[情報] PS Store又被爆料有竊取信用卡資訊的漏洞

作者hn9480412 (ilinker)

看板PlayStation

標題[情報] PS Store又被爆料有竊取信用卡資訊的漏洞

時間Mon Jul 8 20:15:22 2019

外媒爆PSN存在嚴重漏洞　可繞過驗證盜刷玩家信用卡索尼多年來都非常注重用戶的資安問題，避免任何形式的個資外流，但根據外媒 mp1st 報導，他們最近似乎出了大包，甚至可能導致用戶的帳戶遭到盜用。由於法律因素 mp1st 在報導中並沒有公開這個漏洞的細節。然而，他們也提到了希望能夠藉由這些案例來讓索尼注意到這些問題，因為根據部分用戶所提供的資訊，索尼目前似乎還沒有對此做出相關對策。以下為一些 mp1st 網站在報導中整理的實際受害用戶的案例影片。在推特用戶 Morteza Rahmani 這段長達 15 分鐘的影片中，展示了駭客是如何利用遭到盜用的帳戶進行詐欺行為，即使必須要通過帳戶的 CVV 安全碼認證也一樣。受害者願意將這個影片公開的原因是希望官方能夠正視這個重大的資安漏洞。這部影片也展示了如何繞過用戶信用卡的 CVV 認證。再次強調，雖然用戶沒有開啟二階段認證或是安全問題等手段，依然有方法可以預防這些問題，但由於網站本身的漏洞，讓駭客可以透過假付費的方式，讓帳戶恢復到加入資金後首次付費時的預設狀態，藉此濫用帳戶個資。 https://twitter.com/rmorteza21p/status/1146694654378872833 mp1st 也在文章下方公開了一些案例，都證明了這個發行商目前真的存在著相當嚴重的問題，甚至已經持續了好一段時間，導致許多用戶受騙或是遭到盜用。雖然如果用戶有開啟二階段認證似乎就不會遇到這些問題，但這依然是個不得忽視的問題，因為這絕對會對不知情的用戶造成嚴重的影響。基本上來說，這算是一個挺常見的個資盜用手段，在 PSN 上使用信用卡號時都必須要輸入卡片背後的 CVV 安全碼。雖然在一般的情況下使用 PSN 時系統並不會有所要求，但當你在不同的主機中登入時，系統就會要求玩家輸入登記信用卡的 CVV 安全碼才能順利登入。然而，在使用了一個非常簡單的方法後，如果盜用者得到了他人的 PlayStation 帳戶，他們可以在不需要輸入 CVV 安全法認證的情況下，直接取得被害人的信用卡資訊。「這並不是主機上的漏洞，而是網站上的」一位模組設計師透過私訊向 mp1st 網站表示。在 mp1st 詢問了原公開者為何會選擇透過 YouTube 影片的方式公開這個漏洞，而他們的答案也令人十分震驚，他們表示如果不這樣做的話，索尼根本就不會在乎這個問題。根據他們的說法，這個漏洞已經存在了整整 5 年，而他們也表示他們過去就已經透過 HackerOne 網站的資訊向索尼警告過這個漏洞的問題。但索尼之後也在回應中表示這個漏洞並沒有資安風險，而只是單純的詐欺行為。這個漏洞最後可能會引發大量非法帳戶的轉售，或是搭載了許多由盜用黑卡購買的遊戲的二手主機，同時還能將主機硬體更新到最新版本。而網路上也充斥著這類型的黑市，販售利用這個漏洞購買了大量 PS3、PS VITA、PSP 以及 PS4 遊戲的 PSN 帳戶。如果仔細尋找的話，也能找到類似的二手主機。在巴西的遊戲商店裡，就能找到這類搭載了大量遊戲的破解版 PS4 主機。在索尼願意解決這些帳戶問題以及漏洞之前，這個情況只會越來越嚴重。另一位熟悉這個漏洞的用戶也向 mp1st 表示，另一個這類賣家常用的手段就是從一位用戶的帳戶中累積信用卡餘額，然後套用到三台不同主機上的 PlayStation 帳戶中，並販售這些主機。但問題是，這些利用黑卡購買的遊戲一旦上線就會遭到封鎖。無論是在意圖或是目的來說，這完完全全就是詐欺，甚至已經到了接近盜版的邊界，因為這牽扯到了轉售非法獲得的軟體與帳戶買賣，而這絕對違反了 PlayStation 本身的用戶規範。這也絕對是大部分 PlayStation 4 玩家們一直以來都不想看到的現象。總而言之，為了自身的帳戶安全，最好要隨時注意自己帳戶中的資金流動問題，所以遭到盜用時也能在第一時間立刻發現。也強烈建議玩家開啟 PlayStation 帳戶的二階段認證，至於要不要在帳戶中儲存信用卡資訊全看個人習慣。雖然這與八年前導致上百萬 PSN 帳戶信用卡資訊可能遭到冒用的重大駭入事件比起來或許根本沒什麼，但如果受到有心人士操弄的話，這個漏洞的影響也不可忽視。 https://game.udn.com/game/story/10453/3914364 結論:兩階段驗證先開起來再說。在PS Store買東西先用點數卡儲值後再買就好了 -- 作者 kech9111 (...) 看板 Gossiping 標題 [問卦] 有沒有亞洲只剩台灣沒有知名樂園的八卦？時間 Wed Dec 24 19:18:26 2014

