文章总结： 索尼PSN账号系统曝出致命漏洞，黑客利用社交媒体公开的交易编号或设备序列号冒充用户联系客服，绕过密保问题和双重验证重置邮箱密码。建议用户切勿在网络上晒出订单及设备信息，平台应立即强化客服账号找回的身份核验机制。 综合评分： 81 文章分类： 漏洞预警,漏洞分析,安全意识

【安全圈】索尼PSN账号系统曝致命漏洞，双重验证形同虚设

安全圈

2025年12月24日 19:02 江苏

关键词

漏洞

法国媒体 Numerama 记者 Nicolas Lellouche 昨天在 X 平台发文称，他的索尼 PlayStation Network 账号遭到了黑客入侵，即使他开启了通行密钥，平时只使用苹果 iPhone 的 FaceID 登录账号。

Nicolas Lellouche 表示，一名黑客通过非常手段盗取了他的 PSN 账号，成功更改了账号绑定的电子邮箱以及密码，甚至还使用了关联的 PayPal 账号进行了一笔 9.99 欧元（IT之家注：现汇率约合 82.7 元人民币）的盗刷消费。

随后他发布博文，详细解释整件事情的经历，他最初打电话联系了索尼客服，等待 40 分钟后接通，对方的态度异常轻松，只花了 5 分钟就帮他找回了账号，随后他迅速重新设置了密码和通行密钥，并发现黑客删除了所有好友、聊天记录、头像等。

这名记者发现黑客自称“Derol Bodden”，这个人有多个类似前缀的账号，这让他怀疑自己并非唯一受害者，并且黑客还在当天 18:04 重复了同样盗号流程，而且最绝望的是，这时候索尼客服下班了，美国那边的客服也拒绝提供协助。

▲ 图源：Nicolas Lellouche，，下同

之后他只能尝试自救，先是新建了一个 PlayStation 账号，然后给原来的大号发消息。

随后对面那头的黑客给他回复了消息，这人先是嘲讽了一番，然后让这名记者继续找客服：“我随时都能盗你号，客服拦不住我”。

但这名黑客在后续变得愿意交流，并透露了自己盗号的表面方式：“我用你在某个社媒公开发布的订单截图，找到交易编号，随后黑进了你的账号”。

不过这名黑客的用词存在许多纰漏，记者怀疑他并非英语母语者。

随后他给出了真正的盗号方式：首先拿到订单编号，然后找到索尼客服，发送这么一条消息：“我的账号 LellNico 被盗了，这是我 2020 年的一笔交易订单号……，你能帮我找回账号吗”？

然后索尼就允许他更换账号邮箱，全程没有要求提供出生日期、城市、父母姓氏等密保问题，一个账单编号就成了“万能钥匙”。

并且，索尼不仅接受交易编号作为找回方式，还能用主机序列号、信用卡卡号后四位，等于说换邮箱、换昵称、换支付方式都没有，黑客只需要从你的社媒翻一翻，看看你有没拍过主机底部或者晒过订单截图就行。

最后，索尼官方派了一位真正能理解问题的客服人员来协助找回账号，这次的流程明显严格许多，要求这名记者提供出生日期、原始邮箱、原始昵称，但目前他的账号还没有找回，处理流程大概需要 5-10 天。

另外，黑客还在继续挑衅他：“没人能找到我，我还是能继续黑你的号”。

END

阅读推荐

【安全圈】“黄播”涌入快手，平台网络安全体系缘何失控？

【安全圈】内鬼威胁：黑客重金收买企业内部人员绕过安全防护

【安全圈】银狐（Silver Fox）SEO 投毒活动与受害者 IP 分析

【安全圈】日产汽车确认因红帽服务器遭未授权访问导致数据泄露

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】索尼PSN账号系统曝致命漏洞，双重验证形同虚设》