Opgelet: hackers kunnen PSN accounts belachelijk makkelijk in handen krijgen – dit is hoe je je kan beschermen

De bal ging aan het rollen toen Colin Moriarty, de oprichter van Kinda Funny die eerder voor IGN werkte en zichzelf de Godfather van PlayStation podcasts noemt, zijn PSN account plots kwijt was aan hackers. De manier waarop dat kon gebeuren, blijkt verontrustend eenvoudig te zijn.

Moriarty kon dankzij zijn contacten bij PlayStation zijn account redelijk snel terugkrijgen, maar vanzelfsprekend heeft niet iedereen de luxe om daar een beroep op te kunnen doen. Hij stuurt dan ook een waarschuwing de wereld in, enerzijds om PlayStation gamers te informeren, anderzijds in de hoop dat Sony actie onderneemt.

Sony zelf geeft cybercriminelen de sleutels tot PSN accounts

Cybercriminelen blijken namelijk niet veel nodig te hebben om met behulp van PlayStation zélf iemands account over te nemen. Ze moeten enkel het PSN ID van het beoogde slachtoffer te kennen en informatie over een oude transactie die verricht werd. Beide zaken zijn vaak relatief makkelijk in handen te krijgen. Moriarty bijvoorbeeld had zijn PSN ID gewoon in zijn profiel op X, het voormalige Twitter, staan.

Wat de hackers vervolgens met deze informatie doen, is ermee naar support gaan en vragen om het e-mailadres dat aan het account gekoppeld is te veranderen. Het feit dat ze het PSN ID kennen en informatie hebben over een oude transactie zou moeten bewijzen dat zij de rechtmatige eigenaar van het account in kwestie zijn.

PlayStation support laat standaard protocollen vervolgens varen en past het e-mailadres gewoon aan. Daardoor wordt de 2FA-beveiliging ook uitgeschakeld, waardoor de hackers dus zonder veel moeite iemand account in handen krijgen.

Wat je zelf kan doen

Wat je zelf kan doen om je PSN account te beschermen, ligt voor de hand. Je PSN ID openlijk delen is bijvoorbeeld niet het beste idee en daarnaast doe je er goed aan om ook geen informatie te delen over transacties die je met je account verricht hebt. Als het voor cybercriminelen volstaat om die informatie te hebben om zo via support je account in handen te krijgen, dan kan je uiteindelijk niet veel meer doen dan precies die informatie geheim te houden.

Natuurlijk is het vooral Sony zelf die hier actie moet ondernemen. Als support inderdaad zo makkelijk een e-mailadres aanpast, dan is dat een fundamentele fout in de protocollen die aangepakt moet worden. Voorlopig is echter niet duidelijk in hoeverre dit momenteel effectief het officiële protocol is, dan wel de aanpak van sommige support medewerkers die op eigen houtje bepaalde regels naast zich neerleggen.

Hoe dan ook is de zaak ernstig genoeg om verder onderzoek te vereisen. Vanuit Sony is er voorlopig nog niet gereageerd. Wel zouden verschillende developers van Sony studio’s de kwestie zelf ook al hebben aangekaart en aandringen op een snelle oplossing.