噓 ineedadvice: 你把5566放在哪 12/24 19:19

→ ineedadvice: ......看錯12/24 19:19

推 KYALUCARD: ....要介紹眼鏡行嗎?12/24 19:19

-- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/PlayStation/M.1562588126.A.A9D.html

推 sunlockfire: 繞過...XDDD 07/08 20:16

→ igarasiyui: 所謂的繞過安全碼是不是指只要輸入密碼就能買這件事 07/08 20:23

噓 Miyanishi25: 你把5566放在哪 07/08 20:24

→ Miyanishi25: ......看錯 07/08 20:24

→ ash9911911: 樓下yo叔咦這裡不是八卦版 07/08 20:26

→ kuku321: 你可以繞過ZIP的加密嗎? 07/08 20:31

→ hahn: 早期ps3一堆被盜刷又來了? 07/08 20:31

→ igarasiyui: 就算進得了你的帳戶好了進去信用卡資訊看到的是暗碼 07/08 20:32

推 henryhao: 樓下yoyodiy 07/08 20:33

→ igarasiyui: 我也還滿想看看這要怎麼繞過的 07/08 20:33

→ angierlee: 我想問這類漏洞，信用卡綁了用完在取消真的就沒問題嗎 07/08 20:33

推 dasuininder: 還好我習慣用點卡XD 07/08 20:37

噓 sarusama: 繞個屁? 3:20登入帳號, 4:57輸入日期和安全碼 07/08 20:38

推 sunlockfire: 信用卡用完后刪掉信用卡資訊大致上來說就沒問題了 07/08 20:40

噓 antony0310: 台灣記者知不知道自己在寫什麼?XD 07/08 20:41

→ sunlockfire: 除非盜你帳號的要幫你儲值或是盜用其他人的卡來刷 07/08 20:41

→ sunlockfire: 那就是另一回事了 07/08 20:41

噓 sarusama: We are noticed that there are some stores in third 07/08 20:42

→ sarusama: world countries that they abuse and hack playstation 07/08 20:42

→ sarusama: accounts to share games illicit and earn money in 07/08 20:43

→ igarasiyui: 讓帳戶恢復到加入資金後首次付費時的預設狀態 <-老實 07/08 20:44

→ igarasiyui: 說這句我完全看不懂在寫啥是我中文爛還是記者中文爛? 07/08 20:44

推 sunlockfire: 我也看不懂...是說看了SA大的英文敘述就盜用某些人 07/08 20:45

→ sunlockfire: 的帳號然後轉賣給其他人利用分享的方式營利這樣@@? 07/08 20:45

→ sunlockfire: 就類似有些賣場賣超便宜的數位板其實是有問題的 07/08 20:46

推 lsps40803: yo叔表示 07/08 20:46

→ sarusama: https://tinyurl.com/y6qwaagl <= youtube連結 07/08 20:48

→ SulaA: 那些不都賣帳號的數位板嗎 07/08 20:49

推 Barrel: yoyodiy不用出來道歉嗎 07/08 20:58

→ sarusama: 我看了3次勉強得出的結論是:如果你的PSN帳號密碼以及 07/08 21:02

→ sarusama: 信用卡資料安全碼全部被駭客知道了,那駭客可以用增加 07/08 21:03

→ sarusama: 家庭帳號的方式來盜買遊戲到其他的PSN帳號? 07/08 21:03

推 sunlockfire: 結論:駭客就在你身邊或是結合時事就是那個IT高手勒? 07/08 21:05

→ igarasiyui: 還要先拿的到別人的信用卡資訊才能用的"漏洞" 哈哈哈 07/08 21:07

→ igarasiyui: 那要解決這洞洞也不難啦就直接取消常用主機限定一帳 07/08 21:08

→ igarasiyui: 號綁一主機但我看這樣幹崩潰的人大概更多(包括我) 07/08 21:09

噓 antony0310: 台灣記者在這篇文章沒有講到家庭帳號 07/08 21:10

→ dasuininder: 我也來聽一下好了 07/08 21:19

推 angierlee: 剛想用手機登入解PSN信用卡,發現登不進去,密碼也改不了 07/08 21:27

→ angierlee: 了= = 07/08 21:27

推 carey1119: Yoyodiy又出手了 07/08 21:37

→ dasuininder: 他的做法是 07/08 21:53

→ dasuininder: 1.一個有PayPal的帳戶 07/08 21:53

→ dasuininder: 2.加入一張新的信用卡 07/08 21:53

→ dasuininder: 3.利用新的信用卡跳過PayPal的輸入資訊直接讓paypal 07/08 21:53

→ dasuininder: 成為可使用狀態然後加值 07/08 21:53

