索尼賬號(hào)被盜潮越鬧越大，官方還在裝死

去年開始，PlayStation玩家圈子里流傳著一個(gè)讓人脊背發(fā)涼的傳言：你的PSN賬號(hào)可能隨時(shí)會(huì)被陌生人接管，哪怕你開了雙重驗(yàn)證、用了Passkey，也沒用。我當(dāng)時(shí)以為這是個(gè)別案例，直到最近看到更多受害者站出來——包括一些在圈子里挺有名的人——才發(fā)現(xiàn)這事兒已經(jīng)變成了一場持續(xù)發(fā)酵的安全事故。

更離譜的是，黑客的作案手法簡單到讓人無語：直接打電話給PlayStation客服。

咱們從頭捋一捋這個(gè)漏洞是怎么運(yùn)作的。黑客不需要什么高端技術(shù)，也不需要攻破索尼的服務(wù)器。他們只需要收集一些基礎(chǔ)信息——比如你的注冊(cè)郵箱、交易記錄ID，甚至是你在社交媒體上無意透露的截圖——然后冒充你本人聯(lián)系PS Support。客服那邊驗(yàn)證流程形同虛設(shè)，黑客就這樣堂而皇之地拿到了賬號(hào)控制權(quán)。

這個(gè)漏洞最早引起大規(guī)模關(guān)注，是法國記者Nicolas Lellouche的遭遇。他在網(wǎng)上曬了一張帶交易ID的截圖，結(jié)果賬號(hào)被黑。當(dāng)時(shí)他聯(lián)系客服，對(duì)方信誓旦旦說"問題已標(biāo)記，不會(huì)再發(fā)生"。結(jié)果呢？同一個(gè)黑客用同一個(gè)交易ID、同一套方法，持續(xù)入侵他的賬號(hào)，直到今天都沒消停。

那時(shí)候很多人還在說風(fēng)涼話，覺得Lellouche自己不小心，把敏感信息發(fā)上網(wǎng)活該。但現(xiàn)在情況變了——黑客開始盯上那些根本沒犯這種低級(jí)錯(cuò)誤的人。他們只需要公開渠道能查到的信息，就能完成整個(gè)攻擊流程。

最近中招的是Colin Moriarty，PlayStation圈子里挺有名的播客主持人和記者。他在Twitter上發(fā)了一長串說明，講自己是怎么被盯上的。有人提前幾天警告他"你要被黑了"，結(jié)果預(yù)言成真。黑客用的全是公開信息，比如他的登錄郵箱地址——對(duì)一個(gè)公眾人物來說，這種東西根本藏不住。

Moriarty第一時(shí)間聯(lián)系了PS Support，沒用。最后是靠他在索尼內(nèi)部的人脈關(guān)系，才把事情擺平。他自己也承認(rèn)，普通人沒這層關(guān)系，根本走不通這條路。

這事兒有幾個(gè)點(diǎn)特別讓人窩火，咱們一條條說。

第一，雙重驗(yàn)證和Passkey成了擺設(shè)。

索尼推這些安全功能的時(shí)候，宣傳的是"給賬號(hào)加把鎖"。結(jié)果現(xiàn)在看，鎖是鎖了，但客服那邊留了個(gè)后門，黑客繞開所有技術(shù)防護(hù)直接走后門。你玩家這邊辛辛苦苦設(shè)置一堆驗(yàn)證，人家一個(gè)電話就全破了。這設(shè)計(jì)是不是有點(diǎn)黑色幽默？

第二，客服的身份核驗(yàn)流程形同虛設(shè)。

從多個(gè)受害者的描述來看，PS Support的驗(yàn)證問題基本就是"報(bào)一下郵箱""說一下最近的交易ID"這種級(jí)別。這些信息對(duì)稍微有心的人來說，獲取難度約等于零。Lellouche的案例更諷刺——同一個(gè)黑客、同一個(gè)交易ID，反復(fù)作案，客服那邊居然沒有觸發(fā)任何風(fēng)控預(yù)警。

我很好奇索尼內(nèi)部有沒有統(tǒng)計(jì)過，同一個(gè)交易ID被用于多少次賬號(hào)恢復(fù)申請(qǐng)？如果有數(shù)據(jù)，為什么沒觸發(fā)人工復(fù)核？如果沒有數(shù)據(jù)，那這安全體系是不是太原始了點(diǎn)？

第三，索尼的沉默。

Moriarty被黑之后，索尼肯定知道了。一個(gè)在自己生態(tài)里有影響力的內(nèi)容創(chuàng)作者公開喊話，公司層面不可能看不到。但截至目前，官方?jīng)]有任何公開回應(yīng)，沒有安全公告，沒有臨時(shí)補(bǔ)救措施，連句"我們正在調(diào)查"的官話都沒有。

