فاجعه امنیتی در حساب پلی‌استیشن؛ حتی تایید دو مرحله‌ای PSN هم مانع هکرها نمی‌شود!

گزارش‌های جدید از یک نقص امنیتی فاحش در سیستم‌های سونی حکایت دارند که حتی پیشرفته‌ترین لایه‌های حفاظتی مانند Passkey و تایید دو مرحله‌ای (2FA) را بی‌اثر می‌کند. این حفره که در فرآیند احراز هویت پشتیبانی سونی کشف شده، به هکرها اجازه می‌دهد تنها با دسترسی به یک شماره تراکنش، کنترل کامل حساب کاربران را در دست بگیرند.

نیکولا للوش (Nicolas Lellouche)، خبرنگار وب‌سایت فرانسوی Numerama، اعلام کرد که حساب PSN او که با Passkey محافظت می‌شد، هک شده است. هکر نه تنها توانسته بود ایمیل و رمز عبور او را تغییر دهد، بلکه مبالغی را نیز از طریق کارت بانکی متصل به حساب خرج کرده بود. ماجرا زمانی عجیب‌تر شد که للوش پس از بازیابی حساب از طریق پشتیبانی سونی، برای بار دوم و در فاصله کوتاهی دوباره هک شد!!

مهندسی اجتماعی: حفره‌ای در قلب پشتیبانی سونی

تحقیقات بعدی للوش فاش کرد که این یک هک فنی به معنای کلاسیک نیست، بلکه یک نقص امنیتی در رویه‌های پشتیبانی سونی است و هکرها با استفاده از روش مهندسی اجتماعی، کارشناسان پشتیبانی سونی را فریب می‌دهند.

در این مورد خاص، هکر تنها با ارائه یک شماره تراکنش که از یک اسکرین‌شات قدیمی به اشتراک گذاشته شده توسط مالک حساب به دست آمده بود، توانست هویت خود را به عنوان مالک حساب ثابت کند. نکته فاجعه‌بار اینجاست که پشتیبانی سونی هیچ مدرک هویتی دیگری درخواست نکرده و حتی سه درخواست متوالی برای تغییر اطلاعات یک حساب در مدت کوتاه، هیچ زنگ خطری را در سیستم آن‌ها به صدا در نیاورده است.

گزارش‌ها حاکی از آن است که هکرها به نوعی به ابزارهای داخلی سونی دسترسی دارند یا دست‌کم می‌دانند چگونه از آن‌ها سوءاستفاده کنند. آن‌ها با جمع‌آوری اسکرین‌شات‌هایی که کاربران در شبکه‌های اجتماعی یا فروم‌ها منتشر می‌کنند و حاوی اطلاعاتی مثل ایمیل یا رسیدهای خرید هستند، به راحتی کنترل حساب را به دست می‌گیرند.

بنابراین داشتن ایمیل عمومی متصل به PSN، اکنون یک ریسک امنیتی جدی محسوب می‌شود. زمانی که هکر به ایمیل شما و یک شماره تراکنش دسترسی داشته باشد، عملاً تمام سدهای امنیتی مثل 2FA و Passkey بی‌اثر می‌شوند، زیرا پشتیبانی سونی دسترسی را به هکر تقدیم می‌کند.

چگونه از حساب PSN محافظت کنیم؟

تا زمانی که سونی پروتکل‌های تایید هویت خود را اصلاح نکند، کاربران باید به شدت مراقب باشند. توصیه‌های فعلی کارشناسان عبارتند از:

1. عدم انتشار اسکرین‌شات: هرگز تصاویری که حاوی ایمیل، نام کاربری یا رسیدهای خرید هستند را در فضای مجازی منتشر نکنید.
   استفاده از گیفت کارت: به جای متصل کردن مستقیم کارت بانکی یا حساب پی‌پال به کنسول، از کارت‌های اعتباری پیش‌پرداخت (Prepaid) استفاده کنید تا در صورت هک شدن، سارقان به موجودی حساب بانکی شما دسترسی نداشته باشند.
   تغییر ایمیل: اگر ایمیل متصل به حساب PSN شما عمومی است یا در جاهای دیگر زیاد استفاده شده، بهتر است آن را به یک ایمیل اختصاصی و مخفی تغییر دهید.

سونی هنوز واکنش رسمی به این گزارش نشان نداده است، اما انتظار می‌رود با بالا گرفتن اعتراضات، تغییراتی در سیستم پشتیبانی این شرکت ایجاد شود.