外媒爆PSN存在严重漏洞 可绕过验证盗刷玩家信用卡
索尼多年来都非常注重用户的资安问题,避免任何形式的个资外流,但根据外媒 mp1st
报导,他们最近似乎出了大包,甚至可能导致用户的帐户遭到盗用。
由于法律因素 mp1st 在报导中并没有公开这个漏洞的细节。然而,他们也提到了希望能
够借由这些案例来让索尼注意到这些问题,因为根据部分用户所提供的资讯,索尼目前似
乎还没有对此做出相关对策。
以下为一些 mp1st 网站在报导中整理的实际受害用户的案例影片。在推特用户 Morteza
Rahmani 这段长达 15 分钟的影片中,展示了骇客是如何利用遭到盗用的帐户进行诈欺行
为,即使必须要通过帐户的 CVV 安全码认证也一样。受害者愿意将这个影片公开的原因
是希望官方能够正视这个重大的资安漏洞。
这部影片也展示了如何绕过用户信用卡的 CVV 认证。再次强调,虽然用户没有开启二阶
段认证或是安全问题等手段,依然有方法可以预防这些问题,但由于网站本身的漏洞,让
骇客可以透过假付费的方式,让帐户恢复到加入资金后首次付费时的默认状态,借此滥用
帐户个资。
https://twitter.com/rmorteza21p/status/1146694654378872833
mp1st 也在文章下方公开了一些案例,都证明了这个发行商目前真的存在着相当严重的问
题,甚至已经持续了好一段时间,导致许多用户受骗或是遭到盗用。虽然如果用户有开启
二阶段认证似乎就不会遇到这些问题,但这依然是个不得忽视的问题,因为这绝对会对不
知情的用户造成严重的影响。
基本上来说,这算是一个挺常见的个资盗用手段,在 PSN 上使用信用卡号时都必须要输
入卡片背后的 CVV 安全码。虽然在一般的情况下使用 PSN 时系统并不会有所要求,但当
你在不同的主机中登入时,系统就会要求玩家输入登记信用卡的 CVV 安全码才能顺利登
入。然而,在使用了一个非常简单的方法后,如果盗用者得到了他人的 PlayStation 帐
户,他们可以在不需要输入 CVV 安全法认证的情况下,直接取得被害人的信用卡资讯。
“这并不是主机上的漏洞,而是网站上的”一位模组设计师透过私讯向 mp1st 网站表示
。在 mp1st 询问了原公开者为何会选择透过 YouTube 影片的方式公开这个漏洞,而他们
的答案也令人十分震惊,他们表示如果不这样做的话,索尼根本就不会在乎这个问题。根
据他们的说法,这个漏洞已经存在了整整 5 年,而他们也表示他们过去就已经透过
HackerOne 网站的资讯向索尼警告过这个漏洞的问题。但索尼之后也在回应中表示这个
漏洞并没有资安风险,而只是单纯的诈欺行为。
这个漏洞最后可能会引发大量非法帐户的转售,或是搭载了许多由盗用黑卡购买的游戏的
二手主机,同时还能将主机硬件更新到最新版本。而网络上也充斥着这类型的黑市,贩售
利用这个漏洞购买了大量 PS3、PS VITA、PSP 以及 PS4 游戏的 PSN 帐户。
如果仔细寻找的话,也能找到类似的二手主机。在巴西的游戏商店里,就能找到这类搭载
了大量游戏的破解版 PS4 主机。在索尼愿意解决这些帐户问题以及漏洞之前,这个情况
只会越来越严重。另一位熟悉这个漏洞的用户也向 mp1st 表示,另一个这类卖家常用的
手段就是从一位用户的帐户中累积信用卡余额,然后套用到三台不同主机上的
PlayStation 帐户中,并贩售这些主机。但问题是,这些利用黑卡购买的游戏一旦上线
就会遭到封锁。
无论是在意图或是目的来说,这完完全全就是诈欺,甚至已经到了接近盗版的边界,因为
这牵扯到了转售非法获得的软件与帐户买卖,而这绝对违反了 PlayStation 本身的用户
规范。这也绝对是大部分 PlayStation 4 玩家们一直以来都不想看到的现象。
总而言之,为了自身的帐户安全,最好要随时注意自己帐户中的资金流动问题,所以遭到
盗用时也能在第一时间立刻发现。也强烈建议玩家开启 PlayStation 帐户的二阶段认证
,至于要不要在帐户中储存信用卡资讯全看个人习惯。虽然这与八年前导致上百万 PSN
帐户信用卡资讯可能遭到冒用的重大骇入事件比起来或许根本没什么,但如果受到有心人
士操弄的话,这个漏洞的影响也不可忽视。
https://game.udn.com/game/story/10453/3914364
结论:两阶段验证先开起来再说。在PS Store买东西先用点数卡储值后再买就好了