河北
近日,一項與PlayStation Network(PSN)相關(guān)的重大安全隱患被曝光。外媒pushsquare指出,如果Sony不盡快加強流程管理,幾乎所有PS玩家都有可能成為受害者。
事情起源于游戲播客《Sacred Symbols》主持人Colin Moriarty遭遇的一起“社會工程學(xué)詐騙”。黑客差點成功盜走他的PSN賬號,而隨著Moriarty在最新一期播客中完整講述事件經(jīng)過,外界才意識到,索尼的賬戶驗證流程可能存在相當(dāng)嚴(yán)重的問題。
報道指出:并不存在有人攻破PSN數(shù)據(jù)庫、竊取后臺資料;也不是常見的釣魚網(wǎng)站、假郵件詐騙;整個過程本質(zhì)上屬于“社會工程學(xué)攻擊”。
簡單來說,攻擊者只需要掌握少量個人信息,就有可能通過客服渠道奪走他人的PSN賬號。
這些信息可能包括:PSN用戶名、綁定郵箱、一筆交易記錄ID或購買日期。
聽起來似乎不可思議,但已經(jīng)有人親自進行了測試。推特用戶PorkPoncho在獲得妹妹授權(quán)后,僅憑少量公開信息,以及兩款游戲的購買日期,就成功通過PS客服驗證并進入了她的賬號。
而Moriarty則指出,這類信息甚至可以通過公開獎杯數(shù)據(jù)進行推測。例如,如果某玩家在《生化9》發(fā)售當(dāng)天就獲得了首個獎杯,那么攻擊者很可能會猜測玩家也是當(dāng)天購買的游戲。
雖然黑客未必知道玩家買的是數(shù)字版還是實體版,但只要嘗試次數(shù)足夠多,再加上遇到較為“寬松”的客服人員,就有機會成功接管賬號。
更可怕的是,一旦進入賬號后,攻擊者幾乎可以暢通無阻地:修改綁定郵箱、關(guān)閉雙重驗證等操作。而整個過程中,系統(tǒng)似乎并不會再進行額外安全攔截。換句話說,玩家很可能瞬間失去賬號控制權(quán),而且難以找回。
Moriarty在播客中坦言,由于自己在索尼內(nèi)部有人脈,因此事情升級后很快得到了處理。但普通玩家顯然沒有這樣的資源。事實上,知名獎杯獵人Hakoom此前就曾遭遇類似事件,并最終永久失去了自己的賬號。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
