Sony hat eine fundamentale Schwachstelle im Verifizierungsprozess des PlayStation Networks auch ein halbes Jahr nach dem ersten Bekanntwerden nicht behoben, wodurch Konten trotz 2FA übernommen werden können.
Der PlayStation-Support ermöglicht es Angreifern weiterhin, die Inhaberschaft eines Accounts allein durch die Nennung einer Transaktionsnummer zu übernehmen und damit sämtliche digitalen Sicherheitsvorkehrungen wie Passkeys oder Zwei-Faktor-Authentifizierung (2FA) auszuhebeln.
Support-Protokolle umgehen moderne Sicherheitsstandards
Die Sicherheitslücke basiert nicht auf einem Software-Bug im klassischen Sinne, sondern auf einer fehlerhaften internen Richtlinie beim Kundenservice. Wenn ein Angreifer eine einzige Transaktions-ID eines Einkaufs im PlayStation Store vorlegt, stuft der Support diesen als rechtmäßigen Besitzer ein. In der Folge werden die hinterlegte E-Mail-Adresse geändert und bestehende Sicherheitsanker gelöscht.
Der Journalist Nicolas Lellouche, der das Problem bereits im Dezember 2025 öffentlich machte, wurde aktuell erneut Opfer desselben Verfahrens. Die von Sony versprochenen Schutzmaßnahmen – etwa die Markierung seines Kontos als „Hochrisiko-Account“, bei dem der Support nicht eingreifen darf – griffen offenbar nur temporär oder wurden intern ignoriert.
Identitätsdiebstahl ohne technischen Aufwand
Das Kernproblem ist die Gewichtung von Analogdaten gegenüber digitaler Absicherung. Während Passkeys den Stand der Technik darstellen, reicht bei Sony ein Screenshot oder eine Nummer aus einer Bestätigungs-Mail, um diese Barrieren zu Fall zu bringen. Der aktuelle Fall zeigt zudem eine Verschärfung der Lage. Während beim ersten Vorfall im Dezember noch gezielte Retaliation vermutet wurde, deutet das Verhalten des neuen Angreifers darauf hin, dass die Methode mittlerweile in der Breite bekannt ist und ausgenutzt wird.
Im Vergleich zu Mitbewerbern wie Microsoft oder Valve wirkt dieser Prozess archaisch. Dort erfordert die Wiederherstellung eines Kontos meist Zugriff auf das ursprüngliche Zahlungsmittel oder eine Identitätsprüfung, die über eine simple Nummer hinausgeht. Sony hingegen priorisiert die schnelle Abwicklung im Support auf Kosten der Nutzersicherheit.
Risiken für die digitale Bibliothek
Für Spieler bedeutet dies eine permanente Unsicherheit. Sobald eine Transaktionsnummer – etwa durch Phishing, Datenlecks oder das Teilen von Screenshots in sozialen Netzwerken – bekannt wird, ist der Account faktisch Freiwild. Da Sony den Prozess der E-Mail-Änderung ohne Rückbestätigung über die alte Adresse zulässt, ist der Zugriff für den rechtmäßigen Besitzer sofort und oft dauerhaft verloren.
Besonders kritisch ist die psychologische Komponente. Wer Hunderte oder tausende Euro in eine digitale Spielebibliothek investiert hat, muss jederzeit mit dem Totalverlust rechnen, solange Sony die Priorisierung von Transaktions-IDs bei Support-Anfragen nicht beendet.
Die Lage ist kritisch. Solange Sony die Support-Richtlinien nicht grundlegend ändert, ist kein PSN-Account wirklich sicher. Nutzer sollten penibel darauf achten, niemals Transaktionsdetails oder Bestätigungs-Mails öffentlich zu zeigen oder in ungesicherten Cloud-Speichern zu lagern. Ein Hardware-Passkey schützt hier nicht, da der menschliche Faktor im Support die technische Hürde einfach beiseite schiebt.
