外媒爆PSN存在严重漏洞　可绕过验证盗刷玩家信用卡
索尼多年来都非常注重用户的资安问题，避免任何形式的个资外流，但根据外媒 mp1st
报导，他们最近似乎出了大包，甚至可能导致用户的帐户遭到盗用。
由于法律因素 mp1st 在报导中并没有公开这个漏洞的细节。然而，他们也提到了希望能
够借由这些案例来让索尼注意到这些问题，因为根据部分用户所提供的资讯，索尼目前似
乎还没有对此做出相关对策。
以下为一些 mp1st 网站在报导中整理的实际受害用户的案例影片。在推特用户 Morteza
Rahmani 这段长达 15 分钟的影片中，展示了骇客是如何利用遭到盗用的帐户进行诈欺行
为，即使必须要通过帐户的 CVV 安全码认证也一样。受害者愿意将这个影片公开的原因
是希望官方能够正视这个重大的资安漏洞。
这部影片也展示了如何绕过用户信用卡的 CVV 认证。再次强调，虽然用户没有开启二阶
段认证或是安全问题等手段，依然有方法可以预防这些问题，但由于网站本身的漏洞，让
骇客可以透过假付费的方式，让帐户恢复到加入资金后首次付费时的默认状态，借此滥用
帐户个资。
https://twitter.com/rmorteza21p/status/1146694654378872833
mp1st 也在文章下方公开了一些案例，都证明了这个发行商目前真的存在着相当严重的问
题，甚至已经持续了好一段时间，导致许多用户受骗或是遭到盗用。虽然如果用户有开启
二阶段认证似乎就不会遇到这些问题，但这依然是个不得忽视的问题，因为这绝对会对不
知情的用户造成严重的影响。
基本上来说，这算是一个挺常见的个资盗用手段，在 PSN 上使用信用卡号时都必须要输
入卡片背后的 CVV 安全码。虽然在一般的情况下使用 PSN 时系统并不会有所要求，但当
你在不同的主机中登入时，系统就会要求玩家输入登记信用卡的 CVV 安全码才能顺利登
入。然而，在使用了一个非常简单的方法后，如果盗用者得到了他人的 PlayStation 帐
户，他们可以在不需要输入 CVV 安全法认证的情况下，直接取得被害人的信用卡资讯。
“这并不是主机上的漏洞，而是网站上的”一位模组设计师透过私讯向 mp1st 网站表示
。在 mp1st 询问了原公开者为何会选择透过 YouTube 影片的方式公开这个漏洞，而他们
的答案也令人十分震惊，他们表示如果不这样做的话，索尼根本就不会在乎这个问题。根
据他们的说法，这个漏洞已经存在了整整 5 年，而他们也表示他们过去就已经透过
HackerOne 网站的资讯向索尼警告过这个漏洞的问题。但索尼之后也在回应中表示这个
漏洞并没有资安风险，而只是单纯的诈欺行为。
这个漏洞最后可能会引发大量非法帐户的转售，或是搭载了许多由盗用黑卡购买的游戏的
二手主机，同时还能将主机硬件更新到最新版本。而网络上也充斥着这类型的黑市，贩售
利用这个漏洞购买了大量 PS3、PS VITA、PSP 以及 PS4 游戏的 PSN 帐户。
如果仔细寻找的话，也能找到类似的二手主机。在巴西的游戏商店里，就能找到这类搭载
了大量游戏的破解版 PS4 主机。在索尼愿意解决这些帐户问题以及漏洞之前，这个情况
只会越来越严重。另一位熟悉这个漏洞的用户也向 mp1st 表示，另一个这类卖家常用的
手段就是从一位用户的帐户中累积信用卡余额，然后套用到三台不同主机上的
PlayStation 帐户中，并贩售这些主机。但问题是，这些利用黑卡购买的游戏一旦上线
就会遭到封锁。
无论是在意图或是目的来说，这完完全全就是诈欺，甚至已经到了接近盗版的边界，因为
这牵扯到了转售非法获得的软件与帐户买卖，而这绝对违反了 PlayStation 本身的用户
规范。这也绝对是大部分 PlayStation 4 玩家们一直以来都不想看到的现象。
总而言之，为了自身的帐户安全，最好要随时注意自己帐户中的资金流动问题，所以遭到
盗用时也能在第一时间立刻发现。也强烈建议玩家开启 PlayStation 帐户的二阶段认证
，至于要不要在帐户中储存信用卡资讯全看个人习惯。虽然这与八年前导致上百万 PSN
帐户信用卡资讯可能遭到冒用的重大骇入事件比起来或许根本没什么，但如果受到有心人
士操弄的话，这个漏洞的影响也不可忽视。
https://game.udn.com/game/story/10453/3914364
结论:两阶段验证先开起来再说。在PS Store买东西先用点数卡储值后再买就好了

绕过...XDDD

所谓的绕过安全码是不是指只要输入密码就能买这件事

你把5566放在哪......看错

楼下yo叔 咦这里不是八卦版

你可以绕过ZIP的加密吗?

