Уязвимость PSN позволяет взломать аккаунт даже с 2FA — Sony не исправляет баг полгода

Вокруг безопасности PlayStation Network разразился новый скандал. Критическая уязвимость, позволяющая перехватить контроль над учётной записью PSN, до сих пор не устранена, хотя Sony была уведомлена о проблеме около шести месяцев назад.

Проблема кроется в процедуре верификации владельцев аккаунта службой поддержки PlayStation. Согласно новым данным, хакер может обойти даже включённую двухфакторную аутентификацию (2FA) и passkey, если завладеет номером транзакции, связанной с учётной записью пользователя.

История получила новый импульс после публикации французского журналиста Никола Леллюша из Numerama. Несколько месяцев назад он рассказал о взломе своего аккаунта PlayStation, несмотря на активный 2FA. Теперь он сообщил, что был взломан повторно.

«Лол, помните взлом моего аккаунта PlayStation, который облетел весь мир, и Sony до сих пор его не исправила? Меня снова взломали этой ночью. Вот мы и снова здесь, как говорится. (Не покупайте цифровые игры!)»

Согласно предыдущим отчётам, злоумышленники используют данные с маркетплейсов, утечек или скриншотов покупок. Даже, казалось бы, безобидный номер заказа может быть использован для запуска процедуры восстановления аккаунта через поддержку. Sony пока публично не комментировала новые сообщения. Компания уже много лет ведёт собственную программу bug bounty для PlayStation и PSN, поощряя исследователей безопасности сообщать о критических уязвимостях.

Ситуация особенно тревожна на фоне бурной истории PlayStation Network, связанной с безопасностью. Самой громкой остаётся масштабная атака 2011 года, когда произошла утечка данных около 77 миллионов учётных записей PSN, а сервис был недоступен более трёх недель. В последние годы PSN также сталкивалась с проблемами, включая несколько крупных глобальных сбоев в 2024 и 2025 годах, что вновь подняло вопросы о стабильности и безопасности инфраструктуры Sony.

Эксперты по безопасности напоминают пользователям никогда не публиковать скриншоты покупок, номера транзакций или подтверждения заказов, связанных с PlayStation Store. Даже единичная утечка таких данных может быть использована киберпреступниками. Зачастую самым слабым звеном являются уже не пароли или системы входа, а процедуры восстановления аккаунтов и ошибки со стороны службы поддержки.