رغم تفعيل خاصية التحقق بخطوتين

ثغرة في دعم «بلاي ستيشن» تتيح اختراق الحسابات بسهولة

تصغير
تكبير

تكشَّفت ثغرة أمنية خطيرة في خدمة عملاء «بلاي ستيشن نيتوورك» (PSN)، تسمح للقراصنة بالاستيلاء على الحسابات باستخدام معلومات بسيطة وقابلة للحصول عليها من الجمهور، متجاوزين بذلك كل طبقات الحماية التقليدية بما فيها التحقق بخطوتين (2FA) والمفاتيح الأمنية.

وتصاعدت حدة المخاوف بعد أن استهدف الهجوم، في 18 مايو الجاري، كولين مورياري، مقدم بودكاست «سيكريد سيمبولز» الشهير، الذي تمكن لاحقاً من استعادة حسابه عبر علاقاته الشخصية داخل «سوني»، فيما يظل آلاف المستخدمين العاديين عرضة للخطر من دون حلول واضحة.

ووفقاً للتقارير المتداولة والمستخدمين المتضررين، تعتمد آلية الاختراق على استغلال ثغرة في سياسات دعم العملاء، وليس بالضرورة وجود خلل برمجي، وتتضمن الخطوات الآتية:

• المعلومات المطلوبة: يحتاج المخترق فقط إلى معرفة معرف PSN الخاص بالضحية، بالإضافة إلى معلومة واحدة متعلقة بعملية شراء قديمة، مثل رقم أمر الشراء من المتجر أو آخر أربعة أرقام من بطاقة ائتمان سابقة.

• تنفيذ الهجوم: يتصل المخترق بدعم عملاء «سوني» عبر الدردشة النصية، ويقدم هذه البيانات كدليل على ملكيته للحساب.

• الاستيلاء على الحساب: عند قبولها، يقوم موظف الدعم أو نظام الدعم الآلي بتغيير البريد الإلكتروني المرتبط بالحساب وتعطيل خاصية التحقق بخطوتين، ما يمنح المخترق سيطرة كاملة.

وأوضحت التحقيقات أن الأمر لا يتعلق غالباً بثغرة برمجية بقدر ما هو خلل في بروتوكولات التحقق، حيث يبدو أن دعم «سوني» يمنح أولوية مفرطة لبيانات المعاملات كدليل على الملكية، متجاوزاً بذلك جميع وسائل الحماية الرقمية.

بدأت القصة تتصدر العناوين في 18 مايو، عندما نشر كولين مورياري على منصة «X» تفاصيل تعرض حسابه للاختراق. وكتب: «تم اختراق حسابي في PSN، ويبدو أن ذلك يأتي ضمن سلسلة متطورة ومنسقة من العمليات تستهدف مستخدمين عاديين وبارزين».

وأفاد مورياري بأنه تلقى تحذيراً قبل أيام من الاختراق من مستخدم آخر كان قد تعرض للاختراق بالفعل، يفيد بأن القراصنة يمتلكون معلوماته وسيحاولون الاستيلاء على حسابه. وأكد أنه قام بتغيير كلمة المرور وتفعيل التحقق بخطوتين، لكن ذلك لم يمنع الاختراق، مشدداً على أنه لم يقع ضحية لاحتيال تصيّدي (Phishing). وأوضح أنه لاحظ نشاطاً غير اعتيادي في بريده الإلكتروني تمثل في وصول مئات الرسائل العشوائية، في محاولة لإخفاء رسالة تغيير البريد الإلكتروني لحساب PSN.

وبفضل مكانته البارزة في مجتمع «PlayStation» وعلاقاته المباشرة داخل «سوني»، تمكن مورياري من تجاوز دعم العملاء التقليدي والتواصل مع جهات اتصال داخل الشركة، ما مكّنه من استعادة حسابه بعد ساعات. لكن مورياري أقرّ بأن هذا الامتياز غير متاح للمستخدم العادي، ما يثير مخاوف جدية حول قدرة الضحايا العاديين على استرداد حساباتهم.

وليست هذه الحالة الأولى. ففي ديسمبر 2025، تعرض الصحافي التقني الفرنسي نيكولا لولوش لاختراق مماثل مرتين رغم تفعيله التحقق بخطوتين، حيث استخدم المخترق رقم معاملة قديم نشره لولوش بالخطأ في لقطة شاشة. وعندما اتصل لولوش بدعم «PlayStation» لاستعادة حسابه، طلب منه الموظفون فقط اسم المستخدم ورقم المعاملة، من دون أي تحقق إضافي.

ووعدت شركة «سوني» آنذاك بتصنيف حساب لولوش كـ«حساب عالي المخاطر» لا يجوز لخدمة العملاء التدخل فيه، لكن هذه الحماية استمرت ستة أشهر فقط، وعاد المخترقون لاختراق حسابه مجدداً في مايو 2026.

ويعود أصل التحذير من هذه الثغرة إلى منشور للمستخدم «إم آر بي أو»، أوضح فيه أن المخترق يحتاج فقط إلى معرّف «PSN» ورقم معاملة قديم للاتصال بدعم «سوني» وتغيير البريد الإلكتروني المرتبط بالحساب وتعطيل التحقق بخطوتين. وحتى إعداد هذا التقرير، لم تصدر شركة «سوني» أي بيان رسمي، رغم مرور أكثر من 48 ساعة على إثارة مورياري للقضية. يذكر أن هذه التطورات تأتي في وقت تزامنت فيه أخبار سلبية أخرى، أبرزها رفع أسعار اشتراكات «PlayStation Plus».

وتبرز تساؤلات جدية حول ما إذا كانت «سوني» ستشرع في إصلاح شامل لبروتوكولات التحقق في خدمة العملاء. حتى الآن، تواصل المنصة صمتها، لكن الضغوط تتزايد مع كل حساب جديد يتم اختراقه. ويُنصح المستخدمون بعدم مشاركة معرّفات «PSN» أو لقطات شاشة المعاملات القديمة عبر الإنترنت.

الأكثر قراءة
يومي
اسبوعي