Negli anni il PlayStation Network ha già vissuto momenti difficili sul fronte sicurezza. Chi c’era nel 2011 lo ricorda bene. Oggi il tema torna a farsi caldo, perché è emersa una falla che mette in discussione una delle certezze più diffuse tra i giocatori: la protezione tramite due fattori, anche quando si usa un passkey.
La storia arriva dalla Francia e coinvolge un giornalista tech che conosce bene il settore, segnale che non parliamo di un errore ingenuo o di una password scritta su un post-it.
Un account protetto… almeno sulla carta
Il protagonista è Nicolas Lellouche, giornalista di Numerama. Il suo account PSN era protetto con passkey, una tecnologia considerata più robusta delle classiche password perché richiede biometria come impronta digitale o riconoscimento facciale.
Sulla carta, una barriera solida. Nella realtà, qualcuno è riuscito a superarla.
L’account viene violato. Chi entra cambia email, modifica la password e sfrutta un metodo di pagamento già salvato per effettuare acquisti. A quel punto Lellouche contatta il supporto di Sony per il recupero dell’account.
Ed è qui che la storia prende una piega interessante.
Il recupero account è la vera porta d’ingresso
Per dimostrare la propria identità, al giornalista viene chiesto pochissimo:
nome PSN e numero di transazione di una vecchia ricevuta, senza limiti di data.
Un dato che molti utenti condividono senza pensarci troppo. Screenshot di acquisti, post su Reddit, articoli, forum. Materiale pubblico, indicizzato, facile da recuperare per chi sa dove guardare.
L’account viene restituito. Fine della storia? No.
Hacking, atto secondo
Poco tempo dopo, lo stesso account viene violato di nuovo. Stessa modalità. Stesso punto debole.
A questo punto Lellouche decide di fare qualcosa di insolito: contatta direttamente l’hacker, scrivendogli da un altro account PSN. E riceve risposta.
Chi ha preso il controllo conferma tutto. Il numero di transazione era visibile in uno screenshot pubblicato anni prima all’interno di un articolo. Nessun malware, nessun attacco sofisticato. Solo informazioni pubbliche incrociate con una procedura di verifica troppo permissiva.
Non serve solo la ricevuta
Indagando ancora, emergono altri dettagli poco rassicuranti. Per passare la verifica con il supporto, in alcuni casi risulterebbero sufficienti:
- ultime cifre di una carta di credito o debito
- numero di serie della console
- nome dell’account PSN
Dati che molti utenti considerano innocui. Il numero di serie della console, ad esempio, viene spesso fotografato per assistenza, vendita dell’usato o post sui social.
Solo dopo un secondo contatto con l’assistenza, e dopo aver espresso preoccupazioni chiare, al giornalista vengono richieste informazioni più sensibili: data di nascita, email originale, vecchio ID PSN.
Troppo tardi.
La 2FA non basta se il recupero è debole
Il punto chiave non è la due fattori in sé. Il problema nasce dal processo di recupero account. Anche il miglior lucchetto perde valore se la porta di servizio resta socchiusa.
Il messaggio che passa è semplice e scomodo:
la sicurezza di un account è forte quanto il suo punto più fragile, e in questo caso quel punto sembra essere l’assistenza clienti.
Cosa dovrebbero controllare subito gli utenti PSN
Chi ha un account su PlayStation Network dovrebbe fermarsi un attimo e fare una verifica concreta, non teorica.
Controlla se in passato hai:
- pubblicato screenshot di acquisti PSN
- mostrato ricevute con ID transazione visibile
- condiviso il numero di serie della console
- lasciato metodi di pagamento salvati senza protezioni extra
Se la risposta è sì anche solo a una voce, il rischio esiste.
Sony è al corrente?
Sony è stata contattata per chiarimenti e per capire se la procedura varia da paese a paese. Al momento non ci sono risposte ufficiali, complice il periodo festivo. Questo silenzio non aiuta a rassicurare la community.
Nel frattempo, la falla resta. Non tecnica, ma procedurale.
Una lezione che va oltre PlayStation
Questa storia non riguarda solo PSN. Vale per qualsiasi piattaforma con supporto umano e procedure di verifica manuali.
Passkey, biometria e autenticazione avanzata servono. Senza un recupero account all’altezza, restano una difesa incompleta.
La sicurezza non fallisce sempre per colpa degli hacker. A volte cede per eccesso di fiducia nei dettagli che crediamo irrilevanti.
