فاجعه امنیتی در حساب پلیاستیشن؛ حتی تایید دو مرحلهای PSN هم مانع هکرها نمیشود!
گزارشهای جدید از یک نقص امنیتی فاحش در سیستمهای سونی حکایت دارند که حتی پیشرفتهترین لایههای حفاظتی مانند Passkey و تایید دو مرحلهای (2FA) را بیاثر میکند. این حفره که در فرآیند احراز هویت پشتیبانی سونی کشف شده، به هکرها اجازه میدهد تنها با دسترسی به یک شماره تراکنش، کنترل کامل حساب کاربران را در دست بگیرند.
نیکولا للوش (Nicolas Lellouche)، خبرنگار وبسایت فرانسوی Numerama، اعلام کرد که حساب PSN او که با Passkey محافظت میشد، هک شده است. هکر نه تنها توانسته بود ایمیل و رمز عبور او را تغییر دهد، بلکه مبالغی را نیز از طریق کارت بانکی متصل به حساب خرج کرده بود. ماجرا زمانی عجیبتر شد که للوش پس از بازیابی حساب از طریق پشتیبانی سونی، برای بار دوم و در فاصله کوتاهی دوباره هک شد!!
مهندسی اجتماعی: حفرهای در قلب پشتیبانی سونی
تحقیقات بعدی للوش فاش کرد که این یک هک فنی به معنای کلاسیک نیست، بلکه یک نقص امنیتی در رویههای پشتیبانی سونی است و هکرها با استفاده از روش مهندسی اجتماعی، کارشناسان پشتیبانی سونی را فریب میدهند.
در این مورد خاص، هکر تنها با ارائه یک شماره تراکنش که از یک اسکرینشات قدیمی به اشتراک گذاشته شده توسط مالک حساب به دست آمده بود، توانست هویت خود را به عنوان مالک حساب ثابت کند. نکته فاجعهبار اینجاست که پشتیبانی سونی هیچ مدرک هویتی دیگری درخواست نکرده و حتی سه درخواست متوالی برای تغییر اطلاعات یک حساب در مدت کوتاه، هیچ زنگ خطری را در سیستم آنها به صدا در نیاورده است.
گزارشها حاکی از آن است که هکرها به نوعی به ابزارهای داخلی سونی دسترسی دارند یا دستکم میدانند چگونه از آنها سوءاستفاده کنند. آنها با جمعآوری اسکرینشاتهایی که کاربران در شبکههای اجتماعی یا فرومها منتشر میکنند و حاوی اطلاعاتی مثل ایمیل یا رسیدهای خرید هستند، به راحتی کنترل حساب را به دست میگیرند.
بنابراین داشتن ایمیل عمومی متصل به PSN، اکنون یک ریسک امنیتی جدی محسوب میشود. زمانی که هکر به ایمیل شما و یک شماره تراکنش دسترسی داشته باشد، عملاً تمام سدهای امنیتی مثل 2FA و Passkey بیاثر میشوند، زیرا پشتیبانی سونی دسترسی را به هکر تقدیم میکند.
چگونه از حساب PSN محافظت کنیم؟
تا زمانی که سونی پروتکلهای تایید هویت خود را اصلاح نکند، کاربران باید به شدت مراقب باشند. توصیههای فعلی کارشناسان عبارتند از:
- عدم انتشار اسکرینشات: هرگز تصاویری که حاوی ایمیل، نام کاربری یا رسیدهای خرید هستند را در فضای مجازی منتشر نکنید.
استفاده از گیفت کارت: به جای متصل کردن مستقیم کارت بانکی یا حساب پیپال به کنسول، از کارتهای اعتباری پیشپرداخت (Prepaid) استفاده کنید تا در صورت هک شدن، سارقان به موجودی حساب بانکی شما دسترسی نداشته باشند.
تغییر ایمیل: اگر ایمیل متصل به حساب PSN شما عمومی است یا در جاهای دیگر زیاد استفاده شده، بهتر است آن را به یک ایمیل اختصاصی و مخفی تغییر دهید.
سونی هنوز واکنش رسمی به این گزارش نشان نداده است، اما انتظار میرود با بالا گرفتن اعتراضات، تغییراتی در سیستم پشتیبانی این شرکت ایجاد شود.
