Das PSN-Konto von Nicolas Lellouche entriss ein Hacker trotz starkem Passwort und 2FA mehrfach. Hinterher erklärte er ihm, wie das gelang.
Wie Lellouche beim News-Portal numerama berichtet, gelang es Unbekannten, seinen Account trotz eines starken Passworts und 2FA-Schutz zu übernehmen. Der Hacker änderte das Passwort, die benutzte E-Mail-Adresse und gab über das mit dem PSN-Konto verknüpfte Konto Geld des Opfers aus. Wie man dem unten eingebundenen Tweet entnehmen kann, hat PayPal ihm schon die einzelnen Positionen des Einkaufs seines Hackers mitgeteilt.
Hacker konnte mehrfach Gewalt über fremdes PSN-Konto erlangen
Nachdem Lellouche über den PlayStation-Support wieder Zugriff auf seinen Account erhalten hatte, gelang es demselben Angreifer ein zweites Mal, die Kontrolle über sein Konto zu gewinnen. Laut Lellouche hatte die Übernahme nichts mit der Umgehung moderner Sicherheitstools oder einer ungeschützten oder zu öffentlichen E-Mail-Adresse zu tun. Stattdessen hat der Hacker einfach eine Lücke in den Support-Richtlinien von Sony ausgenutzt.
Foto der Transaktions-ID diente als Schwachstelle
Der Hacker hatte auf einem Foto die Transaktions-ID des Tech-Journalisten gesehen und nutzte diese, um den Support davon zu überzeugen, dass dies sein PSN-Konto sei. Die PlayStation Transaktions-ID ist ein eindeutiger Beleg für einen Kauf, die für Erstattungen oder Nachweise wichtig ist. Merkwürdig ist, dass aufeinanderfolgende Wiederherstellungsanfragen für dasselbe Konto beim Support von Sony keine offensichtlichen Warnsignale ausgelöst hat.
Der erneute Verlust des PSN-Kontos führte dann zu einem Hin und Her zwischen dem tatsächlichen Inhaber des Accounts Lellouche und dem Hacker. Angaben wie die E-Mail-Adresse und die Transaktions-ID veröffentlichen mitunter manchmal Gamer gedankenlos in den sozialen Medien. Dem Bericht zufolge sammeln Angreifer aktiv solche Materialien, da sie wissen, dass sie später verwenden können, um sich bei Support-Interaktionen als Kontoinhaber ausgeben zu können.
Wie wird Sony auf den Vorfall reagieren?
Es ist nicht das erste Mal, dass das PlayStation Network wegen Sicherheitsmängeln in die Kritik gerät. Der PSN-Hack von 2011, der zu einer 23-tägigen Unterbrechung des Dienstes führte, hat damals dem Ruf von Sony sehr geschadet. Seitdem hat Sony stärkere Anmeldeschutzmaßnahmen eingeführt und fordert seine Nutzer dazu auf, 2FA zu aktivieren. Dieser Fall verdeutlicht jedoch, dass man trotz einer sicheren E-Mail-Adresse und mehrfacher Authentifizierung nicht davor geschützt ist, dass jemand Drittes den Account immer wieder übernimmt.
Noch hat Sony nicht öffentlich auf die Vorwürfe von Lellouche reagiert. Auch ist nicht klar, ob sie Änderungen beim Umgang mit der Überprüfung der Identität von Account-Inhabern ihres Gaming-Netzwerkes planen. Last, but not least wissen wir nicht, wie weit verbreitet diese Problematik ist. Immerhin gelang das Kapern des PSN-Kontos gleich mehrfach. Das kann kein Einzelfall sein, denn der Angreifer hat beim PlayStation-Support wahrscheinlich mit ganz unterschiedlichen Mitarbeitern gesprochen.
Wie man sieht, ist das schwächste Glied in der Kette nicht immer der Nutzer, sondern manchmal auch ein Überprüfungsprozess, der eigentlich für mehr Sicherheit sorgen sollte.
Tipps zur eigenen Sicherheit des PSN-Kontos
Als Reaktion kann man nur strikt darauf achten, keinerlei Daten bei Fotos aufzunehmen, damit diese nicht aus Versehen öffentlich geteilt werden können. Vorsichtig sein sollte man auch bei der Verwendung von öffentlich einsehbaren E-Mail-Adressen. Bei der Zahlungsmethode sollte man besser auf Prepaid-Karten zurückgreifen, um das eigene Risiko zu reduzieren. Sich wiederholt nicht mehr einloggen zu können, ist schon sehr frustriefend. Doch noch viel schlimmer wird es, wenn man dabei auch noch Geld verliert, weil jemand auf deine Kosten einkaufen geht.
Sollte Sony die Prozeduren zur Überprüfung des PSN-Kontos zeitnah verschärfen, wäre das Risiko nur von kurzer Dauer. Wenn nicht, könnten künftig von der Problematik noch viel mehr Personen betroffen sein.
