Μια πρόσφατη έρευνα από το γαλλικό μέσο Numerama αποκαλύπτει μια ανησυχητική αδυναμία στα συστήματα ασφαλείας του PlayStation Network (PSN). Αυτή η αποκάλυψη έρχεται να προστεθεί στη σειρά περιστατικών που θίγουν την ασφάλεια των χρηστών.
Η έρευνα προέκυψε μέσω της προσωπικής εμπειρίας ενός δημοσιογράφου, ο οποίος βίωσε την παραβίαση του λογαριασμού του δύο φορές μέσα σε λίγες ώρες, παρά τη χρήση προηγμένων μέτρων ασφαλείας, όπως η Two-Factor Authentication (2FA) και το Passkey.
Αυτή η περίπτωση αναδεικνύει τον τρόπο με τον οποίο η κοινωνική μηχανική (social engineering) μπορεί να παρακάμψει ακόμη και τα πιο σύγχρονα συστήματα προστασίας της Sony, γεγονός που ενδέχεται να αποτελεί προειδοποίηση για τους χρήστες.
Η μέθοδος επιθέσεως και η διαδικασία ανάκτησης λογαριασμού
Σύμφωνα με το ρεπορτάζ του Nicolas Lellouche, ο εισβολέας κατάφερε να αποκτήσει πρόσβαση στον λογαριασμό του δημοσιογράφου χρησιμοποιώντας μόνο το PSN Online ID και έναν αριθμό συναλλαγής από ένα παλιό τιμολόγιο. Ο δημοσιογράφος, δυστυχώς, είχε δημοσιεύσει κατά λάθος μια φωτογραφία απόδειξης σε προηγούμενο άρθρο του, την οποία ο χάκερ χρησιμοποίησε για να πείσει την τηλεφωνική υποστήριξη της Sony ότι είναι ο νόμιμος κάτοχος του λογαριασμού.
Αυτό είχε ως αποτέλεσμα την απενεργοποίηση των δικλείδων ασφαλείας και την αλλαγή του email σύνδεσης, επιτρέποντας στον εισβολέα να πραγματοποιήσει αγορές αξίας 9,99 ευρώ για την αλλαγή του ονόματος χρήστη.
Πιο ανησυχητικό είναι το γεγονός ότι ο λογαριασμός παραβιάστηκε εκ νέου μόλις μία ώρα μετά την πρώτη ανάκτησή του. Ο εισβολέας ισχυρίστηκε ότι έχει αναπτύξει μια εφαρμογή που διευκολύνει την πρόσβαση στους διακομιστές της Sony, αν και ο ισχυρισμός αυτός παραμένει ανεπιβεβαίωτος.
Είναι προφανές ότι η διαδικασία επαλήθευσης της Sony φαίνεται να στηρίζεται υπερβολικά σε ιστορικά στοιχεία αγορών, τα οποία, εφόσον διαρρεύσουν, καθιστούν τους λογαριασμούς πολύ ευάλωτους σε μόνιμη απώλεια.
Προς το παρόν, ο λογαριασμός του δημοσιογράφου παραμένει σε κατάσταση αναστολής για λόγους ασφαλείας, με την Sony να ζητά επιπλέον στοιχεία, όπως η ημερομηνία γέννησης και το αρχικό email δημιουργίας του λογαριασμού.
Η εταιρεία δεν έχει εκδώσει επίσημη ανακοίνωση σχετικά με τυχόν αλλαγές στις διαδικασίες της τηλεφωνικής υποστήριξης. Οι ειδικοί προτείνουν στους κατόχους PS4 και PS5 να αποφύγουν τη δημοσίευση οποιουδήποτε αποδεικτικού αγοράς και να παρακολουθούν τακτικά το ιστορικό των συναλλαγών τους για πιθανές ανωμαλίες.
Η προστασία των προσωπικών δεδομένων και η ασφάλεια των λογαριασμών είναι πιο σημαντικές από ποτέ. Οι χρήστες καλούνται να είναι προσεκτικοί και να ενημερώνονται διαρκώς για τις τελευταίες εξελίξεις σχετικά με την κυβερνοασφάλεια.
