PlayStation-Controller vor dunklem Hintergrund als Symbolbild für die aktuelle PSN-Sicherheitslücke und mögliche Kontoübernahmen.
Die mutmaßliche Schwachstelle liegt weniger in der Technik als in den Support-Prozessen.
Bildquelle: ChatGPT

PSN-Sicherheitslücke: Sony-Support hebelt selbst 2FA aus

von Antonia Frank Lesezeit: 6 Min.

PSN-Sicherheitslücke sorgt für Alarm: Hacker kapern PlayStation-Accounts über Sonys Kundensupport. Selbst 2FA hilft nicht mehr.

Inhalt

Eine neue PSN-Sicherheitslücke sorgt derzeit für massive Unruhe unter PlayStation-Spielern. Hinter den Angriffen steckt weder Malware noch ein klassischer Hack oder ein gestohlenes Passwort. Stattdessen übernehmen Täter PSN-Konten direkt über den Sony-Kundensupport. Selbst aktivierte Zwei-Faktor-Authentifizierung schützt Betroffene hierbei nicht mehr zuverlässig vor einer Kontoübernahme.

Im PlayStation Network bahnt sich ein handfester Sicherheitsskandal an. Mehrere aktuelle Fälle legen nahe, dass sich PSN-Accounts mit vergleichsweise einfachen Mitteln direkt über Sonys Kundensupport übernehmen lassen. Selbst Sicherheitsmechanismen wie Zwei-Faktor-Authentifizierung (2FA) oder Passkeys sollen dabei ausgehebelt werden können.

Im Zentrum der Diskussion steht derzeit der bekannte PlayStation-Podcaster Colin Moriarty („Sacred Symbols“), dessen Account vergangene Woche live während eines Streams kompromittiert wurde. Sein Fall scheint jedoch nur die Spitze des Eisbergs zu sein.

Inhalte von YouTube erlauben?

Diese Seite enthält Inhalte, die von YouTube bereitgestellt werden. Wir bitten dich um deine Zustimmung, bevor wir die Inhalte laden, da sie Cookies und andere Technologien verwenden können. Du solltest die Datenschutzerklärung von YouTube und die Cookie-Richtlinie lesen, bevor du einwilligst.

Moriarty erhielt seinen Account nach wenigen Stunden zurück. Nach eigener Aussage spielte dabei jedoch seine langjährige Vernetzung innerhalb der PlayStation- und Spielebranche eine entscheidende Rolle. Viele andere Betroffene hätten diese Möglichkeiten nicht.

PSN-Sicherheitslücke: Keine klassische Hackerattacke

Bei der aktuellen PSN-Sicherheitslücke handelt es sich nicht um einen Angriff auf Sonys Server oder einen technischen Exploit im eigentlichen Sinne. Laut PushSquare, Colin Moriarty und mehreren betroffenen PSN-Nutzern erfolgt die Kontoübernahme nicht über einen klassischen Hack des PlayStation Network, sondern über gezielte Social-Engineering-Angriffe gegen den Sony-Kundensupport.

Nach bisherigen Erkenntnissen benötigen die Angreifer nur wenige Informationen wie die PSN-ID, die verknüpfte E-Mail-Adresse, ein Kaufdatum oder eine alte Transaktions-ID. Mit diesen Daten kontaktieren sie den PlayStation-Support und geben sich als rechtmäßige Kontoinhaber aus. Ist der Mitarbeiter am anderen Ende der Leitung nicht ausreichend sensibilisiert, wird das Konto zurückgesetzt und die vom Täter angegebene E-Mail-Adresse hinterlegt. Anschließend deaktivieren die Angreifer Sicherheitsfunktionen wie 2FA oder Passkeys.

Damit verlieren die eigentlichen Besitzer praktisch sofort die Kontrolle über ihren Account. Laut mehreren Betroffenen umgehen die Angriffe sogar bestehende Sicherheitsmaßnahmen. Selbst 2FA schützt Betroffene nicht mehr zuverlässig. Colin Moriarty brachte die Problematik in seinem Podcast drastisch auf den Punkt:

Euer Passwort spielt keine Rolle. Eure Zwei-Faktor-Authentifizierung spielt keine Rolle. Euer Passkey spielt keine Rolle.

Die mutmaßliche Schwachstelle liegt also nicht in einer technischen Lücke des PSN selbst, sondern in den internen Support-Prozessen bei Sony. Hier liegt das eigentliche Risiko, denn klassische Schutzmaßnahmen helfen nur begrenzt, wenn Angreifer den Kundendienst dazu bringen können, Sicherheitsmechanismen manuell zurückzusetzen.

Öffentliche Trophäen als Einfallstor

Die für den Social-Engineering-Betrug benötigten Informationen sind für die Angreifer relativ einfach zu beschaffen. Öffentliche Trophy-Profile liefern erste Hinweise darauf, wann ein Nutzer ein bestimmtes Spiel gekauft haben könnte. Wer beispielsweise direkt am Releasetag Trophäen in einem neuen Titel freischaltet, hat diesen vermutlich auch an diesem Datum erworben.

Solche Daten nutzen die Täter gezielt aus. Sie verwenden diese Informationen gegenüber Support-Mitarbeitern, um glaubwürdig zu erscheinen. Der X-Nutzer „PorkPoncho“ demonstrierte die Problematik öffentlich. Mit Zustimmung seiner Schwester kontaktierte er den Support und konnte laut eigener Aussage allein mit wenigen Kaufdaten Zugriff auf ihr Konto erhalten.

