Il mondo della sicurezza digitale si trova di fronte a un nuovo inquietante caso che mette in discussione l'efficacia dei sistemi di protezione anche quando sembrano funzionare correttamente.
Nicolas Lellouche, giornalista francese di Numerama, ha vissuto un'esperienza che dovrebbe far riflettere tutti gli utenti PlayStation: il suo account è stato violato per ben tre volte consecutive, nonostante avesse attivato sia la verifica in due passaggi che il passkey, strumenti considerati tra i più affidabili per proteggere i propri dati.
La vicenda assume contorni ancora più sorprendenti per il modo in cui si è sviluppata. Dopo i primi due furti, il giornalista è riuscito a mettersi in contatto direttamente con chi gli aveva sottratto l'account, trascorrendo addirittura una serata a conversare con lui.
È stato proprio l'hacker a spiegargli nel dettaglio il meccanismo della violazione, rivelando una falla nel sistema di verifica della proprietà degli account PSN che Sony dovrebbe urgentemente affrontare.
Il punto debole individuato riguarda la procedura di recupero account implementata da PlayStation Network. Per dimostrare di essere il legittimo proprietario di un profilo, il sistema richiede semplicemente il numero di una transazione effettuata tramite quell'account.
Nel caso specifico di Lellouche, l'aggressore era entrato in possesso di questo codice attraverso uno screenshot che il giornalista stesso aveva condiviso online, una leggerezza che evidenzia quanto sia facile esporre involontariamente dati sensibili nell'era dei social media.
Ciò che rende la situazione particolarmente preoccupante non è solo la facilità con cui è stato possibile violare l'account, ma l'assenza totale di meccanismi di allerta.
L'hacker ha potuto inoltrare tre richieste consecutive senza che il sistema attivasse alcun filtro di sicurezza o destasse sospetti. Una volta ottenuto l'accesso, ha potuto modificare email e password associate al profilo, arrivando persino a effettuare acquisti utilizzando i metodi di pagamento collegati all'account.
L'impotenza dell'utente di fronte a questa situazione è forse l'aspetto più frustrante dell'intera vicenda. Nonostante i tentativi di rivolgersi all'assistenza PlayStation, Lellouche non è riuscito a recuperare definitivamente il controllo del suo account.
Dopo un primo apparente successo nel riottenere l'accesso, si è ritrovato nuovamente vittima della stessa violazione, e poi ancora una terza volta. Attualmente si trova nella paradossale situazione di sperare che sia l'hacker stesso a restituirgli spontaneamente quanto gli appartiene.
Inizialmente il giornalista francese aveva parlato genericamente di una "grave falla di sicurezza", ma successivamente ha arricchito il racconto con tutti i dettagli emersi dalla sua insolita conversazione con il responsabile del furto.
Questa fonte diretta ha permesso di comprendere che esisterebbe un vero e proprio mercato di cacciatori di account, che setacciano la rete alla ricerca di immagini in cui compaiono indirizzi email e numeri di transazione visibili.
In un'epoca in cui la condivisione online è diventata pratica quotidiana, quante informazioni potenzialmente compromettenti circolano sui social network e sui forum di videogiocatori? Screenshot di acquisti effettuati, conferme via email lasciate incautamente visibili, dettagli di profilo mostrati durante streaming o video: tutti elementi che potrebbero trasformarsi in chiavi d'accesso per malintenzionati.
Sebbene non condividere dati sensibili rimanga la raccomandazione più ovvia, la realtà è che molti utenti non sono consapevoli di quali informazioni possano essere effettivamente sfruttate.
Al momento Sony non ha rilasciato dichiarazioni ufficiali sulla questione, lasciando nell'incertezza milioni di utenti PlayStation in tutto il mondo. Senza una parola chiara da parte dell'azienda giapponese, è impossibile stabilire con precisione l'estensione del rischio per gli altri possessori di account PSN.
Quello che appare evidente è la necessità di un intervento urgente per correggere questa vulnerabilità nel sistema di verifica, oltre a un ripensamento complessivo delle procedure di recupero account che dovrebbero proteggere gli utenti legittimi anziché agevolare involontariamente i malintenzionati.
