Un recente caso di hacking del PlayStation Network (PSN) che ha coinvolto un giornalista ha portato alla luce una grave vulnerabilità della piattaforma Sony, potenzialmente in grado di mettere a rischio migliaia di utenti.
Nel corso degli anni, numerosi giocatori PlayStation sono stati vittime di furti di account: alcuni riescono a recuperarli, altri sono costretti ad abbandonare anni di progressi e acquisti per ricominciare da zero. In alcuni casi, l’account viene addirittura violato di nuovo durante la procedura di recupero. Ora, un’indagine giornalistica suggerisce quale potrebbe esserne la causa.
Secondo quanto riportato dalla testata francese Numerama, un giornalista della redazione ha scoperto una falla significativa nella sicurezza del PlayStation Network. Il suo account è stato compromesso nonostante la protezione tramite autenticazione a due fattori (2FA): l’indirizzo email di accesso è stato modificato e gli sono stati addebitati 9,99 euro a seguito del cambio di username effettuato dall’hacker.
Il giornalista è riuscito inizialmente a recuperare l’account contattando l’assistenza telefonica di Sony. L’aspetto più sorprendente, però, riguarda i dati richiesti per il recupero: durante la chiamata, è stato sufficiente fornire il proprio username PSN e un numero di transazione ricavato da una vecchia fattura, indipendentemente dall’anno di emissione.
Dopo il ripristino, l’account è stato nuovamente violato nel giro di un’ora. Impossibilitato a contattare subito l’assistenza, il giornalista ha deciso di scrivere direttamente all’hacker tramite un nuovo account PSN. In modo inatteso, l’autore dell’attacco si è mostrato collaborativo, spiegando di aver ottenuto l’accesso “utilizzando un numero di transazione pubblicato su una pagina”.
Il dettaglio chiave: il giornalista aveva effettivamente condiviso una vecchia fattura in un articolo pubblicato anni prima, informazione che sarebbe stata sufficiente per violare l’account. L’hacker ha inoltre affermato di aver “sviluppato un’app” per accedere ai server Sony, anche se questa dichiarazione non è stata finora verificata, mancando il video dimostrativo promesso.
In una successiva chiamata con il supporto PlayStation Network, al giornalista sono state poste domande più approfondite, tra cui data di nascita, indirizzo email originale e username iniziale. Al momento, la richiesta risulta in sospeso: l’account sembra essere stato sospeso in via precauzionale, con tempi di risposta stimati tra i 5 e i 10 giorni.
Il caso solleva seri interrogativi sulla solidità delle procedure di recupero account di Sony e sull’effettiva protezione dei dati degli utenti.
Scrivi un commento