Um alegado problema nos processos de recuperação de contas da PlayStation Network poderá permitir o roubo de perfis através de engenharia social, sem necessidade de passwords ou acesso direto aos sistemas da Sony.
A Sony está novamente a ser alvo de novas preocupações relacionadas com a segurança da PlayStation Network depois de vários relatos apontarem para uma vulnerabilidade nos processos de recuperação de contas, num processo que pode permitir a entrada indevida em perfis de utilizadores através de técnicas de engenharia social (hacking social).
A situação alcançou algum destaque depois de Colin Moriarty, host do podcast Sacred Symbols, revelar ter sido alvo de uma tentativa de roubo da sua conta PSN. De acordo com Moriarty, o ataque não envolveu qualquer intrusão direta nos servidores da Sony, phishing ou fuga massiva de dados, mas sim a manipulação de operadores do suporte técnico através de informação pública ou facilmente obtida.
Entre os dados alegadamente utilizados, para convencer o suporte da legitimidade do pedido, encontram-se o nome de utilizador da PSN, o endereço de email associado à conta e datas de compras ou transações digitais. Parte dessa informação poderá ser inferida através da atividade pública dos utilizadores, incluindo troféus conquistados e datas de lançamento de jogos.
Este tema ganhou ainda mais atenção depois de vários utilizadores terem testado o processo de recuperação de contas. Um dos exemplos mais partilhados nas redes sociais mostra um utilizador a conseguir recuperar, com autorização, a conta da irmã fornecendo apenas informação mínima relacionada com compras digitais e atividade recente.
A situação torna-se particularmente preocupante porque, de acordo com os relatos, após o acesso inicial ao perfil, torna-se possível alterar o email associado à conta, desativar autenticação de dois fatores e remover passkeys sem validações adicionais significativas. Na prática, isso poderá bloquear completamente o acesso do proprietário original ao perfil.
Este caso relembra a situações anteriores envolvendo figuras conhecidas da comunidade PlayStation, que no passado terão perdido acesso permanente à sua conta após um incidente semelhante.
Apesar de não existirem indícios de uma intrusão direta na infraestrutura da PSN, relatos como estes levantam dúvidas sobre os procedimentos internos de validação utilizados pelo suporte da Sony e sobre a robustez das medidas de proteção aplicadas em alterações críticas de segurança.
