3天前,一群黑客用PSN ID和一笔购买记录,就能把你的账号据为己有。这不是钓鱼,不是撞库,是你开了两步验证都没用的那种。
这波PSN盗号潮的规模正在扩大,而索尼官方至今没有给出任何回应,更别提防护建议了。
事情最早由播客主Colin Moriarty曝光。他在推特上描述了自己的遭遇:邮箱突然被数百封垃圾邮件淹没,来源包括SubStack、EA、AliExpress、Slack——很多他根本没注册过的平台。紧接着,短信提示PSN邮箱被改,再然后,2FA被关闭。
等他反应过来,账号已经易主。所有登录信息被篡改,他失去了控制权。
Moriarty强调自己"完全没有被钓鱼,没点任何链接,没随便输密码",并且确认2FA当时是开启状态。按常理,这足以挡住绝大多数攻击。但黑客绕过了这一切。
根据受害者的反馈,这波攻击的关键在于索尼的客服渠道。黑客只需要提供两样东西:你的PSN ID,以及一笔购买记录的示例。据称,这就能让索尼客服相信对方是账号持有者,从而移交控制权。
换句话说,你的密码复杂度、邮箱安全性、2FA开关,统统 irrelevant。攻击面转移到了索尼内部流程——而那里, apparently 没什么验证门槛。
内容创作者Genki Gamer也中招了。黑客用他的账号购买了Robux,好在后来退款成功。但至少说明,账号被盗后会被立即用于消费,时间窗口极短。
这并非孤例。去年12月,科技记者Nicolas Lellouche就遭遇多次盗号。他当时推测攻击手段是利用交易ID(transaction ID)欺骗PlayStation客服。结合本次事件的细节,方法很可能如出一辙:用购买记录中的某笔交易信息,冒充身份通过客服验证。
如果属实,这意味着攻击者获取PSN ID和交易记录的方式,成了关键疑问。
Moriarty提出了两种可能性:一是内部人员泄露,有人能接触到PSN用户数据并对外出售;二是某次数据泄露中被窃取的信息,现在才被集中利用。无论哪种,都指向同一个问题——用户侧几乎无法防御。
你改再强的密码没用。你绑硬件密钥没用。你甚至不知道自己的购买记录是怎么流出去的。
目前索尼尚未就此事发表任何声明。没有承认漏洞,没有安抚用户,没有临时加固措施,更没有"我们正在调查"的标准话术。一片沉默。
对普通玩家来说,现状相当尴尬。理论上你能做的:检查邮箱有没有异常登录提醒,留意索尼的短信通知,发现邮箱被改立即尝试冻结支付渠道。但这些都是在被盗之后的止损,而非预防。
真正的预防手段——比如让索尼客服加强身份核验——不在用户掌控范围内。
一个值得注意的细节是,Moriarty提到攻击目标"既有随机用户,也有知名人士"。这暗示黑客可能批量获取了PSN ID列表,而非针对性盯上某个大V。如果你的ID在某个数据泄露事件中被关联了购买记录,风险是均等的。
至于购买记录从何而来,目前无确切说法。可能是过往泄露的数据库,可能是第三方商户的漏洞,也可能是索尼内部的问题。在官方表态之前,都是推测。
对国内玩家而言,这件事还有一层特殊性。PSN国区账号体系相对独立,但港服、日服、美服账号大量存在。如果你的账号注册在境外服务器,同样暴露在这次风险中。而跨境维权的难度,懂的都懂。
眼下能做的,大概是翻翻自己的邮箱,看看有没有来自PlayStation的异常通知。如果有"您的登录邮箱已更改"这类短信,而你没有主动操作过,那就是信号。
另外,检查与PSN绑定的支付方式。信用卡、PayPal、支付宝——任何能直接扣款的渠道,考虑暂时解绑或设置限额。被盗号后的典型操作就是疯狂购买游戏币或虚拟商品,能挡住资金损失也是好的。
但说到底,这是索尼该修的漏洞,不是用户该扛的风险。用PSN ID加一笔购买记录就能换账号控制权,这个流程设计本身就有问题。2FA的存在意义被架空,安全架构出现了单点失效。
玩家社区目前的情绪,与其说是愤怒,不如说是无力。你做了所有"正确的事"——强密码、2FA、不点可疑链接——结果黑客从另一条路进来了,而这条路是厂商自己留的。
Colin Moriarty在后续更新中提到,他正在与索尼方面沟通,试图找回账号。但对于更多没有媒体影响力的普通用户来说,客服渠道的体验可想而知。排队、转接、重复描述问题、被要求提供"证明你是你"的材料——而讽刺的是,黑客正是利用这套证明机制的宽松,才得手的。
Genki Gamer的Robux被退款,算是不幸中的万幸。更多人可能连申诉入口都找不到,或者发现时余额已被清空。
索尼需要回应的,不只是这次事件本身,而是客服验证流程的设计逻辑。当2FA都能被客服渠道一键绕过,整个安全体系就成了摆设。
在此之前,玩家能做的防御极其有限。而厂商的沉默,本身就是一种答案。
热门跟贴