PSN-Accounts trotz 2FA unsicher? Bericht spricht von fataler Sicherheitslücke bei Sony
Ein neuer Bericht zeigt: PlayStation Network-Accounts könnten trotz 2FA und Passkey gehackt werden. Ursache soll Sonys Support-Prozess sein.
Für viele PlayStation-Spieler ist das eine beunruhigende Vorstellung. Selbst mit allen verfügbaren Sicherheitsmaßnahmen scheint ein PlayStation Network-Account nicht zwingend sicher zu sein. Ein neuer Fall aus Frankreich sorgt aktuell für Aufsehen und wirft ernste Fragen zu Sonys internen Sicherheitsprozessen auf.
Im Mittelpunkt steht der Tech-Journalist Nicolas Lellouche von Numerama.com (via WCCFTech.com). Er berichtet, dass sein PSN-Konto trotz aktivierter Zwei-Faktor-Authentifizierung und Passkey kompromittiert wurde. Noch gravierender: Der Angreifer konnte nicht nur E-Mail-Adresse und Passwort ändern, sondern auch Geld über eine verknüpfte Zahlungsmethode ausgeben.
Werbung
PSN-Konto: Zweimal gehackt, trotz erfolgreicher Wiederherstellung
Besonders irritierend ist der Ablauf. Nachdem Lellouche sein Konto mithilfe des PlayStation-Supports zurückerlangt hatte, übernahm der Angreifer kurze Zeit später erneut die Kontrolle. In der Folge kam es sogar zu einem direkten Austausch zwischen Journalist und Hacker, bei dem Letzterer erklärte, wie sich Sonys Sicherheitsmaßnahmen umgehen lassen sollen. Lange blieb unklar, wo genau das Problem liegt.
In einem Nachbericht bestätigt Lellouche, dass die Sicherheitslücke nicht bei 2FA oder Passkeys selbst liegt, sondern bei der Verifikation der Account-Inhaberschaft durch den Support von Sony.
Demnach genügte es dem Angreifer, eine Transaktionsnummer als Nachweis vorzulegen. Diese Nummer stammte aus einem Screenshot, den der rechtmäßige Besitzer in der Vergangenheit online geteilt hatte. Weitere persönliche Daten wurden offenbar nicht abgefragt. Noch alarmierender: Mehrere aufeinanderfolgende Anfragen zum selben Account lösten intern keinen Alarm aus. Für Sicherheitsexperten ist das ein klassischer Fall von Social Engineering und ein Verfahren, das in dieser Form als grob fahrlässig gilt.
Werbung
Dein DualSense-Controller kann ziemlich unnötig werden, wenn du keinen PSN-Account mehr hast. – Bild: Sony Interactive Entertainment
Warum das so gefährlich ist?
E-Mail-Adressen sind keine geheimen Informationen. Sie tauchen in Screenshots, Foren, Support-Anfragen oder sozialen Netzwerken auf. Wenn diese allein, kombiniert mit leicht zugänglichen Informationen wie Transaktionsbelegen, ausreichen, um einen Account zu übernehmen, entsteht ein enormes Risiko. Besonders kritisch ist dabei der finanzielle Aspekt. Der Verlust einer digitalen Spielebibliothek ist schmerzhaft, doch der unautorisierte Zugriff auf Zahlungsmethoden kann weit größere Schäden verursachen. Erst kürzlich ist das einen Xbox-Nutzer passiert.
Noch gibt es keine Hinweise darauf, dass massenhaft PSN-Accounts betroffen sind. Dennoch zeigt der Fall, wie verwundbar selbst gut geschützte Konten werden können, wenn interne Abläufe Schwächen haben. Sony hat sich bislang nicht öffentlich zu den konkreten Vorwürfen geäußert. Sollte der Bericht jedoch zutreffen, dürfte eine Überarbeitung der Support- und Verifikationsprozesse unausweichlich sein.
Bis Sony reagiert, solltest du (weiterhin) vorsichtig sein. Persönliche Daten und Screenshots mit sichtbaren Account-Informationen sollten niemals öffentlich geteilt werden. Wer ganz auf Nummer sicher gehen will, nutzt für digitale Käufe Prepaid-Guthaben statt Kreditkarten oder PayPal. Der Fall zeigt nämlich deutlich: Moderne Sicherheit endet nicht bei Passkeys und 2FA. Wenn der menschliche Faktor im Support zur Schwachstelle wird, reicht eine einzige Lücke aus. Nicht nur für PlayStation-Spieler ist das ein Weckruf. Passt auf dein „digitales Vermögen“ gut auf. Es kann ziemlich schnell auch wieder weg sein.
Stimmt etwas nicht oder fehlt dir was? Melde dich, wir kümmern uns darum. Nutze unser Feedback-Formular!
