最新一份安全研究报告指出,数百万用户账号及与其绑定的数字资产依然处于高风险状态。记者尼古拉斯·莱洛什(nicolas lellouche)亲历的一次攻击事件,揭开了索尼psn账户恢复机制中一个极为严重的安全隐患——即便用户已启用双重验证(2fa)和通行密钥(passkey),黑客仍可绕过这些防护,迅速完成账户劫持。
据他本人叙述,其PSN账号在不到半天时间内连续两次失守。首次被入侵时,攻击者从他的PayPal账户中转走约10美元,用于在PSN平台变更账户ID,并同步移除了已配置的通行密钥。随后,他联系PlayStation官方客服尝试恢复账号,仅提交了PSN用户名与一张历史账单中的交易编号,便“异常顺利”地重新获得了访问权限。
但恰恰是这套账户恢复流程,暴露了整个安全体系中最致命的短板。此前,他在社交平台上曾无意间公开过自己的PlayStation消费记录。黑客据此轻松获取了他的用户名及一条过往交易编号,并以相同方式致电客服,在短短六十分钟内再次夺回账号控制权——甚至主动向他发送消息,证实了该方法的有效性。
这一事件直指核心问题:PlayStation客服端的身份核验机制存在严重漏洞,仅依赖极易被公开渠道获取的信息(如用户名+旧交易号)即可完成高权限操作,导致双重认证、通行密钥等高级安全手段彻底失效。截至目前,他仍未完全夺回对该账号的完全控制权。所幸他主要购买实体版游戏,数字资产损失相对较小;但对于大量依赖数字游戏库、订阅服务及云端存档的用户来说,此类缺陷可能引发不可逆的重大损失。
大家怎么看?是否也遭遇过类似情况?欢迎在评论区分享你的经历与看法。
