去年開始，PlayStation玩家圈子里流傳著一個讓人脊背發涼的傳言：你的PSN賬號可能隨時會被陌生人接管，哪怕你開了雙重驗證、用了Passkey，也沒用。我當時以為這是個別案例，直到最近看到更多受害者站出來——包括一些在圈子里挺有名的人——才發現這事兒已經變成了一場持續發酵的安全事故。

更離譜的是，黑客的作案手法簡單到讓人無語：直接打電話給PlayStation客服。

咱們從頭捋一捋這個漏洞是怎么運作的。黑客不需要什么高端技術，也不需要攻破索尼的服務器。他們只需要收集一些基礎信息——比如你的注冊郵箱、交易記錄ID，甚至是你在社交媒體上無意透露的截圖——然后冒充你本人聯系PS Support。客服那邊驗證流程形同虛設，黑客就這樣堂而皇之地拿到了賬號控制權。

這個漏洞最早引起大規模關注，是法國記者Nicolas Lellouche的遭遇。他在網上曬了一張帶交易ID的截圖，結果賬號被黑。當時他聯系客服，對方信誓旦旦說"問題已標記，不會再發生"。結果呢？同一個黑客用同一個交易ID、同一套方法，持續入侵他的賬號，直到今天都沒消停。

那時候很多人還在說風涼話，覺得Lellouche自己不小心，把敏感信息發上網活該。但現在情況變了——黑客開始盯上那些根本沒犯這種低級錯誤的人。他們只需要公開渠道能查到的信息，就能完成整個攻擊流程。

最近中招的是Colin Moriarty，PlayStation圈子里挺有名的播客主持人和記者。他在Twitter上發了一長串說明，講自己是怎么被盯上的。有人提前幾天警告他"你要被黑了"，結果預言成真。黑客用的全是公開信息，比如他的登錄郵箱地址——對一個公眾人物來說，這種東西根本藏不住。

Moriarty第一時間聯系了PS Support，沒用。最后是靠他在索尼內部的人脈關系，才把事情擺平。他自己也承認，普通人沒這層關系，根本走不通這條路。

這事兒有幾個點特別讓人窩火，咱們一條條說。

第一，雙重驗證和Passkey成了擺設。

索尼推這些安全功能的時候，宣傳的是"給賬號加把鎖"。結果現在看，鎖是鎖了，但客服那邊留了個后門，黑客繞開所有技術防護直接走后門。你玩家這邊辛辛苦苦設置一堆驗證，人家一個電話就全破了。這設計是不是有點黑色幽默？

第二，客服的身份核驗流程形同虛設。

從多個受害者的描述來看，PS Support的驗證問題基本就是"報一下郵箱""說一下最近的交易ID"這種級別。這些信息對稍微有心的人來說，獲取難度約等于零。Lellouche的案例更諷刺——同一個黑客、同一個交易ID，反復作案，客服那邊居然沒有觸發任何風控預警。

我很好奇索尼內部有沒有統計過，同一個交易ID被用于多少次賬號恢復申請？如果有數據，為什么沒觸發人工復核？如果沒有數據，那這安全體系是不是太原始了點？

第三，索尼的沉默。

Moriarty被黑之后，索尼肯定知道了。一個在自己生態里有影響力的內容創作者公開喊話，公司層面不可能看不到。但截至目前，官方沒有任何公開回應，沒有安全公告，沒有臨時補救措施，連句"我們正在調查"的官話都沒有。

這種沉默比漏洞本身更讓人不安。玩家現在完全不知道自己的賬號處于什么風險等級，也不知道該做什么額外防護。官方不表態，社區只能自己摸索——比如有人開始建議"注冊郵箱和公開郵箱分開用""別在任何地方提自己的PSN ID"，但這些本該是平臺方解決的問題，現在推給玩家自己想辦法。

第四，公眾人物和普通玩家的待遇差距。

Moriarty自己也說了，他能拿回賬號是因為"在PlayStation社區的地位和多年積累的人脈"。這話聽著謙虛，實際挺殘酷的——意味著如果你是個普通玩家，遇到同樣的事，大概率要在客服電話里循環打轉，最后賬號歸了黑客，庫里的游戲、存檔、獎杯全打水漂。

我不是說Moriarty不該用人脈解決問題，而是索尼的正規渠道應該對所有人有效。現在這情況，等于變相承認客服體系靠不住，得靠內部關系才能辦事。那普通用戶的權益怎么保障？

說到這兒，可能有人想問：那現在到底該怎么辦？

原文給的建議是兩條：第一，注冊郵箱和公開郵箱分開；第二，別在網上透露自己的PSN賬號名。說實話，這兩條都透著一股荒誕感——用一個郵箱還是兩個郵箱，這本來應該是用戶自由；PSN賬號名更是社交功能的一部分，不讓說等于廢了一半的社區體驗。但沒辦法，在索尼修好這個洞之前，只能先這么茍著。

我還注意到一個細節：這次被黑的受害者里，有不少是獎杯獵人（trophy hunters）。這類人有個特點，賬號價值高——幾百個游戲、幾千小時存檔、滿屏白金獎杯，轉手賣出去比普通賬號貴得多。黑客顯然也懂這個，專門挑肥羊下手。如果你也是這類玩家，風險系數可能比別人更高。

回頭看這件事的發展軌跡，挺讓人唏噓的。去年12月第一次曝光，輿論還在糾結"受害者有沒有責任"；幾個月過去，攻擊手法沒變，目標卻從"不小心曬截圖的人"擴展到"任何公開信息足夠的人"。這說明漏洞本身沒有修復，只是黑客的利用范圍在擴大。

更諷刺的是，PlayStation作為主機平臺的頭部玩家，安全架構居然栽在最原始的社工手段上。不是零日漏洞，不是服務器被黑，是客服電話被忽悠。這種反差，放在任何一家科技公司身上都夠尷尬的。

現在球在索尼腳下。是發公告承認問題、升級驗證流程、給受影響用戶補償，還是繼續裝死等輿論自然消退？從過往經驗看，大廠面對這種"不致命但煩人"的安全事故，往往選擇后者。但賬號安全這種事，信任崩塌起來比建立快得多。今天你能默許黑客通過客服偷賬號，明天玩家憑什么相信你的支付信息是安全的？

作為一個在PS平臺也花了不少時間和錢的玩家，我現在的心情挺復雜的。一方面希望這事鬧大，倒逼官方整改；另一方面又知道，每次大規模安全事件之后，真正買單的總是普通用戶——改密碼、換郵箱、提心吊膽地檢查登錄記錄。平臺方的失誤，成本轉嫁給玩家承擔，這套路太熟悉了。

最后說句實在的：如果你現在用的PSN注冊郵箱和公開郵箱是同一個，建議抽空改一下。不是說你一定會被黑，但在索尼修好這個洞之前，多一層隔離總是好的。至于索尼什么時候修、修成什么樣，咱們只能等著看——反正他們現在還沒開口。