去年开始,PlayStation玩家圈子里流传着一个让人脊背发凉的传言:你的PSN账号可能随时会被陌生人接管,哪怕你开了双重验证、用了Passkey,也没用。我当时以为这是个别案例,直到最近看到更多受害者站出来——包括一些在圈子里挺有名的人——才发现这事儿已经变成了一场持续发酵的安全事故。

更离谱的是,黑客的作案手法简单到让人无语:直接打电话给PlayStation客服。

打开网易新闻 查看精彩图片

咱们从头捋一捋这个漏洞是怎么运作的。黑客不需要什么高端技术,也不需要攻破索尼的服务器。他们只需要收集一些基础信息——比如你的注册邮箱、交易记录ID,甚至是你在社交媒体上无意透露的截图——然后冒充你本人联系PS Support。客服那边验证流程形同虚设,黑客就这样堂而皇之地拿到了账号控制权。

打开网易新闻 查看精彩图片

这个漏洞最早引起大规模关注,是法国记者Nicolas Lellouche的遭遇。他在网上晒了一张带交易ID的截图,结果账号被黑。当时他联系客服,对方信誓旦旦说"问题已标记,不会再发生"。结果呢?同一个黑客用同一个交易ID、同一套方法,持续入侵他的账号,直到今天都没消停。

那时候很多人还在说风凉话,觉得Lellouche自己不小心,把敏感信息发上网活该。但现在情况变了——黑客开始盯上那些根本没犯这种低级错误的人。他们只需要公开渠道能查到的信息,就能完成整个攻击流程。

最近中招的是Colin Moriarty,PlayStation圈子里挺有名的播客主持人和记者。他在Twitter上发了一长串说明,讲自己是怎么被盯上的。有人提前几天警告他"你要被黑了",结果预言成真。黑客用的全是公开信息,比如他的登录邮箱地址——对一个公众人物来说,这种东西根本藏不住。

Moriarty第一时间联系了PS Support,没用。最后是靠他在索尼内部的人脉关系,才把事情摆平。他自己也承认,普通人没这层关系,根本走不通这条路。

这事儿有几个点特别让人窝火,咱们一条条说。

第一,双重验证和Passkey成了摆设。

索尼推这些安全功能的时候,宣传的是"给账号加把锁"。结果现在看,锁是锁了,但客服那边留了个后门,黑客绕开所有技术防护直接走后门。你玩家这边辛辛苦苦设置一堆验证,人家一个电话就全破了。这设计是不是有点黑色幽默?

第二,客服的身份核验流程形同虚设。

从多个受害者的描述来看,PS Support的验证问题基本就是"报一下邮箱""说一下最近的交易ID"这种级别。这些信息对稍微有心的人来说,获取难度约等于零。Lellouche的案例更讽刺——同一个黑客、同一个交易ID,反复作案,客服那边居然没有触发任何风控预警。

我很好奇索尼内部有没有统计过,同一个交易ID被用于多少次账号恢复申请?如果有数据,为什么没触发人工复核?如果没有数据,那这安全体系是不是太原始了点?

第三,索尼的沉默。

Moriarty被黑之后,索尼肯定知道了。一个在自己生态里有影响力的内容创作者公开喊话,公司层面不可能看不到。但截至目前,官方没有任何公开回应,没有安全公告,没有临时补救措施,连句"我们正在调查"的官话都没有。

打开网易新闻 查看精彩图片

这种沉默比漏洞本身更让人不安。玩家现在完全不知道自己的账号处于什么风险等级,也不知道该做什么额外防护。官方不表态,社区只能自己摸索——比如有人开始建议"注册邮箱和公开邮箱分开用""别在任何地方提自己的PSN ID",但这些本该是平台方解决的问题,现在推给玩家自己想办法。

第四,公众人物和普通玩家的待遇差距。

Moriarty自己也说了,他能拿回账号是因为"在PlayStation社区的地位和多年积累的人脉"。这话听着谦虚,实际挺残酷的——意味着如果你是个普通玩家,遇到同样的事,大概率要在客服电话里循环打转,最后账号归了黑客,库里的游戏、存档、奖杯全打水漂。

我不是说Moriarty不该用人脉解决问题,而是索尼的正规渠道应该对所有人有效。现在这情况,等于变相承认客服体系靠不住,得靠内部关系才能办事。那普通用户的权益怎么保障?

说到这儿,可能有人想问:那现在到底该怎么办?

原文给的建议是两条:第一,注册邮箱和公开邮箱分开;第二,别在网上透露自己的PSN账号名。说实话,这两条都透着一股荒诞感——用一个邮箱还是两个邮箱,这本来应该是用户自由;PSN账号名更是社交功能的一部分,不让说等于废了一半的社区体验。但没办法,在索尼修好这个洞之前,只能先这么苟着。

我还注意到一个细节:这次被黑的受害者里,有不少是奖杯猎人(trophy hunters)。这类人有个特点,账号价值高——几百个游戏、几千小时存档、满屏白金奖杯,转手卖出去比普通账号贵得多。黑客显然也懂这个,专门挑肥羊下手。如果你也是这类玩家,风险系数可能比别人更高。

回头看这件事的发展轨迹,挺让人唏嘘的。去年12月第一次曝光,舆论还在纠结"受害者有没有责任";几个月过去,攻击手法没变,目标却从"不小心晒截图的人"扩展到"任何公开信息足够的人"。这说明漏洞本身没有修复,只是黑客的利用范围在扩大。

更讽刺的是,PlayStation作为主机平台的头部玩家,安全架构居然栽在最原始的社工手段上。不是零日漏洞,不是服务器被黑,是客服电话被忽悠。这种反差,放在任何一家科技公司身上都够尴尬的。

现在球在索尼脚下。是发公告承认问题、升级验证流程、给受影响用户补偿,还是继续装死等舆论自然消退?从过往经验看,大厂面对这种"不致命但烦人"的安全事故,往往选择后者。但账号安全这种事,信任崩塌起来比建立快得多。今天你能默许黑客通过客服偷账号,明天玩家凭什么相信你的支付信息是安全的?

作为一个在PS平台也花了不少时间和钱的玩家,我现在的心情挺复杂的。一方面希望这事闹大,倒逼官方整改;另一方面又知道,每次大规模安全事件之后,真正买单的总是普通用户——改密码、换邮箱、提心吊胆地检查登录记录。平台方的失误,成本转嫁给玩家承担,这套路太熟悉了。

最后说句实在的:如果你现在用的PSN注册邮箱和公开邮箱是同一个,建议抽空改一下。不是说你一定会被黑,但在索尼修好这个洞之前,多一层隔离总是好的。至于索尼什么时候修、修成什么样,咱们只能等着看——反正他们现在还没开口。