外媒爆PSN存在嚴重漏洞　可繞過驗證盜刷玩家信用卡
索尼多年來都非常注重用戶的資安問題，避免任何形式的個資外流，但根據外媒 mp1st
報導，他們最近似乎出了大包，甚至可能導致用戶的帳戶遭到盜用。
由於法律因素 mp1st 在報導中並沒有公開這個漏洞的細節。然而，他們也提到了希望能
夠藉由這些案例來讓索尼注意到這些問題，因為根據部分用戶所提供的資訊，索尼目前似
乎還沒有對此做出相關對策。
以下為一些 mp1st 網站在報導中整理的實際受害用戶的案例影片。在推特用戶 Morteza
Rahmani 這段長達 15 分鐘的影片中，展示了駭客是如何利用遭到盜用的帳戶進行詐欺行
為，即使必須要通過帳戶的 CVV 安全碼認證也一樣。受害者願意將這個影片公開的原因
是希望官方能夠正視這個重大的資安漏洞。
這部影片也展示了如何繞過用戶信用卡的 CVV 認證。再次強調，雖然用戶沒有開啟二階
段認證或是安全問題等手段，依然有方法可以預防這些問題，但由於網站本身的漏洞，讓
駭客可以透過假付費的方式，讓帳戶恢復到加入資金後首次付費時的預設狀態，藉此濫用
帳戶個資。
https://twitter.com/rmorteza21p/status/1146694654378872833
mp1st 也在文章下方公開了一些案例，都證明了這個發行商目前真的存在著相當嚴重的問
題，甚至已經持續了好一段時間，導致許多用戶受騙或是遭到盜用。雖然如果用戶有開啟
二階段認證似乎就不會遇到這些問題，但這依然是個不得忽視的問題，因為這絕對會對不
知情的用戶造成嚴重的影響。
基本上來說，這算是一個挺常見的個資盜用手段，在 PSN 上使用信用卡號時都必須要輸
入卡片背後的 CVV 安全碼。雖然在一般的情況下使用 PSN 時系統並不會有所要求，但當
你在不同的主機中登入時，系統就會要求玩家輸入登記信用卡的 CVV 安全碼才能順利登
入。然而，在使用了一個非常簡單的方法後，如果盜用者得到了他人的 PlayStation 帳
戶，他們可以在不需要輸入 CVV 安全法認證的情況下，直接取得被害人的信用卡資訊。
「這並不是主機上的漏洞，而是網站上的」一位模組設計師透過私訊向 mp1st 網站表示
。在 mp1st 詢問了原公開者為何會選擇透過 YouTube 影片的方式公開這個漏洞，而他們
的答案也令人十分震驚，他們表示如果不這樣做的話，索尼根本就不會在乎這個問題。根
據他們的說法，這個漏洞已經存在了整整 5 年，而他們也表示他們過去就已經透過
HackerOne 網站的資訊向索尼警告過這個漏洞的問題。但索尼之後也在回應中表示這個
漏洞並沒有資安風險，而只是單純的詐欺行為。
這個漏洞最後可能會引發大量非法帳戶的轉售，或是搭載了許多由盜用黑卡購買的遊戲的
二手主機，同時還能將主機硬體更新到最新版本。而網路上也充斥著這類型的黑市，販售
利用這個漏洞購買了大量 PS3、PS VITA、PSP 以及 PS4 遊戲的 PSN 帳戶。
如果仔細尋找的話，也能找到類似的二手主機。在巴西的遊戲商店裡，就能找到這類搭載
了大量遊戲的破解版 PS4 主機。在索尼願意解決這些帳戶問題以及漏洞之前，這個情況
只會越來越嚴重。另一位熟悉這個漏洞的用戶也向 mp1st 表示，另一個這類賣家常用的
手段就是從一位用戶的帳戶中累積信用卡餘額，然後套用到三台不同主機上的
PlayStation 帳戶中，並販售這些主機。但問題是，這些利用黑卡購買的遊戲一旦上線
就會遭到封鎖。
無論是在意圖或是目的來說，這完完全全就是詐欺，甚至已經到了接近盜版的邊界，因為
這牽扯到了轉售非法獲得的軟體與帳戶買賣，而這絕對違反了 PlayStation 本身的用戶
規範。這也絕對是大部分 PlayStation 4 玩家們一直以來都不想看到的現象。
總而言之，為了自身的帳戶安全，最好要隨時注意自己帳戶中的資金流動問題，所以遭到
盜用時也能在第一時間立刻發現。也強烈建議玩家開啟 PlayStation 帳戶的二階段認證
，至於要不要在帳戶中儲存信用卡資訊全看個人習慣。雖然這與八年前導致上百萬 PSN
帳戶信用卡資訊可能遭到冒用的重大駭入事件比起來或許根本沒什麼，但如果受到有心人
士操弄的話，這個漏洞的影響也不可忽視。
https://game.udn.com/game/story/10453/3914364
結論:兩階段驗證先開起來再說。在PS Store買東西先用點數卡儲值後再買就好了

繞過...XDDD

所謂的繞過安全碼是不是指只要輸入密碼就能買這件事

你把5566放在哪......看錯

樓下yo叔 咦這裡不是八卦版

你可以繞過ZIP的加密嗎?

