Fransız teknoloji muhabiri Nicolas Lellouche’un, ikili doğrulama ve passkey ile korunan PlayStation Network hesabı dün hacklendiği bildirildi. Bilinmeyen bir saldırgan, hesabın e-posta adresini ve şifresini değiştirdi, bağlantılı ödeme yönteminden para harcadı.
Lellouche, olayı X platformunda duyurdu. PlayStation Desteği aracılığıyla hesabı ilk başta geri aldığı, ancak saldırganın kısa süre sonra kontrolü tekrar ele geçirdiği kaydedildi. Gazeteci, akşam saatlerinde saldırganla iletişim kurdu; saldırgan, modern güvenlik önlemlerini atlatan yöntemi detaylandırdı.
Lellouche, X’te paylaştığı ve daha sonra sildiği mesajda özeti aktardı. ResetERA forum üyesinin ekran görüntüsüyle koruduğu bu mesajda, Sony’nin güvenlik sistemlerinde “ölümcül bir kusur” bulunduğu ileri sürüldü. Saldırganın yalnızca ilişkili e-posta adresine ihtiyaç duyduğu, dahili araçlar kullandığı belirtildi.
23 Aralık sabahı güncellenen raporda, kusurun Sony’nin hesap sahipliği doğrulama sürecinde yattığı doğrulandı. Saldırganlar, hesap sahibinin daha önce çevrimiçi paylaştığı ekran görüntüsünden elde edilen işlem numarasını sahiplik kanıtı olarak kullandı. Prosedürün kusurlu olduğu, başka veri talep edilmemesi ve aynı hesaba ilişkin üç ardışık talebin şüphe uyandırmaması nedeniyle vurgulandı.
Hedef hesap, e-posta adresinin göründüğü ekran görüntüsünün internette paylaşılmış olması nedeniyle seçildi. Saldırganların bu tür ekran görüntülerini toplayarak hesapları ele geçirdiği, sahiplerin geri almasını engellediği kaydedildi. Tüm PlayStation Network hesaplarının risk altında olup olmadığı konusunda nihai teyit bulunmuyor.
2011’de PlayStation Network 23 gün süreyle çöktü. Kullanıcılar hesap güvenliği sorunları ve uzun süreli kesintilerle karşılaştı; bazı olaylar DDoS saldırılarından kaynaklandı. Yeni rapor, 2FA ve passkey gibi tüm önlemler alınsa bile hesap hack’lenebileceğini öne sürdü.
Sony’nin destek prosedürlerini iyileştirmesi gerektiği ifade edildi. Sosyal mühendislik vakalarının kitlesel güvenlik riskine dönüşmesini önlemek amacıyla hesap sahipliği doğrulamalarının güçlendirilmesi umuluyor. Kullanıcılar, kişisel bilgileri çevrimiçi paylaşmaktan kaçınmaya ve dijital satın alımlarda ön ödemeli kartlar kullanmaya yönlendirildi.
Lellouche, konuya ilişkin detaylı takip raporunu söz verdi. Numerama’da yayımlanması beklenen bu rapor, olayın teknik yönlerini aydınlatacak. Saldırganın aktardığına göre, e-posta adresi gibi kamusal bilgilerin bile dahili araçlarla istismar edilebildiği vurgulandı.
PlayStation Network’ün güvenlik geçmişi, 2011 çöküşüyle lekelenmişti. O dönemde milyonlarca kullanıcı etkilendi, hesap bilgileri riske girdi. Güncel vaka, benzer sorunların devam ettiğini gösteriyor.
Sony’den henüz resmi açıklama yapılmadı. Şirketin prosedürlerini gözden geçirerek kusuru gidereceği tahmin ediliyor. Kullanıcılar, dijital kütüphanelerine erişim kaybının yanı sıra maddi kayıplara karşı dikkatli olmaya çağrıldı.