這種沉默比漏洞本身更讓人不安。玩家現(xiàn)在完全不知道自己的賬號(hào)處于什么風(fēng)險(xiǎn)等級(jí)，也不知道該做什么額外防護(hù)。官方不表態(tài)，社區(qū)只能自己摸索——比如有人開始建議"注冊(cè)郵箱和公開郵箱分開用""別在任何地方提自己的PSN ID"，但這些本該是平臺(tái)方解決的問題，現(xiàn)在推給玩家自己想辦法。

第四，公眾人物和普通玩家的待遇差距。

Moriarty自己也說了，他能拿回賬號(hào)是因?yàn)?在PlayStation社區(qū)的地位和多年積累的人脈"。這話聽著謙虛，實(shí)際挺殘酷的——意味著如果你是個(gè)普通玩家，遇到同樣的事，大概率要在客服電話里循環(huán)打轉(zhuǎn)，最后賬號(hào)歸了黑客，庫里的游戲、存檔、獎(jiǎng)杯全打水漂。

我不是說Moriarty不該用人脈解決問題，而是索尼的正規(guī)渠道應(yīng)該對(duì)所有人有效。現(xiàn)在這情況，等于變相承認(rèn)客服體系靠不住，得靠內(nèi)部關(guān)系才能辦事。那普通用戶的權(quán)益怎么保障？

說到這兒，可能有人想問：那現(xiàn)在到底該怎么辦？

原文給的建議是兩條：第一，注冊(cè)郵箱和公開郵箱分開；第二，別在網(wǎng)上透露自己的PSN賬號(hào)名。說實(shí)話，這兩條都透著一股荒誕感——用一個(gè)郵箱還是兩個(gè)郵箱，這本來應(yīng)該是用戶自由；PSN賬號(hào)名更是社交功能的一部分，不讓說等于廢了一半的社區(qū)體驗(yàn)。但沒辦法，在索尼修好這個(gè)洞之前，只能先這么茍著。

我還注意到一個(gè)細(xì)節(jié)：這次被黑的受害者里，有不少是獎(jiǎng)杯獵人（trophy hunters）。這類人有個(gè)特點(diǎn)，賬號(hào)價(jià)值高——幾百個(gè)游戲、幾千小時(shí)存檔、滿屏白金獎(jiǎng)杯，轉(zhuǎn)手賣出去比普通賬號(hào)貴得多。黑客顯然也懂這個(gè)，專門挑肥羊下手。如果你也是這類玩家，風(fēng)險(xiǎn)系數(shù)可能比別人更高。

回頭看這件事的發(fā)展軌跡，挺讓人唏噓的。去年12月第一次曝光，輿論還在糾結(jié)"受害者有沒有責(zé)任"；幾個(gè)月過去，攻擊手法沒變，目標(biāo)卻從"不小心曬截圖的人"擴(kuò)展到"任何公開信息足夠的人"。這說明漏洞本身沒有修復(fù)，只是黑客的利用范圍在擴(kuò)大。

更諷刺的是，PlayStation作為主機(jī)平臺(tái)的頭部玩家，安全架構(gòu)居然栽在最原始的社工手段上。不是零日漏洞，不是服務(wù)器被黑，是客服電話被忽悠。這種反差，放在任何一家科技公司身上都?jí)驅(qū)擂蔚摹?/p>

現(xiàn)在球在索尼腳下。是發(fā)公告承認(rèn)問題、升級(jí)驗(yàn)證流程、給受影響用戶補(bǔ)償，還是繼續(xù)裝死等輿論自然消退？從過往經(jīng)驗(yàn)看，大廠面對(duì)這種"不致命但煩人"的安全事故，往往選擇后者。但賬號(hào)安全這種事，信任崩塌起來比建立快得多。今天你能默許黑客通過客服偷賬號(hào)，明天玩家憑什么相信你的支付信息是安全的？

作為一個(gè)在PS平臺(tái)也花了不少時(shí)間和錢的玩家，我現(xiàn)在的心情挺復(fù)雜的。一方面希望這事鬧大，倒逼官方整改；另一方面又知道，每次大規(guī)模安全事件之后，真正買單的總是普通用戶——改密碼、換郵箱、提心吊膽地檢查登錄記錄。平臺(tái)方的失誤，成本轉(zhuǎn)嫁給玩家承擔(dān)，這套路太熟悉了。

最后說句實(shí)在的：如果你現(xiàn)在用的PSN注冊(cè)郵箱和公開郵箱是同一個(gè)，建議抽空改一下。不是說你一定會(huì)被黑，但在索尼修好這個(gè)洞之前，多一層隔離總是好的。至于索尼什么時(shí)候修、修成什么樣，咱們只能等著看——反正他們現(xiàn)在還沒開口。