Мы ведь все привыкли думать, что если включили двухфакторную аутентификацию (2FA) и поставили сложный пароль, то мы в безопасности. Ну, типа, «цифровая крепость», никто не пройдет. А потом тебе на почту приходит: «Ваш адрес электронной почты для PSN изменён». И всё. Крепость взята без единого выстрела. Не взломом, нет. Её просто... перепродали изнутри. Ключ от ворот попал не в те руки. Оказывается, все эти пасскеи и двухфакторка – просто декорации, если на той стороне сидит уставший или некомпетентный сотрудник поддержки.
На днях случилась дикая история с французским журналистом Николасом Лелушем из Numerama. Человек он в технологиях не последний, защита у него стояла максимальная, вплоть до входа по пасскею. И что вы думаете? У него угнали аккаунт. Дважды. За один день.
И ладно бы это был какой-то гениальный взлом серверов Sony. Нет, все куда банальнее и оттого страшнее. Хакер просто написал в техподдержку PlayStation, представился владельцем и скинул... номер старой транзакции. Просто цифры из чека, скриншот которого Николас когда-то по неосторожности засветил в интернете.
Этого хватило. Сотрудник поддержки, даже не моргнув глазом, отключил двухфакторку, сбросил пароль и отдал аккаунт чужому человеку. Никаких тебе «назовите девичью фамилию матери», никаких проверок паспорта. Просто: «А, у вас есть номер чека? Держите ключи от квартиры».
Самое смешное, в плохом смысле, что, когда Николас вернул себе доступ (потратив кучу времени и нервов), хакер снова угнал его учетную запись буквально через час. По той же схеме. Позже он даже смог пообщался с хакером. Тот, похваставшись, и как рассказал про номера транзакции. В любом старом чеке из PSN. Если этот номер кто-то увидит – всё, аккаунт можно считать чужим. Нужно просто долбить поддержку, пока не попадешь на оператора, которому все равно, и он все сбросит без лишних вопросов. Потому что служба поддержки PlayStation, проверяя владельца, спрашивает в первую очередь именно его. Номер транзакции и ID. И больше почти ничего.
Представляете? Ни даты рождения, ничего личного. Просто циферки из чека, который человек по глупости мог когда-то запостить в социальных сетях, жалуясь на цену или хвастаясь удачной покупкой. Или который завалялся в старой почте. Этого достаточно, чтобы какой-то незнакомец позвонил в поддержку, сказал: «Я это я, вот вам номер из 2020 года», и его признают законным владельцем. Даже если за минуту до этого «владельцем» признали другого человека. Система получается настолько хрупкая, что ломается от одного звонка. При этом хакер, с которым пообщался Николас, утверждает, что используют специальные инструменты для сбора таких скриншотов и данных по чекам.
И вот тут мы упираемся в главную проблему. Это не уязвимость в коде, это так называемый «человеческий фактор». Знаете, как бывает, когда компании экономят и нанимают дешевых специалистов на аутсорсе? Людей сажают на зарплату в три копейки, дают скрипты, и им вообще фиолетово, кто там кому аккаунт возвращает. Им главное – закрыть тикет.
Сразу вспоминается скандал с Epic Games, который произошёл несколько лет назад. Помните? Там сотрудник поддержки вообще устроил бизнес: продавал и раздавал друзьям редкие скины в Fortnite, просто потому что у него была кнопка «сделать хорошо». Тут, похоже, та же беда. Её подтверждает и недавняя кража аккаунта dav1d_123, одного из самых известных в мире «охотников за трофеями» на PlayStation. Или более ранний взлом учетной записи Hakoom. А ведь их учетки были защищены 2FA и тоже «ушли» через поддержку: злоумышленники даже хвастались, что могут получить доступ к любому пользователю, просто зная его ник в PlayStation.
И тут на память приходит всплывшее несколько лет назад видео из внутреннего инструментария Sony для технической поддержки, утилиты под названием «PACMAN» (PlayStation Account & Customer Manager). Через которую сотрудники видят все данные пользователей. Учитывая, что всё в нашем мире имеет свою цену, вполне возможно, что доступ к такой системе имеют не только правильные руки, но и те, кому туда совсем не положено ходить, или просто люди, которым на всё положить и лень разбираться с цифровой гигиеной, особенно в эпоху повсеместной удаленки.
Вот и получается, что самые сложные замки на входной двери бессильны, если у дворника есть мастер-ключ от всех квартир. И этот ключ иногда теряется, иногда продается, иногда его просто выманивают. Что делать простым пользователям? Не светить лишний раз цифровыми чеками, скриншотами с номерами заказов или серийниками консолей. Вообще никогда, нигде. Потому что для Sony этот клочок информации, оказывается, весомее, чем ваш пароль, пасскеи и двухфакторка.
Да, это костыли. Но пока Sony не пересмотрят свои процедуры верификации и не добавит реальные проверки, все наши аккаунты зависли в состоянии кота Шредингера – они одновременно и наши, и нет. Потому что где-то там, в архивах, наверняка лежит чек за скачанный пять лет назад «Фоллаут». И этот чек – твоя ахиллесова пята. Звучит как парадокс, да? Но это выглядит именно так.