Сбой в системе: Аккаунт PSN дважды взломали, несмотря на 2FA, из-за старой транзакции в сети

Критическая уязвимость в PSN: Номер транзакции оказался ключом к аккаунту

Недавний инцидент, затронувший технического журналиста французского издания Numerama, Николя Лелуша, обнажил, по мнению многих экспертов, критический пробел в системе безопасности PlayStation Network (PSN). Даже наличие сложного пароля и двухфакторной аутентификации (2FA) оказалось недостаточным для защиты учетной записи от повторного несанкционированного доступа. Злоумышленники смогли дважды скомпрометировать профиль всего за короткий промежуток времени, что вызвало серьезную обеспокоенность среди пользователей консолей Sony.

Главным вектором атаки стала сама процедура восстановления аккаунта через службу поддержки PlayStation. Как выяснилось, для того чтобы доказать право собственности на профиль, оказалось достаточно предоставить лишь номер одной из старых транзакций. Удивительно, но система Sony в данном случае не запросила никаких дополнительных мер верификации, например, подтверждения через ранее настроенный ключ доступа или дополнительные личные данные.

Скриншот как «доказательство» для хакера

В основе второго взлома лежала информация, которую сам владелец, по неосторожности, когда-то разместил в открытом доступе. Хакер нашел старый скриншот в одной из публикаций журналиста, на котором был виден необходимый номер транзакции. Этот простой фрагмент данных стал «золотым ключом» для обхода всех стандартных мер защиты.

После первого успешного взлома, в ходе которого были изменены почта и пароль, а также списаны средства с привязанных карт (включая оплату смены имени пользователя), Лелушу удалось восстановить доступ к профилю через службу поддержки. Однако эта победа оказалась недолгой. Злоумышленник, обладая тем же номером транзакции, повторил схему, и аккаунт был взломан во второй раз, менее чем через час после восстановления.

Пострадавший подтвердил, что самый большой пробел остается в самой логике проверки, кому принадлежит PSN аккаунт. Система дает возможность восстановить профиль без дополнительных подтверждений и не обращает внимания даже тогда, когда поступают несколько запросов подряд по одному и тому же профилю.

Признание хакера и схема социальной инженерии

В ходе этого необычного инцидента журналисту удалось установить контакт со злоумышленником. В сохраненном сообщении хакер раскрыл детали своей тактики. Он пояснил, что атака была основана на сочетании социальной инженерии и доступа к внутренним инструментам, используемым сотрудниками службы поддержки Sony. По его словам, для успешного захвата учетной записи требуется минимальный набор данных, вроде электронной почты или номера транзакции, что полностью нивелирует пользу от использования сложных паролей или 2FA.

Фактически, проблема заключается не во взломе самой системы аутентификации пользователя, а в «дыре» в процедуре валидации, которую используют сотрудники поддержки при ручном восстановлении доступа. Злоумышленники активно ищут в сети любые упоминания или изображения с данными о покупках пользователей, что делает эту информацию крайне опасной для публикации.

Последствия и рекомендации для пользователей

Инцидент с Николя Лелушем, произошедший 22 декабря 2025 года, поднял серьезные вопросы о надежности протоколов безопасности Sony. Журналист отметил, что даже повторные обращения к его аккаунту не вызвали подозрений у системы поддержки. На данный момент (24 декабря 2025 года) официального заявления от Sony с анонсом изменений в процедуре поддержки не поступало, хотя сама компания, вероятно, уже изучает прецедент.

Хотя взломщик утверждал, что использовал «написанное приложение» для доступа, основная доказанная уязвимость кроется именно в избыточной простоте идентификации через номер транзакции. Власти и эксперты призывают пользователей PlayStation к немедленным действиям для минимизации риска, пока Sony не внесет коррективы в свои процессы.

В качестве превентивной меры, которая может помочь защитить средства и доступ к цифровой библиотеке, настоятельно рекомендуется:

• Удалить или ограничить доступ ко всем старым скриншотам или фотографиям квитанций и счетов из PlayStation Store, особенно тем, что содержат видимые номера транзакций.
• Проверить, не публиковались ли такие данные в статьях, блогах или на форумах.
• Продолжать использовать надежные и уникальные пароли, а также 2FA, как дополнительный, хоть и не абсолютный, уровень защиты.

Ожидается, что в ближайшее время Sony выпустит официальный комментарий или предпримет шаги по ужесточению процесса восстановления аккаунтов, чтобы подобное не повторилось с другими геймерами.