近日,一項與PlayStation Network(PSN)相關的重大安全隱患被曝光,pushsquare指出,如果Sony不儘快加強流程管理,幾乎所有PS玩家都有可能成為受害者。
事情起源於遊戲播客《Sacred Symbols》主持人Colin Moriarty遭遇的一起「社會工程學詐騙」。
黑客差點成功盜走他的PSN賬號,而隨著Moriarty在最新一期播客中完整講述事件經過,外界才意識到,索尼的賬戶驗證流程可能存在相當嚴重的問題。
報道指出:並不存在有人攻破PSN資料庫、竊取後台資料;也不是常見的釣魚網站、假郵件詐騙;整個過程本質上屬於「社會工程學攻擊」。
簡單來說,攻擊者只需要掌握少量個人資訊,就有可能通過客服渠道奪走他人的PSN賬號。
這些資訊可能包括:PSN用戶名、綁定郵箱、一筆交易記錄ID或購買日期。
聽起來似乎不可思議,但已經有人親自進行了測試。推特用戶PorkPoncho在獲得妹妹授權後,僅憑少量公開資訊,以及兩款遊戲的購買日期,就成功通過PS客服驗證並進入了她的賬號。
而Moriarty則指出,這類資訊甚至可以通過公開獎盃數據進行推測。例如,如果某玩家在《惡靈古堡9》發售當天就獲得了首個獎盃,那麼攻擊者很可能會猜測玩家也是當天購買的遊戲。
雖然黑客未必知道玩家買的是數字版還是實體版,但只要嘗試次數足夠多,再加上遇到較為「寬鬆」的客服人員,就有機會成功接管賬號。
更可怕的是,一旦進入賬號後,攻擊者幾乎可以暢通無阻地:修改綁定郵箱、關閉雙重驗證等操作。而整個過程中,系統似乎並不會再進行額外安全攔截。換句話說,玩家很可能瞬間失去賬號控制權,而且難以找回。
Moriarty在播客中坦言,由於自己在索尼內部有人脈,因此事情升級後很快得到了處理。但普通玩家顯然沒有這樣的資源。事實上,知名獎盃獵人Hakoom此前就曾遭遇類似事件,並最終永久失去了自己的賬號。
