Alarm im PlayStation Network
Aktuelle Berichte zeigen, dass Kriminelle gezielt PlayStation Network-Konten übernehmen. Selbst die vermeintlich sichere Zwei-Faktor-Authentifizierung (2FA) bietet keinen vollständigen Schutz mehr gegen diese Angriffe.
Das PlayStation Network (PSN) startete im November 2006 mit der PlayStation 3. Seit dem massiven Datenleck im Jahr 2011, bei dem die Daten von über 77 Millionen Nutzern kompromittiert wurden, steht die Sicherheit der Plattform unter ständiger Beobachtung. Sony reagierte damals mit einem Entschädigungsprogramm („Welcome Back“) und einer umfassenden Überarbeitung der Netzwerk-Infrastruktur.
Die Sicherheitslücke bei Sony
Die Angreifer nutzen raffinierte Methoden, um die 2FA-Codes abzufangen oder durch Session-Hijacking zu umgehen. Nutzer berichten von gestohlenen Accounts, obwohl sie ihre Zugangsdaten niemals weitergegeben haben.
- Die Hacker spionieren Browser-Cookies aus.
- Aktive Anmeldesitzungen werden gekapert.
- Passwörter werden trotz aktivierter Bestätigung in Echtzeit zurückgesetzt.
Session-Hijacking, auch als „Pass-the-Cookie“-Angriff bekannt, umgeht die 2FA, da der Angreifer die bereits authentifizierte Sitzung des Browsers übernimmt. Dabei kopieren Schadprogramme die lokalen Cookies vom Rechner des Opfers, die den Login-Status speichern. Da Sony keine IP-Bindung für aktive Web-Sitzungen erzwingt, bleibt der Zugriff für den Angreifer bestehen, ohne dass ein erneuter Code abgefragt wird.
Was ihr jetzt tun müsst
Ihr solltet eure Sicherheitseinstellungen sofort anpassen, um den Zugriff auf eure PlayStation 5 oder PlayStation 4 zu sichern. Verlasst euch nicht mehr allein auf den Standard-Sicherheitscheck von Sony.
- Ändert euer Passwort in ein einzigartiges, komplexes Kennwort.
- Nutzt einen Passwort-Manager für jedes Konto.
- Überprüft regelmäßig eure hinterlegten Zahlungsmethoden.
- Entfernt Kreditkartendaten aus dem PS Store, falls ihr diese nicht täglich benötigt.
Sony bietet zwar seit Jahren 2FA per SMS oder Authenticator-App an, doch die Implementierung hinkt anderen Branchengrößen wie Valve mit Steam Guard hinterher. Steam nutzt seit 2015 eine obligatorische App-Bindung, die deutlich schwerer über Cookies zu manipulieren ist. Wer sein PSN-Konto schützt, sollte zur zusätzlichen Absicherung am besten Guthaben-Karten anstelle direkt verknüpfter Kreditkarten verwenden.
Vorsicht bei Phishing-Mails
Hacker verschicken täuschend echte E-Mails, die vorgeben, von PlayStation zu stammen. Diese Nachrichten fordern euch auf, eure Anmeldedaten auf gefälschten Websites einzugeben.
- Klickt niemals auf Links in ungefragten E-Mails.
- Kontrolliert immer die Absenderadresse im E-Mail-Header.
- Loggt euch nur über die offizielle Sony-Webseite direkt im Browser ein.
Phishing-Kampagnen gegen PlayStation-Nutzer haben in den letzten Jahren zugenommen, da der Wert digitaler Bibliotheken mit Titeln wie God of War Ragnarök oder Marvel’s Spider-Man 2 stetig steigt. Diese Spiele sind an das Konto gebunden und lassen sich bei einem Account-Verlust nicht einfach auf einen neuen Account übertragen.
Zusätzlicher Schutz durch Hardware
Wer seine digitalen Spiele-Bibliotheken und Abos wie PlayStation Plus absichern will, sollte den Zugriff auf verknüpfte E-Mail-Konten härten. Ändert dort die Sicherheitsfragen und erzwingt ebenfalls eine neue 2FA-Einrichtung.
Bisher hat Sony noch kein offizielles Update für die PlayStation-Sicherheitsprotokolle bereitgestellt. Die meisten betroffenen Nutzer bemerkten den Diebstahl erst durch unautorisierte Käufe in ihrem Verlauf.
Die Sicherheitsarchitektur von Sony basiert auf einem zentralen Account-System, das über verschiedene Geräte hinweg synchronisiert wird. Seit der Einführung der PlayStation 5 im Jahr 2020 ist die Anzahl der monatlich aktiven Nutzer auf über 100 Millionen gestiegen, was das PSN zu einem attraktiven Ziel für botbasierte Angriffe macht. Sony Interactive Entertainment hat mit Sitz in San Mateo, Kalifornien, bisher keine Stellungnahme zu gezielten Schwachstellen in ihren Web-API-Schnittstellen abgegeben. Betroffene Nutzer müssen sich nach wie vor durch den manuellen Support-Prozess kämpfen, um gestohlene Accounts mittels Seriennummern ihrer Hardware zurückzufordern.
