La vulnerabilità del PlayStation Network scoperta a dicembre scorso non è stata ancora risolta. A distanza di sei mesi, il giornalista francese Nicolas Lellouche ha subito un secondo attacco al proprio account PlayStation, con lo stesso identico metodo che aveva già documentato la prima volta. Il problema è tanto semplice quanto grave: basta conoscere l’identificativo di una transazione effettuata sulla piattaforma per superare i controlli di sicurezza e prendere possesso di un profilo. Anche le passkey e l’autenticazione a due fattori diventano del tutto inutili.
Il punto debole non sta nella tecnologia di protezione in sé, ma nel protocollo che il supporto ufficiale Sony utilizza per verificare l’identità di chi richiede assistenza. In pratica, chi possiede l’ID di una transazione può convincere il servizio clienti di essere il legittimo proprietario dell’account. Una falla nel processo umano, più che in quello informatico, che rende qualsiasi barriera digitale sostanzialmente aggirabile.
Sony non ha ancora trovato una soluzione definitiva
Dopo la prima segnalazione, risalente alla fine del 2025, l’unico provvedimento adottato sembra essere stato quello di associare un’etichetta al profilo colpito, qualcosa del tipo “Account ad alto rischio, il servizio clienti non deve intervenire”. Niente di strutturale, nessuna revisione del protocollo. E a quanto pare, anche quella precauzione si è rivelata temporanea, visto che il nuovo attacco è andato comunque a segno.
C’è un dettaglio che rende il quadro ancora più preoccupante: il secondo attacco sarebbe stato portato avanti da un autore diverso rispetto a quello di dicembre. Questo lascia pensare che la pratica sia più diffusa di quanto emerso finora, anche se al momento resta poco documentata. Una volta ottenuto l’accesso, il malintenzionato può associare un nuovo indirizzo email al profilo, disabilitare quello originale e di fatto bloccare il proprietario fuori dal proprio account.
Come proteggersi in attesa di una risposta da parte di Sony
Al momento non risultano dichiarazioni ufficiali da parte di Sony sulla questione. L’azienda è chiamata a ripensare in modo serio le procedure di verifica dell’identità adottate dalla propria assistenza clienti, perché il problema non è tecnico nel senso classico del termine: riguarda il modo in cui vengono gestite le richieste di supporto.
Nel frattempo, il consiglio più concreto per chi possiede un account sulla piattaforma è evitare di condividere qualsiasi tipo di informazione legata ai propri acquisti sul PlayStation Network. Anche un semplice screenshot di una transazione potrebbe fornire a qualcuno i dati sufficienti per prendere il controllo del profilo. Non serve un attacco sofisticato: basta un singolo identificativo nelle mani sbagliate per ritrovarsi con l’account compromesso.
