„PlayStation Network“ saugumas vėl atsidūrė po padidinamuoju stiklu. Prancūzų technologijų žurnalistas Nicolas Lellouche pranešė apie incidentą, kurio metu įsilaužėliui du kartus pavyko per trumpą laiką perimti jo paskyrą — nepaisant dviejų veiksnių autentifikavimo, stipraus slaptažodžio ir saugumo priemonių.
Dar labiau stebina tai, kad žurnalistui pavyko susisiekti su pačiu įsilaužėliu, kuris atskleidė, kokiu būdu pavyko apeiti PSN apsaugas.
Prisijungimai, mokėjimas ir paslaptingas paskyros perėmimas
Incidentas įvyko gruodžio 22-ąją. Lellouche į savo el. paštą gavo pranešimą, kad prie jo PSN paskyros buvo prisijungta iš nežinomos vietos. Po kelių minučių sistemoje buvo atliktas 9,99 euro mokėjimas, o pats žurnalistas buvo automatiškai atjungtas nuo visų įrenginių.
Nors jis iškart kreipėsi į „Sony“ palaikymo tarnybą ir paskyra buvo atkurta, ramybė truko vos valandą. Įsilaužėlis grįžo dar kartą — ir istorija pasikartojo.
Aucune idée de comment, mais quelqu’un a réussi à changer le mail et le mot de passe de mon compte @PlayStationFR, pourtant protégé par une clé d’accès.
J’ai perdu accès à mon compte, on m’a pris de l’argent et je ne peux plus me connecter. Changez vos mots de passe ! pic.twitter.com/K8fO6dprwD
— Nicolas Lellouche (@LelloucheNico) December 22, 2025
Kaip įsilaužėlis perėmė paskyrą
Bandydamas suprasti, kas vyksta, žurnalistas susikūrė naują PSN paskyrą ir parašė įsilaužėliui. Po trumpos, provokuojančios pradžios šis galiausiai pripažino esminę detalę:
„Įsilaužiau naudodamasis operacijos numeriu, kurį buvote paskelbęs svetainėje.“
Paaiškėjo, kad Lellouche ankstesniame straipsnyje buvo publikavęs sąskaitos / operacijos numerį, kuris, kaip pasirodė, gali tapti pakankamu identifikatoriumi paskyros atkūrimui.
Įsilaužėlis tikino sukūręs specialią programą, kuri prisijungia prie „Sony“ serverių ir automatizuoja procesą. Ar tai tiesa — oficialiai nepatvirtinta, tačiau faktai kalba patys už save: paskyra buvo perimta du kartus.
Silpnoji grandis — ne vartotojai, o procedūros?
Daug iau nerimo kelia ne pats triukas, o tai, kaip reagavo palaikymo tarnyba.
Pagal Lellouche aprašymą, „Sony“ darbuotojas atkūrė paskyrą tik paprašęs:
- PSN vartotojo vardo
- vienos senos operacijos numerio
Kitų saugumo tikrinimų beveik nebuvo — nepaisant dviejų veiksnių autentifikavimo ir apsaugos kodų.
Tai reiškia, kad piktavaliai, gavę prieigą prie kažkieno el. pašto ar senojo užsakymo dokumento, gali bandyti perimti paskyras, pasinaudoję palaikymo sistemos žmogiškuoju faktoriumi.
Lellouche teigia jau gavęs dešimtis laiškų iš vartotojų, kurie aprašė panašias situacijas.
Kodėl tai pavojinga?
Jei informacija pasitvirtins, ši spraga leidžia:
- apeiti 2FA
- apeiti slaptažodžius
- perimti PSN paskyras
- atlikti pirkimus savininko sąskaita
- ilgą laiką išlaikyti paskyros kontrolę
Toks scenarijus ypač pavojingas žaidėjams, kurie „PlayStation“ naudoja daugelį metų ir paskyrose turi dideles bibliotekas, prenumeratas ir mokėjimo korteles.
Ką turėtų daryti „PlayStation“ vartotojai?
Ekspertai rekomenduoja:
- Niekada viešai neskelbti PSN sąskaitų numerių ir operacijų kodų.
- Patikrinti, ar el. pašto paskyra, susieta su PSN, yra apsaugota 2FA.
- Peržiūrėti aktyvius prisijungimus ir atjungti įtartinus įrenginius.
- Naudoti tik oficialias „Sony“ platformas, o ne trečiųjų šalių puslapius.
- Jei pastebėjote neįprastą veiklą — nedelsiant kreiptis į palaikymo tarnybą ir blokuoti mokėjimus.
Kol kas „Sony“ oficialiai plačiau nekomentuoja incidento, tačiau žaidėjų bendruomenėje kyla vis daugiau klausimų dėl palaikymo procedūrų ir jų saugumo.
Vienas dalykas aiškus: net ir geriausios technologinės apsaugos tampa bejėgės, jei pakanka vieno senos sąskaitos numerio, kad kažkas perimtų visą paskyrą.
Šaltinis: https://gry.interia.pl/newsy/aktualnosci/news-powazna-luka-w-playstation-network-gracze-musza-uwazac-na-je,nId,22502624