早期ps3一堆被盜刷 又來了?

就算進得了你的帳戶好了 進去信用卡資訊看到的是暗碼

樓下yoyodiy

我也還滿想看看這要怎麼繞過的

我想問這類漏洞，信用卡綁了用完在取消真的就沒問題嗎

還好我習慣用點卡XD

繞個屁? 3:20登入帳號, 4:57輸入日期和安全碼

信用卡用完后刪掉信用卡資訊 大致上來說就沒問題了

台灣記者知不知道自己在寫什麼?XD

除非盜你帳號的要幫你儲值 或是盜用其他人的卡來刷那就是另一回事了

We are noticed that there are some stores in thirdworld countries that they abuse and hack playstationaccounts to share games illicit and earn money in

讓帳戶恢復到加入資金後首次付費時的預設狀態 <-老實說這句我完全看不懂在寫啥 是我中文爛還是記者中文爛?

我也看不懂...是說看了SA大的英文敘述 就盜用某些人的帳號然後轉賣給其他人 利用分享的方式營利這樣@@?就類似有些賣場賣超便宜的數位板其實是有問題的

yo叔表示

https://tinyurl.com/y6qwaagl <= youtube連結

那些不都賣帳號的數位板嗎

yoyodiy不用出來道歉嗎

我看了3次勉強得出的結論是:如果你的PSN帳號密碼以及信用卡資料安全碼全部被駭客知道了,那駭客可以用增加家庭帳號的方式來盜買遊戲到其他的PSN帳號?

結論:駭客就在你身邊或是結合時事就是 那個IT高手勒?

還要先拿的到別人的信用卡資訊才能用的"漏洞" 哈哈哈那要解決這洞洞也不難啦 就直接取消常用主機 限定一帳號綁一主機 但我看這樣幹 崩潰的人大概更多(包括我)

台灣記者在這篇文章沒有講到家庭帳號

我也來聽一下好了

剛想用手機登入解PSN信用卡,發現登不進去,密碼也改不了了= =

Yoyodiy又出手了

他的做法是1.一個有PayPal的帳戶2.加入一張新的信用卡3.利用新的信用卡跳過PayPal的輸入資訊直接讓paypal成為可使用狀態然後加值4.新增小孩帳戶並連接主帳戶的錢包使用權5.用小孩帳戶去買遊戲，接著可能在一台ps4上登入小孩帳號並下載那些遊戲然後販售整台含帳號遊戲根本搞肛…不愧是在第三世界才有市場我的結論是不在帳號裡留信用卡資訊或paypal即使被盜了也不會心痛，反正傳個證件就能無痛拿回，頂多餘額零頭被拿去買主題還有兩階段記得申請就好

yo叔都繞過

你把5566放在哪......看錯

....要介紹眼鏡行嗎?

yo叔又繞過了

習慣用儲值卡，純粹是比較便宜XD，之前用完信用卡會刪除

先前在板上好像看過帳號莫名被儲值大量金額，該不會就是那些事件吧？

結論：買點數卡立刻花完就沒事

看來是個IT高手

其實Sony 算周全了，我之前信用卡事件發信也有賠償，只要有在server的資料都賠，相對於Apple pay 跟Android 的糾紛，sony 發生的比例相對低了前公司有個副總換了三張卡以上還是被Android 在不同國家盜刷，而apple pay 是我之前建構平台跟第三方支付調糾紛資料才發現也不少

我覺得它是在講，psn網站的刷卡有方式能跳過不用輸入信用卡背面的安全碼，盜刷集團更容易盜刷，只是牟利的方式變成刷完要賣帳號或是賣主機

根本不用什麼方式阿 你在store登入買東西本來就只要再輸入密碼就能付款 只是給你買東西方便而已但你要盜刷你還是得拿到帳密 現在反而不是PSN容易流出那些帳密阿 你要跟其他網站設成一樣又不開兩階段 也只能認了不是嗎

信用卡用完就直接砍，別留系統

屯積小藍 要用再儲值 妥妥der風險大概是預先買的儲值卡不會生利息以及使用期限？ XD

可是二階段帳密有時很正常，有一段時間完全收不到電話，只能打電話給口音很怪的對岸人解除…

yo叔：有比我還要會繞??

看完只覺得，所謂資安專家都是一群危言聳聽的奸商每一個都講你家公司資安有xx問題，只要買xx來防護之類的

樓上知道的太多了

有的病毒還是防毒公司寫的呢...顆顆

心思都花在擋國外區刷卡吧? 買日版麻煩這我怨念很深www

樓上 目前的狀況是日帳只要用chocom就可以直接儲值購買了 就算CERO Z的都可以 上一期Freeplay的邊緣禁地賣100羊的驗證機制 我用chocom就直接刷過了

還好我都用點卡，不怕

索74快來護駕。

不用護航 老用戶都知道用完要立刻刪除卡號

不是都用2階保密了嗎

PSN刷完刪除資料不是基本嗎

不要在任何網站儲存信用卡資料就對了

psn被盜刷過+1

yoyodiy

沒在綁信用卡+1

yo叔表示