个小时,黑客就重复了完全相同的过程。他再次联系了 PlayStation 支持人员,使用相同的社会工程技术和相同的交易 ID 再次控制了该帐户。即使在几个小时内面临同一用户的两个帐户恢复请求(这构成高度可疑的活动),索尼系统也没有发出任何警报或阻止。
黑客如何获取这些信息
攻击者在此类诈骗中的主要武器是用户自己公开共享的信息。黑客不断监控社交网络、游戏论坛和网站,以获取可能包含敏感数据的屏幕截图或帖子。
庆祝赢得奖杯、展示新购买的 PlayStation Store 或仅显示控制台界面的图像可能会无意中泄露用户名 (PSN ID),甚至包含交易号码的确认电子邮件。
这些数据对普通用户来说似乎无害,但对犯罪分子来说却是一个谜题。一旦他们获得了用户名和验证数据(例如购买 ID),他们就拥有了启动支持处理流程所需的信息。
其他信息,例如所售旧游戏机的序列号或旧帖子中提到的部分信用卡数据,也可以被收集和使用,以提高向支持代理讲述的故事的可信度,从而使防御此类攻击变得极其困难。
保护 PSN 帐户的建议
虽然激活所有数字安全工具(例如两步身份验证)至关重要,但此案例证明它们对于人为流程故障并非绝对可靠。最有效的保护始于提高人们对在线共享信息隐私的认识。请务必避免公开发布任何包含与您的 PlayStation 帐户相关的数据的图像或文本,包括确认电子邮件、发票、交易 ID 或硬件序列号。
另一项安全措施是取消直接付款方式(例如信用卡)与您的 PSN 帐户的关联。相反,用户可以选择使用预付卡(礼品卡)或 PayPal 等数字钱包服务,这会增加额外的保护层,并在黑客成功入侵时限制经济损失。对于任何帐户更改,保持电子邮件和应用程序通知打开也至关重要,因为它可以更快地做出反应,尝试扭转损害。
社会反响和关注
Lelloche 的详细描述迅速在游戏论坛和社交媒体上传播,在该平台的玩家中引起了一波关注。许多人对自己账户的安全表示担忧,这些账户中存放着多年来积累的数百甚至数千雷亚尔的游戏和数字内容,他们质疑索尼保护政策的有效性以及当访问权限可能以如此简单的方式丢失时的数字财产概念。
平台问题历史记录
这在 PlayStation Network 的历史上并不是一个孤立的事件。关于通过针对官方支持的社会工程策略窃取帐户的报告定期出现,通常针对高价值的个人资料,例如战利品猎人或拥有稀有且广泛的游戏库的个人资料。这些配置文件通常在地下互联网市场上以相当高的价格出售,助长了围绕数字资产的非法经济。
尽管事件一再发生,索尼仍然因没有在其人力支持中实施更严格的多因素验证流程而受到批评,例如在授权关键更改之前要求安全短语或分析访问和地理位置模式。 该公司尚未就法国记者的具体案件发表官方声明,这增加了游戏界对其平台上数字投资安全性的担忧。
Veja Tambem em News (CN)
扎克·克雷格的新《生化危机》忽略了游戏,而是专注于一个前所未有的故事和新角色
苹果加速 iPhone 17e 生产并开发配备双摄像头系统的新款 Air 机型
Epic Games 平台向 PC 用户免费发布 12 款高预算游戏
PlayStation 5 Pro 降价加速数字零售销售并消除全球库存
苹果纪念项目测试2027年1.1毫米边缘曲面屏手机
苹果新系统更新优化 iPhone 用户的紧急任务管理
新款便携式 PlayStation 的硬件细节泄露,其图形性能优于 Xbox Series S
Oppo 正式在全球推出 Find X9 Ultra,配备哈苏镜头和强劲电池
蒂姆·库克 (Tim Cook) 展示新款 iPhone 和 iPod 原型机,庆祝苹果公司成立 50 周年
新版可折叠智能手机为冬奥会参赛者带来金牌
三星更新 QuickStar 模块并扩展 One UI 8.5 界面中面板的视觉控制
