Un episodio recente ha riacceso forti preoccupazioni sulla sicurezza del PlayStation Network, sollevando dubbi concreti sull’affidabilità delle procedure di assistenza adottate da Sony, anche quando sugli account risultano attive protezioni avanzate come verifica in due passaggi e passkey.
Una falla critica nella verifica della proprietà dell’account
Il 23 dicembre, alle 10:28, il giornalista francese Nicolas Lellouche di Numerama ha confermato pubblicamente che il punto debole non sarebbe un attacco diretto ai sistemi del PSN, ma il metodo utilizzato dal supporto PlayStation per verificare la legittima proprietà di un account.
Secondo quanto emerso, l’account del giornalista sarebbe stato sottratto due volte utilizzando come unica prova un numero di transazione, recuperato da uno screenshot condiviso tempo prima dal proprietario stesso. Ancora più allarmante è il fatto che la procedura di recupero non abbia richiesto ulteriori informazioni sensibili e che tre tentativi consecutivi sullo stesso account non abbiano attivato alcun sistema di allerta o blocco preventivo.
Il caso Nicolas Lellouche e l’hacker che aggira ogni protezione
La vicenda è diventata di dominio pubblico quando Lellouche ha raccontato su X che il suo account, protetto da passkey, era stato compromesso. L’attaccante è riuscito a modificare email e password, arrivando persino a effettuare acquisti sfruttando un metodo di pagamento associato.
Dopo un primo recupero tramite l’assistenza PlayStation, l’account è stato nuovamente sottratto. La situazione ha assunto contorni ancora più inquietanti quando il giornalista ha dichiarato di aver parlato direttamente con l’hacker, il quale avrebbe spiegato di sfruttare procedure di supporto interne per aggirare completamente le moderne misure di sicurezza.
Screenshot e social engineering come punto debole principale
In un messaggio successivamente rimosso, ma salvato da un utente del forum ResetERA, Lellouche ha spiegato che l’attacco sarebbe partito unicamente dall’indirizzo email collegato all’account, reso pubblico in uno screenshot condiviso online tempo prima.
Secondo questa ricostruzione, alcuni gruppi starebbero raccogliendo sistematicamente screenshot contenenti email e riferimenti di pagamento per avviare richieste di recupero fraudolente, arrivando in alcuni casi a impedire definitivamente ai legittimi proprietari di riottenere l’accesso. Se confermato, si tratterebbe di una falla strutturale estremamente pericolosa, perché la semplice esposizione pubblica di un’email non dovrebbe mai consentire il controllo di un account.
Tutti gli account PlayStation sono davvero a rischio
Al momento non esiste una conferma ufficiale che il problema coinvolga l’intera infrastruttura del PlayStation Network. Tuttavia, il caso solleva interrogativi molto seri, soprattutto alla luce di precedenti storici come l’attacco del 2011, che portò a un blackout del servizio durato 23 giorni.
In attesa di un intervento ufficiale da parte di Sony e di un rafforzamento delle procedure di assistenza, restano valide alcune precauzioni di base: evitare la condivisione di screenshot con dati sensibili, limitare le informazioni personali pubbliche e utilizzare metodi di pagamento separati o prepagati per gli acquisti digitali. La perdita dell’accesso a una libreria digitale è già un danno rilevante, ma il rischio di furti economici diretti rende la questione ancora più critica.