PSN被盜號只需兩個數字？2FA全程開啟仍被秒破，索尼客服成最大漏洞

3天前，一群黑客用PSN ID和一筆購買記錄，就能把你的賬號據為己有。這不是釣魚，不是撞庫，是你開了兩步驗證都沒用的那種。

這波PSN盜號潮的規模正在擴大，而索尼官方至今沒有給出任何回應，更別提防護建議了。

事情最早由播客主Colin Moriarty曝光。他在推特上描述了自己的遭遇：郵箱突然被數百封垃圾郵件淹沒，來源包括SubStack、EA、AliExpress、Slack——很多他根本沒注冊過的平臺。緊接著，短信提示PSN郵箱被改，再然后，2FA被關閉。

等他反應過來，賬號已經易主。所有登錄信息被篡改，他失去了控制權。

Moriarty強調自己"完全沒有被釣魚，沒點任何鏈接，沒隨便輸密碼"，并且確認2FA當時是開啟狀態。按常理，這足以擋住絕大多數攻擊。但黑客繞過了這一切。

根據受害者的反饋，這波攻擊的關鍵在于索尼的客服渠道。黑客只需要提供兩樣東西：你的PSN ID，以及一筆購買記錄的示例。據稱，這就能讓索尼客服相信對方是賬號持有者，從而移交控制權。

換句話說，你的密碼復雜度、郵箱安全性、2FA開關，統統 irrelevant。攻擊面轉移到了索尼內部流程——而那里， apparently 沒什么驗證門檻。

內容創作者Genki Gamer也中招了。黑客用他的賬號購買了Robux，好在后來退款成功。但至少說明，賬號被盜后會被立即用于消費，時間窗口極短。

這并非孤例。去年12月，科技記者Nicolas Lellouche就遭遇多次盜號。他當時推測攻擊手段是利用交易ID（transaction ID）欺騙PlayStation客服。結合本次事件的細節，方法很可能如出一轍：用購買記錄中的某筆交易信息，冒充身份通過客服驗證。

如果屬實，這意味著攻擊者獲取PSN ID和交易記錄的方式，成了關鍵疑問。

Moriarty提出了兩種可能性：一是內部人員泄露，有人能接觸到PSN用戶數據并對外出售；二是某次數據泄露中被竊取的信息，現在才被集中利用。無論哪種，都指向同一個問題——用戶側幾乎無法防御。

你改再強的密碼沒用。你綁硬件密鑰沒用。你甚至不知道自己的購買記錄是怎么流出去的。

目前索尼尚未就此事發表任何聲明。沒有承認漏洞，沒有安撫用戶，沒有臨時加固措施，更沒有"我們正在調查"的標準話術。一片沉默。

對普通玩家來說，現狀相當尷尬。理論上你能做的：檢查郵箱有沒有異常登錄提醒，留意索尼的短信通知，發現郵箱被改立即嘗試凍結支付渠道。但這些都是在被盜之后的止損，而非預防。

真正的預防手段——比如讓索尼客服加強身份核驗——不在用戶掌控范圍內。

一個值得注意的細節是，Moriarty提到攻擊目標"既有隨機用戶，也有知名人士"。這暗示黑客可能批量獲取了PSN ID列表，而非針對性盯上某個大V。如果你的ID在某個數據泄露事件中被關聯了購買記錄，風險是均等的。

至于購買記錄從何而來，目前無確切說法。可能是過往泄露的數據庫，可能是第三方商戶的漏洞，也可能是索尼內部的問題。在官方表態之前，都是推測。

對國內玩家而言，這件事還有一層特殊性。PSN國區賬號體系相對獨立，但港服、日服、美服賬號大量存在。如果你的賬號注冊在境外服務器，同樣暴露在這次風險中。而跨境維權的難度，懂的都懂。

眼下能做的，大概是翻翻自己的郵箱，看看有沒有來自PlayStation的異常通知。如果有"您的登錄郵箱已更改"這類短信，而你沒有主動操作過，那就是信號。

另外，檢查與PSN綁定的支付方式。信用卡、PayPal、支付寶——任何能直接扣款的渠道，考慮暫時解綁或設置限額。被盜號后的典型操作就是瘋狂購買游戲幣或虛擬商品，能擋住資金損失也是好的。

但說到底，這是索尼該修的漏洞，不是用戶該扛的風險。用PSN ID加一筆購買記錄就能換賬號控制權，這個流程設計本身就有問題。2FA的存在意義被架空，安全架構出現了單點失效。

玩家社區目前的情緒，與其說是憤怒，不如說是無力。你做了所有"正確的事"——強密碼、2FA、不點可疑鏈接——結果黑客從另一條路進來了，而這條路是廠商自己留的。

Colin Moriarty在后續更新中提到，他正在與索尼方面溝通，試圖找回賬號。但對于更多沒有媒體影響力的普通用戶來說，客服渠道的體驗可想而知。排隊、轉接、重復描述問題、被要求提供"證明你是你"的材料——而諷刺的是，黑客正是利用這套證明機制的寬松，才得手的。

Genki Gamer的Robux被退款，算是不幸中的萬幸。更多人可能連申訴入口都找不到，或者發現時余額已被清空。

索尼需要回應的，不只是這次事件本身，而是客服驗證流程的設計邏輯。當2FA都能被客服渠道一鍵繞過，整個安全體系就成了擺設。

在此之前，玩家能做的防御極其有限。而廠商的沉默，本身就是一種答案。