Por 
Relato indica que invasores conseguem contornar 2FA e passkey explorando brechas no processo de recuperação de conta da Sony
Um novo e preocupante relato trouxe novamente à tona dúvidas sobre a segurança das contas da PlayStation Network (PSN). Segundo informações publicadas pelo jornalista francês Nicolas Lellouche, do site Numerama, contas da PSN podem ser invadidas mesmo quando protegidas por autenticação em dois fatores (2FA) e passkey, tecnologias consideradas atualmente entre as mais seguras para proteção de identidade digital. O caso ganhou grande repercussão porque envolveu o próprio jornalista como vítima direta. De acordo com Lellouche, sua conta foi comprometida após um invasor conseguir alterar o e-mail cadastrado, redefinir a senha e realizar compras utilizando um método de pagamento associado, tudo isso sem que as camadas extras de segurança tenham impedido a ação.
O episódio se tornou ainda mais alarmante quando, após entrar em contato com o suporte oficial da PlayStation, Lellouche conseguiu recuperar o acesso à sua conta, apenas para vê-la ser invadida novamente pouco tempo depois. Essa reincidência levantou suspeitas de que o problema não estaria em uma simples falha de senha ou descuido do usuário, mas sim em um processo vulnerável dentro do próprio atendimento da Sony. Ao investigar o ocorrido, o jornalista identificou que o ponto frágil estaria no procedimento de verificação de propriedade da conta adotado pelo suporte técnico. Em vez de exigir um conjunto robusto de informações, como documentos, confirmação via e-mail seguro ou múltiplas etapas de validação, o sistema teria aceitado apenas um número de transação como prova suficiente de que o solicitante era o verdadeiro dono da conta.
Engenharia social e exposição de dados
Esse detalhe é especialmente preocupante porque, segundo Lellouche, o número de transação utilizado pelo invasor teria sido obtido a partir de uma simples captura de tela que o próprio usuário compartilhou anteriormente, possivelmente em redes sociais ou conversas privadas. Isso abre espaço para golpes de engenharia social, nos quais atacantes coletam informações aparentemente inofensivas para se passarem pelas vítimas junto ao suporte oficial. Em publicações posteriores, o jornalista afirmou ter entrado em contato direto com o hacker, que explicou como o método funciona na prática. Segundo o invasor, basta reunir informações mínimas que comprovem algum histórico de uso da conta para convencer o suporte a realizar alterações críticas, como mudança de e-mail e redefinição de senha, neutralizando completamente o 2FA e a passkey.
Outro ponto que chamou atenção no relato é que múltiplas solicitações de recuperação relacionadas à mesma conta, feitas em um curto espaço de tempo, não teriam despertado qualquer alerta interno no sistema de atendimento da Sony. Esse comportamento, que normalmente seria considerado suspeito em plataformas bancárias ou grandes serviços online, aparentemente não gerou bloqueios automáticos nem investigações adicionais. Segundo Lellouche, isso facilita que invasores insistam repetidamente até conseguirem sucesso, além de dificultar ao máximo a vida do dono legítimo da conta, que passa a enfrentar um ciclo constante de perda e recuperação de acesso.
Um problema generalizado? Ainda não há confirmação
Até o momento, não existe confirmação oficial de que essa seja uma falha generalizada afetando todos os usuários da PlayStation Network. Também não há um pronunciamento público da Sony reconhecendo o problema ou anunciando mudanças nos procedimentos de suporte. Ainda assim, o caso levanta dúvidas importantes sobre a eficácia dos processos de recuperação de conta, especialmente em um cenário onde golpes de engenharia social estão cada vez mais sofisticados. Mesmo as tecnologias mais modernas de autenticação perdem valor se o elo humano (no caso, o atendimento ao cliente) não seguir critérios rígidos de verificação. Enquanto a empresa não revisa seus procedimentos ou fornece esclarecimentos oficiais, especialistas e o próprio jornalista recomendam medidas preventivas adicionais, entre elas:
- Evitar compartilhar capturas de tela, recibos, números de transação ou qualquer informação ligada à conta
- Não expor publicamente o e-mail associado à PSN
- Remover métodos de pagamento salvos sempre que possível
- Optar por cartões pré-pagos para compras digitais
- Monitorar regularmente o histórico de login e compras
O caso serve como um lembrete claro de que, em serviços digitais complexos como a PSN, a segurança não depende apenas da tecnologia, mas também de processos humanos bem definidos. Até que a Sony se pronuncie, a cautela continua sendo a melhor defesa para os jogadores.