Una significativa vulnerabilità nella sicurezza dei account PlayStation Network (PSN) è stata recentemente individuata, mettendo in evidenza come anche le protezioni avanzate possano risultare inefficaci. Nonostante l’attivazione della doppia autenticazione (2FA) e l’uso di passkey biometriche, è stato dimostrato che gli hacker possono ottenere il controllo degli account con informazioni limitate.
problemi di sicurezza nei sistemi di autenticazione psn
Il giornalista tecnologico Nicolas Lellouche ha scoperto una falla critica nel sistema di sicurezza PSN. Attraverso l’utilizzo esclusivo dell’ID PSN e un numero di ordine di una vecchia transazione, i malintenzionati sono riusciti a ingannare il servizio clienti Sony per riprendere il possesso dell’account, eludendo così la doppia autenticazione e le misure biometriche come Face ID su iPhone.
In un caso specifico, Lellouche ha ricevuto una notifica via email che segnalava la modifica del suo ID di accesso seguito da una conferma PayPal di un pagamento effettuato senza autorizzazione. Il supporto clienti Sony si è limitato a richiedere solo il nickname PSN e uno storico numero d’ordine per restituire l’account agli hacker, che hanno ripetuto con successo questa procedura in breve tempo.
caratteristiche delle falle nel processo di verifica sony
Dopo aver recuperato temporaneamente il proprio account, Lellouche ha constatato che i criminali informatici avevano modificato il nickname in “Derol Bodden” e cancellato amici, cronologia chat, immagini e impostazioni nazionali. Gli aggressori hanno ammesso di aver sfruttato esclusivamente i dati pubblicati in precedenti articoli contenenti numeri d’ordine per impersonare la vittima durante la verifica telefonica con Sony.
Il processo di controllo adottato da Sony appare troppo sommario: non vengono richiesti dati più sensibili quali data di nascita, ultime cifre della carta di credito o seriale della console per un confronto incrociato. Questa superficialità rende inefficace la doppia autenticazione e qualsiasi passkey aggiuntiva.
diffusione globale delle segnalazioni simili tra utenti psn
L’esperienza negativa non è isolata; numerosi utenti a livello mondiale hanno riportato episodi analoghi. Le piattaforme Reddit e altri forum dedicati contengono testimonianze riguardanti furti d’identità tramite metodi simili, con conseguenze anche irreversibili sull’accesso ai propri account PSN.
Anche gli utenti residenti a Hong Kong hanno denunciato criticità nell’assistenza locale che si affida prevalentemente alla verifica tramite ID transazionale, facilitando attacchi basati su tecniche di social engineering.
raccomandazioni per migliorare la sicurezza degli account sony
Nicolas Lellouche ha sollevato dubbi sulla progettazione del sistema Sony invitando l’azienda ad implementare controlli multipli più rigorosi basati su dati personali incrociati come data di nascita o domande di sicurezza personalizzate. Al momento Sony non ha fornito risposte ufficiali circa questa vulnerabilità ma ha introdotto alcune misure temporanee quali alert rossi e ritardi nell’approvazione delle richieste sospette.
Sino a quando non saranno apportate modifiche sostanziali al protocollo verificativo, si consiglia agli utenti PSN di evitare la diffusione pubblica dei dettagli relativi alle proprie transazioni per ridurre il rischio che tali informazioni vengano impiegate dai malintenzionati per compromettere gli account.
- Nicolas Lellouche, giornalista tecnologico autore della scoperta
- Sony Customer Service, coinvolto nelle procedure verificate
- Utenti globali PSN, testimoni delle problematiche emerse sui forum online
- Comunità Hong Kong PSN, segnalatori locali delle criticità del supporto clienti
Lascia un commento