Egyre több kellemetlen beszámoló kering arról, hogy PlayStation-fiókokat szerezhetnek meg támadók anélkül, hogy klasszikus értelemben feltörnék a felhasználók jelszavát vagy kijátszanák a kétlépcsős azonosítást. A mostani ügy azért kapott nagyobb figyelmet, mert Colin Moriarty, a Sacred Symbols podcast ismert házigazdája, korábbi (amerikai) IGN-szerkesztő is azt írta az X-en, hogy megszerezték a PSN-fiókját, méghozzá azután, hogy valaki előre figyelmeztette, célponttá vált. Moriarty szerint nem kattintott gyanús linkre, nem adta meg sehol a jelszavát, és a fiókján be volt kapcsolva a kétlépcsős azonosítás is.
A beszámolók alapján nem egy látványos szerverfeltörésről van szó, hanem egy jóval hétköznapibb, épp ezért különösen idegesítő kiskapuról. A gyanú szerint a támadóknak elég lehet a nyilvános PSN-azonosító és egy régebbi tranzakcióhoz kapcsolódó adat, például rendelési szám vagy egy korábban használt bankkártya utolsó négy számjegye. Ezekkel a Sony ügyfélszolgálatánál az account tulajdonosának adhatják ki magukat, majd elérhetik, hogy megváltozzon a fiókhoz tartozó e-mail-cím. A legnagyobb baj épp ez: ha ez a folyamat valóban így működik, akkor a kétlépcsős azonosítás sem sokat ér, mert nem a bejelentkezést törik át, hanem a fiók helyreállítási folyamatát fordítják a valódi tulajdonos ellen.
Moriarty végül visszakapta a fiókját, de ő maga is elismerte, hogy ebben nagy szerepe volt a Sonyhoz fűződő kapcsolatrendszerének. Egy átlagos PlayStation-felhasználó nyilván nem tud belsős kontaktokat megmozgatni, miközben egy PSN-fiók ma már nemcsak egy felhasználónév, hanem sok évnyi digitális vásárlás, mentés, előfizetés és fizetési adat gyűjtőhelye. A történetben ez az igazán nyugtalanító: nem az derült ki, hogy valaki elveszíthet egy jelszót, hanem az, hogy a fiók köré épített védelem bizonyos esetekben a támogatási rendszeren keresztül megkerülhetőnek tűnik.
Ráadásul nem teljesen előzmény nélküli az ügy. Korábban Nicolas Lellouche francia újságíró is hasonló problémáról számolt be, miután egy régi tranzakcióazonosítóval visszaélve többször is megszerezték a fiókját. Akkor sokan legyintettek, mondván, nem kellett volna érzékeny adatot nyilvánosan megosztania, most viszont több beszámoló szerint nem csak egyetlen rosszul kezelt képernyőfotóról van szó, hanem egy olyan módszerről, amely ismert PlayStation-közösségi szereplőket és egyszerű felhasználókat is érinthet.
A Sony hivatalos támogatási oldalai továbbra is erős, egyedi jelszó, kétlépcsős azonosítás és passkey használatát javasolják, ezek pedig továbbra sem feleslegesek. A mostani beszámolók alapján viszont ez önmagában nem feltétlenül elég, ha valaki a fiók-visszaállítási folyamatot tudja kihasználni. Épp ezért különösen nem szerencsés nyilvánosan mutogatni a PSN-azonosítót, régi vásárlási adatokat, rendelési számokat vagy bankkártyához kapcsolódó részleteket, még akkor sem, ha ezek elsőre ártalmatlannak tűnnek. Gyanús e-mail-címváltás, ismeretlen fizetés vagy váratlan belépési probléma esetén a PlayStation hivatalos súgója szerint azonnal a támogatási felületen kell jelezni a kompromittált fiókot.
Semmi spam, csak napi 2-3 értesítés Viberen, hogy képben maradj a játék- és filmvilág, a geek kultúra legérdekesebb híreivel.
A legfontosabb kérdés most az, hogy a Sony elismeri-e a problémát, és szigorít-e a fiók-helyreállítási folyamaton. A cég a friss beszámolókra egyelőre nem adott érdemi nyilvános választ, pedig a PlayStation ökoszisztémájában egy ellopott fiók ma már sokkal nagyobb veszteség lehet annál, mint hogy valaki nem tud este belépni a multiplayerbe. A digitális könyvtárak korában egy ilyen account gyakorlatilag komplett játéktörténetet ér, és pont ezért lenne nagyon fontos, hogy ne lehessen néhány régi adattal átíratni más nevére.
