目前一份最新的安全报告指出,数百万用户账户及其绑定的数字资产依旧面临着明显风险。记者尼古拉斯·莱洛什(Nicolas Lellouche)的亲身经历暴露出索尼账户找回机制里存在一个让人忧心的漏洞,这让黑客即使在用户开启了双重认证和通行密钥的状况下,也可以轻松夺取账户控制权。
根据他的叙述,他的PSN账号在短短数小时内连续两次遭到入侵。第一次被入侵时,黑客从他的PayPal账户扣除了大约10美元用于修改PSN ID,还篡改了原本设置的通行密钥。之后,他联系了PlayStation的客服,仅仅提供了PSN用户名以及一份历史账单的交易编号,就“意外地顺利”重新获得了账户的访问权限。
然而,恰恰是这个恢复流程成了安全链条里最脆弱的环节。他之前曾在社交媒体上公开过自己的PlayStation交易信息。黑客借助这一点,获取了他的用户名和一个旧交易编号,并且同样通过联系客服,在一小时内再次成功夺取了该账户的控制权,黑客本人还向他证实了这种方法。
这个案例揭示了一个核心问题:PlayStation客服的身份验证流程存在重大漏洞,仅需用户名和旧交易号这类公开或容易获取的信息就能通过验证,这让双重认证等安全机制完全失去了应有的作用。截至目前,他还没能完全重新掌控自己的账户。由于他平时主要购买实体游戏,所以数字资产方面的损失不算太大,但对于那些高度依赖数字内容库的用户来说,这样的安全缺陷可能会引发毁灭性的后果。
