PlayStation Network’te İki Adımlı Doğrulamayı Aşan Güvenlik Açığı Ortaya Çıktı

BEĞENDİM

ABONE OL

News

PlayStation Network (PSN) hesaplarında milyonlarca oyuncuyu yakından ilgilendiren epey tasa verici bir güvenlik açığı ortaya çıktı. Eski IGN editörü ve tanınan oyun yayıncısı Colin Moriarty, güçlü bir şifre ve iki adımlı doğrulama (2FA) sistemi kullanmasına karşın PSN hesabının siber saldırganlar tarafından ele geçirildiğini duyurdu.

Olayın akabinde yapılan araştırmalar, bilgisayar korsanlarının karmaşık yazılım kırma formülleri yerine “sosyal mühendislik” taktiklerine başvurduğunu gösteriyor. Yalnızca eski bir oyun satın alım sürecine ilişkin fatura numarası ve kullanıcı ismi kullanılarak müşteri hizmetleri kandırılıyor. Bu sayede hesabın e-posta adresi değiştiriliyor ve mevcut 2FA muhafazası büsbütün devre dışı bırakılıyor.

İki Adımlı Doğrulama (2FA) Neden İşe Yaramıyor?

Birçok oyuncu, hesaplarına telefon numarası yahut kimlik doğrulayıcı uygulamalar üzerinden 2FA eklediğinde büsbütün inançta olduğunu düşünüyor. Lakin PlayStation cephesinde yaşanan bu son kriz, dijital güvenlik duvarlarının müşteri hizmetleri siyasetleri yüzünden nasıl kolay kolay aşılabildiğini gözler önüne seriyor. Sistemdeki açık, yazılımsal bir kusurdan çok takviye takımının kimlik doğrulama süreçlerindeki zafiyetinden kaynaklanıyor.

Bilgisayar korsanları, gaye aldıkları PSN hesabının kullanıcı ismini (PSN ID) ve geçmişte yapılan rastgele bir satın alma sürecine ilişkin sipariş numarasını ele geçiriyor. Bu sipariş numaraları ekseriyetle eski forum paylaşımlarından, toplumsal medyadaki ekran görüntülerinden veya üçüncü parti oyun anahtarı satan sitelerin bilgi sızıntılarından elde ediliyor.

Ardından saldırgan, Sony müşteri hizmetlerini arayarak hesabın kendisine ilişkin olduğunu argüman ediyor ve ispat olarak bu sipariş numarasını sunuyor. Takviye grubu, bu bilgiyi kâfi bularak hesabın kayıtlı e-posta adresini değiştiriyor ve 2FA muhafazasını kapatıyor. Böylelikle gerçek kullanıcının telefonuna hiçbir onay kodu gitmeden hesap el değiştiriyor.

An update!

I'm sorry I've been quiet, but I've spent the last couple of days learning as much as I can about PSN account theft: How long it's been happening, why people are being affected, and so on. I've likewise exchanged a ton of emails with and spoken extensively on the… https://t.co/b1e7VM2rin

— Colin Moriarty (@longislandviper) May 20, 2026

Colin Moriarty’nin Hesabı Nasıl Çalındı?

Sacred Symbols podcast sunucusu Colin Moriarty, hesabının çalınma sürecini tüm ayrıntılarıyla takipçileriyle paylaşıyor. Olaydan kısa bir müddet evvel kendisine “Hesabını bugün alacaklar” halinde bir ihtar bildirisi geldiğini belirten Moriarty, çabucak şifresini değiştirip tedbir alıyor.

Ancak saatler sonra e-posta kutusu ansızın yüzlerce spam iletiyle dolup taşıyor. Bu taktik, Sony’den gelen “E-posta adresiniz değiştirildi” bildirimini gözden kaçırmak için kullanılıyor.

Hesabına erişimini büsbütün kaybeden Moriarty, durumu PlayStation takviye takımına bildirdiğinde sürecin üç haftaya kadar sürebileceği yanıtını alıyor. Kesimdeki uzun geçmişi ve Sony içindeki şahsî irtibatları sayesinde hesabını kısa müddette geri almayı başaran yayıncı, bu ayrıcalığın sıradan oyuncularda olmadığını dürüstçe itiraf ediyor. Birçok kullanıcının aylarca yahut yıllarca kendi kusurları olmadığı halde hesaplarına erişemediği belirtiliyor.

Benzer Hadiseler Artıyor: Tehlike Herkes İçin Geçerli

Bu güvenlik zafiyeti yalnızca Moriarty ile sonlu kalmıyor. Fransız Numerama gazetecisi Nicolas Lellouche, Aralık 2025’te hesabının tam olarak tıpkı yolla ele geçirildiğini belirtiyor. İşin daha da korkutucu tarafı, Lellouche’un hesabı gerekli güvenlik tedbirleri alınmasına karşın Mayıs 2026’da birebir açık kullanılarak ikinci kere hackleniyor. Sony’nin müşteri hizmetleri tarafında analog bilgileri dijital güvenliğin önünde tutması, kullanıcıların on binlerce liralık dijital oyun kütüphanelerini büyük bir risk altında bırakıyor.

Moriarty ve bilgi güvenliği uzmanları, sorunun tahlili için elde ettikleri dataları direkt Sony idaresiyle paylaştıklarını söz ediyor. Şirket bu açıkla ilgili resmi bir sistem güncellemesi yayınlayana kadar kullanıcıların çok dikkatli olması gerekiyor.

Uzmanlar, oyun severleri katiyetle eski faturalarını, süreç numaralarını yahut satın alım ekran manzaralarını internet ortamında paylaşmamaları konusunda uyarıyor. En ufak bir süreç numarası bile, tüm hesabınızın ve emeğinizin saniyeler içinde buharlaşmasına neden olabiliyor.