在承诺的后续报告中,Numerama的记者尼古拉·莱卢什(Nicolas Lellouche)证实,索尼安全系统的致命缺陷在于账户所有权的验证方式。
黑客利用一个交易号,两次成功入侵了这位记者的PlayStation Network账户。这个交易号被用作账户所有权的证明,而它恰恰是通过账户所有者分享的截图获得的。这个流程显然存在缺陷,不仅因为除了交易号外没有要求提供任何其他数据来证明所有权,还因为连续三次针对同一账户的相关请求都没有引起任何怀疑。
希望既然问题已被提出,索尼能改进其客服流程,以防止又一起社会工程学案例演变成对用户的重大安全风险。PlayStation与安全:一场地狱般的结合。继2011年导致网络瘫痪23天的重大PlayStation Network崩溃之后,用户经常遇到各种问题,包括账户安全担忧和长时间的服务中断,有时是由DDoS攻击引起的。
然而,根据一份新的报告,与即使启用了包括两步验证(2FA)和通行密钥在内的所有安全措施,账户仍可能被黑客入侵的可能性相比,之前的问题可能都相形见绌。
昨日,法国刊物Numerama的科技记者尼古拉·莱卢什在X平台上报告,他受通行密钥保护的PlayStation Network账户被黑客入侵,一个未知用户能够更改关联的电子邮件和密码,甚至从关联的支付方式中盗用了资金。
在莱卢什最初通过PlayStation客服找回账户后,事情发生了离奇的转折——黑客第二次控制了账户。颇具讽刺意味的是,莱卢什当晚与黑客进行了沟通,据称黑客详细说明了他们的方法是如何绕过现代安全措施的。
虽然尼古拉·莱卢什已承诺对此事进行深入跟进(报告发布后将补充到本文中),但他在X平台上一条现已删除的消息中总结了事件经过,该消息已被ResetERA论坛成员Arubedo保存。据报道,黑客正在利用“索尼安全系统的一个致命缺陷”来入侵PlayStation Network账户,只需要关联的电子邮件地址,因为他们显然在使用内部工具。如果属实,这很可能是问题的核心,因为知道一个公开的电子邮件地址通常不应构成安全风险。
最终,他们的账户之所以成为目标,是因为一张显示与该账户关联的电子邮件地址的截图过去曾在网上分享过,而据报道,黑客正在“收集此类截图以接管账户,并确保原主人永远无法将其找回”。
在没有后续报告和对潜在重大问题的最终确认之前,无法得知是否所有PlayStation Network账户都真正面临风险。就目前而言,基本的安全措施仍然是最好的:避免在网上分享个人信息,并尽可能使用预付卡在任何数字商店进行购买。失去对数字内容库的访问权固然糟糕,但钱财被盗则更为严重。
