法國科技記者 Nicolas Lellouche 發現 PSN 帳號安全性存在嚴重缺陷。即使用戶啟用二重驗證(2FA)及通行密鑰,黑客只需憑 PSN ID 及一筆舊訂單編號,即可透過聯絡 Sony 客服奪取帳號控制權。Nicolas Lellouche 於 12 月 22 日收到電郵通知其登入 ID(電郵地址)被更改,隨後 PayPal 確認支付 9.99 歐元(約港幣 HK$84.7)予 Sony,證實黑客成功繞過 iPhone Face ID 通行密鑰入侵系統。Sony 客服當時僅詢問 PSN 暱稱及任何一項舊交易訂單編號,便將帳號歸還,黑客半小時後重施故技再次得逞。
流程疏漏令 2FA 系統失效
Nicolas Lellouche 聯絡客服取回帳號後,發現黑客已將其 PSN 暱稱更改為 Derol Bodden,並刪除所有好友、對話紀錄、相片及國家設定。黑客隨後透過新帳號聯絡 Nicolas Lellouche,承認僅利用其 2023 年文章截圖中曝光的訂單編號,即能假冒身份向客服索回帳號。Sony 客服驗證流程過於簡單,期間未有詢問出生日期、信用卡末 4 位數字或主機序號作交叉驗證,令 2FA 及通行密鑰形同虛設。
全球用戶反映同類保安個案
不少網民分享類似經歷,指出 Sony 亦會接受舊信用卡末碼或主機序號作為驗證手段,導致黑客可無限循環盜取帳號。Reddit 及多個討論區的資料顯示,此漏洞並非單一事件,多名用戶曾遇過 PSN 帳號被盜,部分人更遭受永久損失。香港 PSN 用戶亦曾發帖求助,反映本地客服過度依賴交易 ID 驗證,容易遭受社交工程攻擊。
專家建議加強多重核實機制
Nicolas Lellouche 質問 Sony 系統設計缺陷,建議廠方應引入多重個人資料交叉比對,例如出生日期或安全問題。Sony 目前暫未正面回應漏洞,僅於部分個案設定紅色警報及延遲審批。用戶現階段應避免公開任何 PSN 交易記錄,以防黑客利用資訊作案。
資料來源:Numerama
Comments are closed, but trackbacks and pingbacks are open.