PSN-account gekaapt ondanks 2FA en passkey: hoe kwetsbaar is Sony’s beveiliging?

De beveiliging van PlayStation Network ligt onder een vergrootglas. Numerama-journalist Nicolas Lellouche zegt dat zijn PSN-account is overgenomen, ondanks dat tweestapsverificatie en een passkey waren ingeschakeld. De indringer veranderde het e‑mailadres en het wachtwoord en gaf geld uit via de gekoppelde betaalmethode.

Volgens Lellouche liep de situatie verder uit de hand toen hij via de PlayStation-helpdesk de toegang herstelde, om het account kort daarna opnieuw kwijt te raken. Hij wisselde vervolgens berichten uit met de aanvaller, die de werkwijze in detail zou hebben uitgelegd. Die methode zou steunen op een kritieke zwakte in Sony’s beveiligingssystemen, waardoor een account kan worden overgenomen op basis van alleen het e‑mailadres. Lellouche suggereert dat de daders mogelijk interne tools benutten; als dat klopt, maakt dat de kwestie des te ernstiger. Alleen al die beschrijving schetst een oncomfortabel beeld van hoe kwetsbaar een account kan zijn.

Lellouche vermoedt dat hij werd uitgekozen vanwege een oude schermafbeelding die hij online had geplaatst, waarop het gekoppelde e‑mailadres te zien was. Aanvallers, zegt hij, speuren actief naar dit soort beelden om accounts te kapen en proberen eigenaars zelfs te blokkeren bij het terugkrijgen van toegang via de officiële ondersteuning.

Definitieve conclusies zijn er nog niet: Lellouche is van plan later een uitgebreider onderzoek te publiceren. Ondertussen blijft onduidelijk of dit een losstaand incident is of een breder probleem dat meer PSN-gebruikers kan raken. Sony heeft vooralsnog geen commentaar gegeven. Tot er duidelijkheid is, is het verstandig zo min mogelijk persoonlijke details te delen en, waar het kan, voor aankopen prepaidkaarten te gebruiken om mogelijke schade te beperken. Zelfs als de sombere scenario’s uitblijven, herinnert dit voorval eraan dat één blootgesteld e‑mailadres een kostbare zwakke schakel kan worden.