Inhalte von Twitter erlauben?

Diese Seite enthält Inhalte, die von Twitter bereitgestellt werden. Wir bitten dich um deine Zustimmung, bevor wir die Inhalte laden, da sie Cookies und andere Technologien verwenden können. Du solltest die Datenschutzerklärung von Twitter und die Cookie-Richtlinie lesen, bevor du einwilligst.

Gestohlene PSN-Konten landen im Weiterverkauf

Nach Aussagen mehrerer Betroffener konzentrieren sich die Täter vor allem auf bekannte Persönlichkeiten aus der Gaming-Szene, Trophy-Hunter mit hohen Platzierungen sowie Besitzer seltener alter PSN-Namen aus den Anfangsjahren des PlayStation Network. Vor allem kurze Nutzernamen aus der Gründerzeit gelten als besonders wertvoll. Laut Moriarty und weiteren Beobachtern landen solche gekaperten Accounts anschließend auf Plattformen wie Telegram oder Instagram zum Weiterverkauf. Teilweise berichten Opfer sogar davon, dass ihre Konten mehrfach hintereinander übernommen wurden.

Nicolas Lellouche warnte bereits 2025

Ganz neu ist das Problem allerdings nicht. Der französische Journalist Nicolas Lellouche hatte bereits Ende 2025 über ähnliche Fälle berichtet. Er kritisierte damals insbesondere ein internes Tool des Kundensupports, mit dem sich hinterlegte E-Mail-Adressen selbst dann ändern lassen sollen, wenn Accounts zusätzlich durch Passkeys oder andere Sicherheitsfunktionen abgesichert sind.

Auf X schrieb Lellouche:

„Der Kundendienst verfügt über ein Tool, mit dem sich eine E-Mail zurücksetzen lässt, selbst wenn sie durch ein Passwort oder einen Passkey geschützt ist.“

Laut seiner Einschätzung werden gestohlene Konten systematisch gesammelt und weiterverkauft.

Inhalte von Twitter erlauben?

Diese Seite enthält Inhalte, die von Twitter bereitgestellt werden. Wir bitten dich um deine Zustimmung, bevor wir die Inhalte laden, da sie Cookies und andere Technologien verwenden können. Du solltest die Datenschutzerklärung von Twitter und die Cookie-Richtlinie lesen, bevor du einwilligst.

Hinter vielen PSN-Konten stecken reale Zahlungsdaten

Für Betroffene geht es bei einer Kontoübernahme nicht nur um Trophäen, Spielstände oder digitale Spielebibliotheken. Viele PSN-Accounts sind zusätzlich mit PayPal-Konten, Kreditkarten oder anderen Zahlungsmethoden verknüpft. Gelangen Angreifer an einen kompromittierten Account, könnten darüber unter Umständen weitere Käufe ausgelöst oder persönliche Daten missbraucht werden.

Symbolbild zu einer mutmaßlichen PSN-Sicherheitslücke mit PlayStation-Controller, geöffnetem Schloss und Cybercrime-Atmosphäre.
Die mutmaßlichen Täter nutzen Social Engineering statt klassischer Hacks.

Wie groß dieses Risiko im konkreten Fall tatsächlich ist, bleibt derzeit offen. Hinzu kommt der mögliche Verlust digitaler Spielebibliotheken, deren Wert mitunter mehrere tausend Euro umfasst. Wer den Zugriff auf seinen PSN-Account verliert, büßt unter Umständen nicht nur Spielstände und Trophäen ein, sondern auch zahlreiche digital gekaufte Titel.

Was PlayStation-Spieler jetzt tun können

Einen vollständigen Schutz gegen solche Angriffe gibt es derzeit praktisch nicht. Dennoch empfehlen Sicherheitsexperten einige Vorsichtsmaßnahmen:

  • Kaufbelege und Rechnungen niemals öffentlich posten
  • Alte Screenshots mit Transaktionsdaten löschen
  • Eine separate E-Mail-Adresse ausschließlich für PSN verwenden
  • Öffentliche Trophy-Listen einschränken
  • Bei angeblichen Support-Anrufen äußerst vorsichtig sein

Eine offizielle Stellungnahme zu den aktuellen Vorwürfen steht bisher noch aus. Moriarty erklärte allerdings, bereits mit mehreren hochrangigen Sony-Mitarbeitern gesprochen zu haben. Diese würden das Problem ernst nehmen. Ob Sony seine Verifizierungsprozesse daraufhin tatsächlich verschärft, bleibt jedoch offen.

Digitale Spielebibliotheken werden zum Sicherheitsrisiko

Die eigentliche Schwachstelle ist hierbei weniger die Technik als vielmehr der Mensch. Die aktuelle PSN-Sicherheitslücke zeigt, wie gefährlich schlecht abgesicherte Support-Prozesse werden können. Wenn Angreifer mit wenigen öffentlich verfügbaren Informationen selbst 2FA umgehen können, geht der Schaden noch über einzelne Nutzerkonten hinaus. Sony dürfte durch die Vorwürfe massiv unter Druck geraten.

1 Kommentar lesen
Mehr zu dem Thema

Über

Antonia ist bereits seit Januar 2016 Autorin bei der Tarnkappe. Eingestiegen ist sie zunächst mit Buch-Rezensionen. Inzwischen schreibt sie bevorzugt über juristische Themen, wie P2P-Fälle, sie greift aber auch andere Netzthemen, wie Cybercrime, auf. Ihre Interessen beziehen sich hauptsächlich auf Literatur.