Una vulnerabilità che non ha nulla a che fare con codice malevolo o sofisticate tecniche di hacking sta mettendo a rischio migliaia di account PSN. Il problema, piuttosto imbarazzante per un colosso come Sony, risiede nelle procedure di verifica dell’assistenza clienti PlayStation, che si sono rivelate troppo superficiali e facilmente aggirabili. Negli ultimi giorni si sono moltiplicate le segnalazioni online di utenti che si sono ritrovati con l’account rubato, nonostante avessero attivato misure di protezione solide come l’autenticazione a due fattori (2FA). Tra le vittime illustri c’è anche Colin Moriarty, storico giornalista di IGN e fondatore dello studio Kinda Funny Games, che ha raccontato pubblicamente la propria esperienza su Twitter.
Moriarty ha spiegato di aver ricevuto un messaggio da un altro utente già hackerato, che lo avvertiva di un imminente tentativo di furto del suo account PSN. Cosa che puntualmente si è verificata poco dopo. La dinamica dell’attacco è disarmante nella sua semplicità: agli aggressori basta conoscere il PSN ID della vittima e qualche dettaglio relativo a una transazione passata, come un numero d’ordine completo o le ultime quattro cifre di una carta utilizzata in passato. Con queste informazioni, riescono a convincere gli operatori dell’assistenza Sony a modificare l’indirizzo email associato all’account. Una volta cambiata la mail, il gioco è fatto: i malintenzionati disattivano anche la 2FA e ottengono il controllo completo dell’account.
Il nodo della sicurezza e come provare a difendersi
Per Moriarty la vicenda si è risolta in tempi relativamente rapidi, grazie ai contatti interni a Sony costruiti in anni di carriera nel settore. Ma è evidente che la stragrande maggioranza degli utenti non può contare su questo tipo di scorciatoia, e recuperare un account PSN compromesso diventa un percorso decisamente più lungo e frustrante.
Il punto centrale resta come proteggersi da questo tipo di attacco. Il consiglio più immediato è quello di nascondere il proprio PSN ID ovunque sia visibile pubblicamente: profili social, piattaforme di streaming, forum di gaming. Anche solo temporaneamente, almeno finché Sony non interviene a rafforzare le proprie procedure di verifica interna. Rendere meno accessibile il PSN ID riduce sensibilmente il rischio di finire nel mirino.
Perché gli account PSN fanno gola agli hacker
Questo episodio non fa che confermare quanto il PlayStation Network sia un bersaglio appetibile per hacker e truffatori di ogni tipo. Gli utenti vengono costantemente presi di mira da tentativi di phishing, furti di credenziali e attacchi di social engineering. Del resto, non è difficile capire perché: col passare degli anni, le librerie digitali di videogiochi accumulate sugli account PSN possono raggiungere un valore economico tutt’altro che trascurabile. E quando la porta d’ingresso non è un sofisticato exploit ma una semplice telefonata all’assistenza clienti, il problema diventa ancora più serio.