→ dasuininder: 4.新增小孩帳戶並連接主帳戶的錢包使用權 07/08 21:53

→ dasuininder: 5.用小孩帳戶去買遊戲，接著可能在一台ps4上登入小孩 07/08 21:53

→ dasuininder: 帳號並下載那些遊戲然後販售整台含帳號遊戲 07/08 21:53

→ dasuininder: 根本搞肛…不愧是在第三世界才有市場 07/08 21:53

→ dasuininder: 我的結論是不在帳號裡留信用卡資訊或paypal即使被盜 07/08 21:56

→ dasuininder: 了也不會心痛，反正傳個證件就能無痛拿回，頂多餘額 07/08 21:56

→ dasuininder: 零頭被拿去買主題 07/08 21:56

→ dasuininder: 還有兩階段記得申請就好 07/08 21:59

推 maikxz: yo叔都繞過 07/08 22:05

推 Howardyu: yo叔又繞過了 07/08 22:13

→ slchao: 習慣用儲值卡，純粹是比較便宜XD，之前用完信用卡會刪除 07/08 22:57

推 mc3308321: 先前在板上好像看過帳號莫名被儲值大量金額，該不會就 07/08 23:13

→ mc3308321: 是那些事件吧？ 07/08 23:13

→ midas82539: 結論：買點數卡立刻花完就沒事 07/08 23:35

推 snowtree: 看來是個IT高手 07/08 23:50

→ googlexxxx: 其實Sony 算周全了，我之前信用卡事件發信也有賠償， 07/09 00:49

→ googlexxxx: 只要有在server的資料都賠，相對於Apple pay 跟Androi 07/09 00:49

→ googlexxxx: d 的糾紛，sony 發生的比例相對低了 07/09 00:49

→ googlexxxx: 前公司有個副總換了三張卡以上還是被Android 在不同國 07/09 00:51

→ googlexxxx: 家盜刷，而apple pay 是我之前建構平台跟第三方支付調 07/09 00:51

→ googlexxxx: 糾紛資料才發現也不少 07/09 00:51

推 supersd: 我覺得它是在講，psn網站的刷卡有方式能跳過不用輸入信 07/09 07:19

→ supersd: 用卡背面的安全碼，盜刷集團更容易盜刷，只是牟利的方式 07/09 07:20

→ supersd: 變成刷完要賣帳號或是賣主機 07/09 07:20

→ igarasiyui: 根本不用什麼方式阿你在store登入買東西本來就只要再 07/09 07:37

→ igarasiyui: 輸入密碼就能付款只是給你買東西方便而已 07/09 07:38

→ igarasiyui: 但你要盜刷你還是得拿到帳密現在反而不是PSN容易流出 07/09 07:39

→ igarasiyui: 那些帳密阿你要跟其他網站設成一樣又不開兩階段也只 07/09 07:39

→ igarasiyui: 能認了不是嗎 07/09 07:39

→ hzero0228: 信用卡用完就直接砍，別留系統 07/09 08:14

→ shifa: 屯積小藍要用再儲值妥妥der 07/09 08:24

→ shifa: 風險大概是預先買的儲值卡不會生利息以及使用期限？ XD 07/09 08:25

推 supersd: 可是二階段帳密有時很正常，有一段時間完全收不到電話， 07/09 08:53

→ supersd: 只能打電話給口音很怪的對岸人解除… 07/09 08:53

推 bcmaple: yo叔：有比我還要會繞?? 07/09 10:46

噓 jacvky: 看完只覺得，所謂資安專家都是一群危言聳聽的奸商 07/09 10:48

→ jacvky: 每一個都講你家公司資安有xx問題，只要買xx來防護之類的 07/09 10:49

→ igarasiyui: 樓上知道的太多了 07/09 10:56

推 sunlockfire: 有的病毒還是防毒公司寫的呢...顆顆 07/09 11:43

推 foxey: 心思都花在擋國外區刷卡吧? 買日版麻煩這我怨念很深www 07/09 12:07

→ igarasiyui: 樓上目前的狀況是日帳只要用chocom就可以直接儲值購 07/09 12:12

→ igarasiyui: 買了就算CERO Z的都可以上一期Freeplay的邊緣禁地賣 07/09 12:12

→ igarasiyui: 100羊的驗證機制我用chocom就直接刷過了 07/09 12:13

推 ronga: 還好我都用點卡，不怕 07/09 12:38

噓 Asbtt: 索74快來護駕。 07/09 12:58

推 cat05joy: 不用護航老用戶都知道用完要立刻刪除卡號 07/09 14:40

→ OscarShih: 不是都用2階保密了嗎 07/09 15:29

推 Sabaurila: PSN刷完刪除資料不是基本嗎 07/09 15:30

推 forest204c: 不要在任何網站儲存信用卡資料就對了 07/09 15:32

推 winniekuma: psn被盜刷過+1 07/09 16:49

→ HukataNami: yoyodiy 07/10 01:30

推 maiico: 沒在綁信用卡+1 07/10 08:19

推 mido: yo叔表示 07/10 10:38