Содержимое
В PlayStation Network обнаружили критическую уязвимость. Аккаунт журналиста Numerama Николя Леллуша взломали дважды, несмотря на включённую двухфакторную аутентификацию и сложный пароль. Оба раза злоумышленник смог сменить почту, пароль и потратить деньги с привязанного платёжного средства. Оказалось, что проблема в процедуре восстановления через поддержку Sony. Для подтверждения владения аккаунтом службе поддержки оказался достаточен номер транзакции — его злоумышленник получил из старого скриншота. Ни дополнительных проверок, ни реакции на повторные запросы по одному и тому же аккаунту не последовало. Фактически речь идёт о классической социальной инженерии, усиленной слабым регламентом поддержки. Если описанный сценарий подтвердится в других случаях, под угрозой может оказаться любой аккаунт, «засветивший» почту или платежные данные в сети. Sony ситуацию пока официально не прокомментировала.