PSN:n tietoturvakohu: tili kaapattiin 2FA:sta, vaikka passkey oli käytössä

PlayStation Networkin turvallisuuden ympärillä kytee uusi epävarmuus. Numeraman toimittaja Nicolas Lellouche kertoo, että hänen PSN-tilinsä kaapattiin, vaikka sekä kaksivaiheinen todennus että passkey olivat käytössä. Tunkeutuja vaihtoi sähköpostiosoitteen ja salasanan ja käytti tilille liitettyä maksutapaa. Tapaus herättää väistämättä kysymyksiä suojauksen todellisesta kestävyydestä.

Tilanne kärjistyi, kun Lellouche sai PlayStationin tuen avulla tilinsä hetkeksi takaisin – vain menettääkseen sen pian uudelleen. Hän kertoo viestitelleensä hyökkääjän kanssa, joka hänen mukaansa kuvaili menetelmän yksityiskohtaisesti. Kertomuksen mukaan temppu nojaisi Sonyn turvajärjestelmissä olevaan kriittiseen heikkouteen, jonka avulla pelkän sähköpostiosoitteen tietäminen voisi riittää tilin haltuunottoon. Lellouche arvelee, että tekijät saattavat hyödyntää sisäisiä työkaluja; jos näin on, kyse olisi poikkeuksellisen vakavasta ongelmasta.

Lellouchen käsityksen mukaan hän päätyi kohteeksi, koska oli aiemmin julkaissut verkossa ruutukaappauksen, jossa näkyi tiliin liitetty sähköposti. Hänen mukaansa hyökkääjät etsivät aktiivisesti tällaisia kuvia kaapatakseen tilejä ja jopa estääkseen omistajia palauttamasta pääsyä virallisten tukikanavien kautta. Yksi harmitonkin julkaisu voi siis muuttua takaportiksi.

Varmoja johtopäätöksiä ei vielä ole: Lellouche aikoo julkaista myöhemmin laajemman selvityksen. Toistaiseksi ei tiedetä, onko kyse yksittäistapauksesta vai laajemmasta ilmiöstä, joka voisi koskea useampia PSN-käyttäjiä. Sony ei ole kommentoinut asiaa. Ennen kuin tilanne selkenee, varovaisinta on pitää henkilökohtaiset tiedot mahdollisimman niukkoina ja harkita ennakkoon maksettavia kortteja ostoksiin mahdollisten tappioiden rajaamiseksi. Vaikka pahimmat pelot eivät toteutuisikaan, tapaus muistuttaa, miten yksi paljastunut sähköposti voi muodostua kalliiksi heikoksi lenkiksi.