Das Thema Account-Sicherheit begleitet das PlayStation Network leider schon seit vielen Jahren. Spätestens seit dem großen PSN-Hack von 2011, bei dem über Wochen nichts ging und Daten von rund 77 Millionen Nutzern abgeflossen sind, ist klar: Hundertprozentige Sicherheit gibt es nicht. Zwar hat Sony seitdem massiv nachgebessert, doch ein aktueller Fall zeigt, dass selbst moderne Schutzmechanismen nicht unfehlbar sind.
Gehackt trotz 2FA und Passkey
Auslöser ist ein Bericht des französischen Tech-Journalisten Nicolas Lellouche. Sein PSN-Account wurde gehackt – obwohl sowohl Zwei-Faktor-Authentifizierung als auch ein Passkey aktiviert waren. Der Angreifer konnte E-Mail-Adresse und Passwort ändern und sogar über eine verknüpfte Zahlungsmethode Geld ausgeben. Zwar bekam Lellouche seinen Account mit Hilfe des Supports zurück, doch kurze Zeit später wurde er erneut übernommen.
Das eigentliche Problem sitzt beim Support
Der besonders brisante Teil: Laut Aussage des Hackers lag das Problem nicht an klassischen Sicherheitslücken, sondern an der Identitätsprüfung beim PlayStation-Support. Offenbar reichten ein alter Transaktionscode (der in einem Jahre alten Screenshot öffentlich zu sehen war) und der Benutzername aus, um den Account neu zuzuweisen. Weitere sensible Daten wie Name, Geburtsdatum oder Sicherheitsfragen wurden demnach nicht abgefragt. Teilweise sollen sogar die letzten Ziffern einer Kreditkarte oder eine Konsolen-Seriennummer genügt haben.
Lellouches Fall ist kein Einzelfall. Nach seinem Bericht meldeten sich weitere Betroffene mit ähnlichen Erfahrungen. Eine offizielle Stellungnahme von Sony steht bislang aus. Bis sich hier etwas ändert, bleibt nur ein klarer Rat: Keine Screenshots, Transaktionsnummern oder sonstigen Account-Infos öffentlich teilen – auch wenn 2FA und Passkey aktiviert sind. Sicher ist im Moment leider nur, besonders vorsichtig zu sein.
Habt ihr schon ähnliche Erfahrungen gemacht? Und könnt ihr euch noch an den großen PSN-Hack aus dem Jahr 2011 erinnern?
via PlayStation Lifestyle, Bildmaterial: Sony Interactive Entertainment
Fairerweise ist das kein Sonyproblem. Reverse-Engineering in Kombination mit fehlbaren Personal ist so gut wie bei jedem Online-Service ein Problem.
Vielleicht bringe ich nun was durcheinander oder weiß davon noch nichts, aber das ist doch prinzipiell schon gar nicht möglich. Wenn Passkey aktiviert ist fällt automatisch 2FA weg. Zumindest dachte ich das bisher.
Ansonsten, das ist schon eine ziemlich krasse Nummer. Allen voran Sony steht auch all die Jahre später glaube ich immer noch unter besonderer Beobachtung. Es war ja nicht nur der Datenleak von 2011 sondern einige Jahre später gab es immer mal wieder Fälle von größeren Datenlecks und natürlich der große Hack von Sony Pictures. Noch nicht mitgerechnet: Die ganzen DDOS-Angriffe in all den Jahren. Und ja, der Support selbst ist ja das Problem, nicht nur von Sony. Das sind irgendwelche Standorte in der Türkei, Osteuropa oder Afrika (Marokko, Teile von Ägypten) wo teilweise ungeschulte Mitarbeiter sensible Daten bearbeiten. Der letzte Typ, den ich bei Nintendo dran hatte war ein Student aus Portugal. Keiner der Plattformbetreiber gibt mir auch nur ansatzweise das Gefühl, dass meine Daten dort sicher aufgehoben sind.
Passkey und 2FA können prinzipiell gleichzeitig aktiviert sein, und das ist gar nicht so unüblich.
Ob 2FA zusätzlich abgefragt wird, entscheidet der jeweilige Dienst.
Es gibt auch Varianten wo Passkey, 2FA vollständig ersetzt. Aber auch Passkey plus zusätzliche 2FA für „vermeintliche“ maximale Sicherheit. Oder vielleicht sogar am häufigsten als Fallback-Regelung, falls ein neues Gerät verwendet wird, welches Passkey nicht unterstützt oder als Backup-Zugäng, falls der Passkey verloren geht.