外媒爆PSN存在嚴重漏洞　可繞過驗證盜刷玩家信用卡

索尼多年來都非常注重用戶的資安問題，避免任何形式的個資外流，但根據外媒 mp1st 報導，他們最近似乎出了大包，甚至可能導致用戶的帳戶遭到盜用。

由於法律因素 mp1st 在報導中並沒有公開這個漏洞的細節。然而，他們也提到了希望能夠藉由這些案例來讓索尼注意到這些問題，因為根據部分用戶所提供的資訊，索尼目前似乎還沒有對此做出相關對策。

以下為一些 mp1st 網站在報導中整理的實際受害用戶的案例影片。在推特用戶 Morteza Rahmani 這段長達 15 分鐘的影片中，展示了駭客是如何利用遭到盜用的帳戶進行詐欺行為，即使必須要通過帳戶的 CVV 安全碼認證也一樣。受害者願意將這個影片公開的原因是希望官方能夠正視這個重大的資安漏洞。

https://t.co/8VgCQIPO47
New video without music :D

— Morteza Rahmani (@rmorteza21p) 2019年7月4日

這部影片也展示了如何繞過用戶信用卡的 CVV 認證。再次強調，雖然用戶沒有開啟二階段認證或是安全問題等手段，依然有方法可以預防這些問題，但由於網站本身的漏洞，讓駭客可以透過假付費的方式，讓帳戶恢復到加入資金後首次付費時的預設狀態，藉此濫用帳戶個資。

mp1st 也在文章下方公開了一些案例，都證明了這個發行商目前真的存在著相當嚴重的問題，甚至已經持續了好一段時間，導致許多用戶受騙或是遭到盜用。雖然如果用戶有開啟二階段認證似乎就不會遇到這些問題，但這依然是個不得忽視的問題，因為這絕對會對不知情的用戶造成嚴重的影響。

基本上來說，這算是一個挺常見的個資盜用手段，在 PSN 上使用信用卡號時都必須要輸入卡片背後的 CVV 安全碼。雖然在一般的情況下使用 PSN 時系統並不會有所要求，但當你在不同的主機中登入時，系統就會要求玩家輸入登記信用卡的 CVV 安全碼才能順利登入。然而，在使用了一個非常簡單的方法後，如果盜用者得到了他人的 PlayStation 帳戶，他們可以在不需要輸入 CVV 安全法認證的情況下，直接取得被害人的信用卡資訊。

「這並不是主機上的漏洞，而是網站上的」一位模組設計師透過私訊向 mp1st 網站表示。在 mp1st 詢問了原公開者為何會選擇透過 YouTube 影片的方式公開這個漏洞，而他們的答案也令人十分震驚，他們表示如果不這樣做的話，索尼根本就不會在乎這個問題。根據他們的說法，這個漏洞已經存在了整整 5 年，而他們也表示他們過去就已經透過 HackerOne 網站的資訊向索尼警告過這個漏洞的問題。但索尼之後也在回應中表示這個漏洞並沒有資安風險，而只是單純的詐欺行為。

這個漏洞最後可能會引發大量非法帳戶的轉售，或是搭載了許多由盜用黑卡購買的遊戲的二手主機，同時還能將主機硬體更新到最新版本。而網路上也充斥著這類型的黑市，販售利用這個漏洞購買了大量 PS3、PS VITA、PSP 以及 PS4 遊戲的 PSN 帳戶。

如果仔細尋找的話，也能找到類似的二手主機。在巴西的遊戲商店裡，就能找到這類搭載了大量遊戲的破解版 PS4 主機。在索尼願意解決這些帳戶問題以及漏洞之前，這個情況只會越來越嚴重。另一位熟悉這個漏洞的用戶也向 mp1st 表示，另一個這類賣家常用的手段就是從一位用戶的帳戶中累積信用卡餘額，然後套用到三台不同主機上的 PlayStation 帳戶中，並販售這些主機。但問題是，這些利用黑卡購買的遊戲一旦上線就會遭到封鎖。

無論是在意圖或是目的來說，這完完全全就是詐欺，甚至已經到了接近盜版的邊界，因為這牽扯到了轉售非法獲得的軟體與帳戶買賣，而這絕對違反了 PlayStation 本身的用戶規範。這也絕對是大部分 PlayStation 4 玩家們一直以來都不想看到的現象。

總而言之，為了自身的帳戶安全，最好要隨時注意自己帳戶中的資金流動問題，所以遭到盜用時也能在第一時間立刻發現。也強烈建議玩家開啟 PlayStation 帳戶的二階段認證，至於要不要在帳戶中儲存信用卡資訊全看個人習慣。雖然這與八年前導致上百萬 PSN 帳戶信用卡資訊可能遭到冒用的重大駭入事件比起來或許根本沒什麼，但如果受到有心人士操弄的話，這個漏洞的影響也不可忽視。

mp1st 也整理了幾個潛在案例，詳細請參照原文：mp1st