近日,遊戲媒體pushsquare曝光了PlayStation Network(PSN)的一處高危安全漏洞,並警示索尼若未及時優化賬號安全審核機制,全體PS平台玩家的賬號都有可能遭到不法分子竊取。
該安全風險被大眾熟知,源於知名遊戲播客欄目《Sacred Symbols》主持人Colin Moriarty的一次親身遭遇,他險些因新型詐騙手段丟失個人PSN賬號。據悉,此次安全隱患並非傳統的資料庫攻破、後台數據泄露,也區別於常見的釣魚鏈接、虛假郵件詐騙模式,核心漏洞源於社會工程學攻擊,不法分子可利用索尼客服驗證的機制漏洞竊取用戶賬號。
這種盜號方式門檻極低,攻擊者只需掌握用戶的幾項基礎個人資訊,就能通過官方客服渠道申請接管他人的PSN賬號,所需資訊包含PSN暱稱、賬號綁定郵箱、任意一筆平台交易單號或是遊戲購買時間等簡單內容。這一看似難以置信的操作,已經得到了實際驗證。海外推特用戶PorkPoncho在獲得親屬授權後,僅憑藉其妹妹的公開賬號資訊,以及兩款遊戲的具體購買日期,就順利通過索尼客服的身份核驗,成功登錄了對方的PSN賬號。
除此之外,Moriarty還補充了攻擊者的資訊獲取途徑:玩家公開展示的遊戲獎盃數據,可成為不法分子推測購買資訊的關鍵線索。舉例而言,若玩家在《惡靈古堡9》發售首日解鎖了遊戲獎盃,攻擊者便能據此預判該玩家大概率在當天購入了這款遊戲。即便攻擊者無法確定玩家購買的是數字版還是實體版,只要多次嘗試申請核驗,再遇上審核標準較為寬鬆的客服人員,就有極大概率成功突破驗證、侵占用戶賬號。
該漏洞的危害性極強,攻擊者成功登錄賬號後,可直接修改賬號綁定郵箱、關閉雙重安全驗證等核心安全設置,全程不會觸發系統額外的安全攔截機制。這意味著玩家會瞬間喪失賬號的全部控制權,且後續難以找回。
Moriarty坦言,此次自己的賬號危機能夠快速解決,得益於其在索尼內部的人脈資源,普通玩家根本不具備這類補救條件。這一點也有真實案例佐證,知名遊戲獎盃獵人Hakoom此前就遭遇了同款盜號攻擊,最終徹底永久失去了自己的專屬PSN賬號。