早期ps3一堆被盗刷 又来了?

就算进得了你的帐户好了 进去信用卡资讯看到的是暗码

楼下yoyodiy

我也还满想看看这要怎么绕过的

我想问这类漏洞，信用卡绑了用完在取消真的就没问题吗

还好我习惯用点卡XD

绕个屁? 3:20登入帐号, 4:57输入日期和安全码

信用卡用完后删掉信用卡资讯 大致上来说就没问题了

台湾记者知不知道自己在写什么?XD

除非盗你帐号的要帮你储值 或是盗用其他人的卡来刷那就是另一回事了

We are noticed that there are some stores in thirdworld countries that they abuse and hack playstationaccounts to share games illicit and earn money in

让帐户恢复到加入资金后首次付费时的默认状态 <-老实说这句我完全看不懂在写啥 是我中文烂还是记者中文烂?

我也看不懂...是说看了SA大的英文叙述 就盗用某些人的帐号然后转卖给其他人 利用分享的方式营利这样@@?就类似有些卖场卖超便宜的数位板其实是有问题的

yo叔表示

https://tinyurl.com/y6qwaagl <= youtube连结

那些不都卖帐号的数位板吗

yoyodiy不用出来道歉吗

我看了3次勉强得出的结论是:如果你的PSN帐号密码以及信用卡资料安全码全部被骇客知道了,那骇客可以用增加家庭帐号的方式来盗买游戏到其他的PSN帐号?

结论:骇客就在你身边或是结合时事就是 那个IT高手勒?

还要先拿的到别人的信用卡资讯才能用的"漏洞" 哈哈哈那要解决这洞洞也不难啦 就直接取消常用主机 限定一帐号绑一主机 但我看这样干 崩溃的人大概更多(包括我)

台湾记者在这篇文章没有讲到家庭帐号

我也来听一下好了

刚想用手机登入解PSN信用卡,发现登不进去,密码也改不了了= =

Yoyodiy又出手了

他的做法是1.一个有PayPal的帐户2.加入一张新的信用卡3.利用新的信用卡跳过PayPal的输入资讯直接让paypal成为可使用状态然后加值4.新增小孩帐户并连接主帐户的钱包使用权5.用小孩帐户去买游戏，接着可能在一台ps4上登入小孩帐号并下载那些游戏然后贩售整台含帐号游戏根本搞肛…不愧是在第三世界才有市场我的结论是不在帐号里留信用卡资讯或paypal即使被盗了也不会心痛，反正传个证件就能无痛拿回，顶多余额零头被拿去买主题还有两阶段记得申请就好

yo叔都绕过

你把5566放在哪......看错

....要介绍眼镜行吗?

yo叔又绕过了

习惯用储值卡，纯粹是比较便宜XD，之前用完信用卡会删除

先前在板上好像看过帐号莫名被储值大量金额，该不会就是那些事件吧？

结论：买点数卡立刻花完就没事

看来是个IT高手

其实Sony 算周全了，我之前信用卡事件发信也有赔偿，只要有在server的资料都赔，相对于Apple pay 跟Android 的纠纷，sony 发生的比例相对低了前公司有个副总换了三张卡以上还是被Android 在不同国家盗刷，而apple pay 是我之前建构平台跟第三方支付调纠纷资料才发现也不少

我觉得它是在讲，psn网站的刷卡有方式能跳过不用输入信用卡背面的安全码，盗刷集团更容易盗刷，只是牟利的方式变成刷完要卖帐号或是卖主机

根本不用什么方式阿 你在store登入买东西本来就只要再输入密码就能付款 只是给你买东西方便而已但你要盗刷你还是得拿到帐密 现在反而不是PSN容易流出那些帐密阿 你要跟其他网站设成一样又不开两阶段 也只能认了不是吗

信用卡用完就直接砍，别留系统

屯积小蓝 要用再储值 妥妥der风险大概是预先买的储值卡不会生利息以及使用期限？ XD

可是二阶段帐密有时很正常，有一段时间完全收不到电话，只能打电话给口音很怪的对岸人解除…

yo叔：有比我还要会绕??

看完只觉得，所谓资安专家都是一群危言耸听的奸商每一个都讲你家公司资安有xx问题，只要买xx来防护之类的

楼上知道的太多了

有的病毒还是防毒公司写的呢...颗颗

心思都花在挡国外区刷卡吧? 买日版麻烦这我怨念很深www

楼上 目前的状况是日帐只要用chocom就可以直接储值购买了 就算CERO Z的都可以 上一期Freeplay的边缘禁地卖100羊的验证机制 我用chocom就直接刷过了

还好我都用点卡，不怕

索74快来护驾。

不用护航 老用户都知道用完要立刻删除卡号

不是都用2阶保密了吗

PSN刷完删除资料不是基本吗

不要在任何网站储存信用卡资料就对了

psn被盗刷过+1

yoyodiy

没在绑信用卡+1

yo叔表示