Lỗ hổng nghiêm trọng trên PlayStation Network được cho là cho phép tin tặc chiếm quyền kiểm soát tài khoản ngay cả khi đã kích hoạt xác thực hai yếu tố và Passkey.
Hệ thống bảo mật của nền tảng PlayStation từ lâu đã là chủ đề gây nhiều tranh cãi trong cộng đồng công nghệ và game thủ. Sau sự cố sập mạng diện rộng vào năm 2011 khiến dịch vụ gián đoạn suốt 23 ngày, người dùng hệ máy này vẫn thường xuyên đối mặt với các lo ngại về an toàn thông tin và các đợt tấn công từ chối dịch vụ (DDoS).
Tuy nhiên, một báo cáo mới đây đã chỉ ra nguy cơ ở mức độ nghiêm trọng hơn nhiều: khả năng tài khoản bị xâm nhập ngay cả khi người dùng đã áp dụng mọi biện pháp bảo vệ tối đa, bao gồm xác thực hai yếu tố (2FA) và mã khóa (Passkey). Vụ việc bắt nguồn từ chia sẻ của Nicolas Lellouche, một nhà báo công nghệ thuộc ấn phẩm Numerama tại Pháp, khi ông thông báo trên nền tảng X rằng tài khoản PlayStation Network (PSN) được bảo vệ bằng Passkey của mình đã bị tấn công.
Theo ghi nhận, kẻ tấn công không rõ danh tính đã thay đổi địa chỉ email và mật khẩu liên kết, thậm chí thực hiện giao dịch mua sắm từ phương thức thanh toán được lưu trong tài khoản.
Diễn biến vụ việc và phương thức tấn công
Sự việc trở nên phức tạp hơn khi Lellouche, sau khi khôi phục được quyền truy cập thông qua sự can thiệp của bộ phận Hỗ trợ PlayStation, lại tiếp tục bị tin tặc chiếm quyền kiểm soát lần thứ hai. Trong một diễn biến bất ngờ, nạn nhân đã có cuộc trao đổi trực tiếp với kẻ tấn công và được tiết lộ về cách thức vượt qua các lớp bảo mật hiện đại.
Mặc dù bài đăng gốc tóm tắt sự việc trên X đã bị xóa, nội dung này đã được lưu lại bởi thành viên Arubedo trên diễn đàn ResetERA. Theo đó, tin tặc được cho là đã khai thác một “lỗ hổng bảo mật chí mạng trong hệ thống của Sony” để xâm nhập tài khoản PSN. Điều đáng lo ngại nhất là phương thức này được cho là chỉ yêu cầu địa chỉ email liên kết với tài khoản để thực hiện hành vi xâm nhập, thông qua việc sử dụng các công cụ nội bộ.
Nếu thông tin này chính xác, đây là một vấn đề kỹ thuật nghiêm trọng bởi việc lộ địa chỉ email công khai thường không được xem là rủi ro bảo mật trực tiếp dẫn đến mất tài khoản.
Nguyên nhân và khuyến cáo bảo mật
Trong trường hợp cụ thể của Lellouche, tài khoản của ông trở thành mục tiêu do một bức ảnh chụp màn hình hiển thị địa chỉ email đã từng được chia sẻ trực tuyến trong quá khứ. Tin tặc được cho là đang tích cực thu thập các hình ảnh dạng này để thực hiện hành vi chiếm đoạt tài khoản và đảm bảo chủ sở hữu không thể khôi phục.
Hiện tại, cộng đồng vẫn đang chờ đợi các báo cáo chi tiết hơn và xác nhận chính thức về quy mô của lỗ hổng này để xác định liệu toàn bộ người dùng PSN có đang gặp rủi ro hay không. Trong thời gian chờ đợi các bản vá lỗi tiềm năng từ phía Sony, người dùng được khuyến cáo tuân thủ nghiêm ngặt các nguyên tắc bảo mật.
Việc hạn chế tối đa chia sẻ thông tin cá nhân và hình ảnh giao diện tài khoản lên mạng xã hội là ưu tiên hàng đầu. Bên cạnh đó, game thủ nên cân nhắc sử dụng thẻ trả trước (prepaid cards) thay vì liên kết trực tiếp thẻ tín dụng hoặc tài khoản ngân hàng vào các cửa hàng kỹ thuật số để giảm thiểu thiệt hại tài chính trong trường hợp tài khoản bị xâm phạm.
