Dneska se s vámi podělím o příběh, který nám doma způsobil pořádný trápení. Byl to dokonalý příklad toho, co se může stát, když podceníte zabezpečení svého účtu na on-line platformě. A stal se mojí manželce. To o kovářově kobyle si sem dát nedovolím. 🐴🦶🏻

Šlo o PlayStation účet mé manželky, který byl napaden a zneužit k neoprávněným nákupům. Co se vlastně stalo, jak jsme to řešili a co si z toho můžete odnést, abyste se podobným situacím vyhnuli? To se dozvíte v tomto článku, jdeme na to!

Co se stalo?

Jednoho rána jsme si s manželkou u kafe povídali, když jí najednou cinknul e-mail od PlayStationu. “Potvrzení o nákupu” za nějakou hru, kterou jsme nikdy nekupovali. Překvapení rychle vystřídal šok – další e-maily následovaly. Platby za hry, rozšíření, V-bucksy do Fortnite… Na manželky účtu hraje občas synátor, žena ho nepoužívá a ani nevěděla, jaké k němu má heslo. Ve správci hesel ho ani uvedené neměla.

Okamžitě jsem se přihlásil na její PlayStation účet – nebo jsem se o to aspoň pokusil. Heslo nefungovalo. Účet byl uzamčený a kdosi se k němu přihlásil z neznámého zařízení, které bylo na PlayStationu 5 vidět jako přidané. Nastala fáze „pátrací akce a zachraň co můžeš“.

Rychlá reakce a co jsme zjistili

První krok byl jasný – kontaktovat podporu PlayStationu a začít řešit obnovu účtu – na to jsem se ale vykašlal. Mají ale poměrně dobře zpracovaný postup pro podobné případy.

Začal jsem pátrat po tom, co se vlastně stalo. Ukázalo se, že heslo mé manželky bylo uniklé při nějakém starším masivním úniku dat (díky, Have I Been Pwned!).

Heslo se shodovalo s tím, které používala na PlayStationu. Útočník tak jednoduše použil kombinaci e-mailu a hesla, aby se přihlásil.

🤖 Tenhle web je bez reklam! 🤖
💸 Nesbírám a neprodávám data návštěvníků. 💸
🕵️‍♂️ Respektuji Vaše soukromí. 🕵️‍♂️
🌎 Píšu pro dobro lidstva. 🌎

❤️ Líbí se Vám článek? ❤️

Kupte mi kafe!

Proč se to stalo?

  • Heslo bylo staré a používané na více službách.
  • Účet neměl aktivované dvoufaktorové ověřování (2FA).
  • Přihlášené zařízení bylo pro nás neznámé.
  • Žena se zkrátka neřídila mými nevyžádanými radami bezpečnosti politiky hesel a 2FA 🙂

Jak jsme se z toho dostali

Pokud vám někdo ukradne účet, můžete zkusit udělat “account takeover” a získat ho zpět, pokud stále máte přístup ke svému e-mailu, na který se ukradený účet váže. A tuhle cestu jsem zkusil místo komunikace s podporou a vyšla.

📛 Přešel jsem na web pro reset hesla.

📛 Na mail mi dorazil link na reset hesla. E-mail měla naštěstí manželka s unikátním heslem a aktivovaným dvoufaktorem. Pamatujte, že když vám někdo hackne e-mail, tak si stejným způsobem může poresetovat hesla k vašim účtům a přijdete tak téměř o všechno.

📛 Nastavili jsme nové unikátní heslo přes správce hesel.

📛 Přes PlayStation Appku, kterou jsem jí hned nainstaloval, a sekci PS store se po přihlášení můžete podívat na historii transakcí. Jo, byly tam. Námi neuskutečněné platby. :/

📛 V nastavení účtu jsme v sekci připojená zařízení odebrali neznámý PS5.

Bylo to v sekci Device Management PlayStation Consoles ale nedávali jsme deaktivovat vše, jak je na obrázku (z netu), jen to neznámé PS5.

Útočníka jsme tím pádem odstřihli a mohli jsme se vrhnout na další fázi – hardening, tedy následné důsledné zabezpečení aby se tohle už nikdy neopakovalo.

Okamžitá bezpečnostní opatření

Zapnuli jsme raději přihlášení přes Passkey, aby se situace do budoucna neopakovala. O passkey napíšu už fakt brzo, zatím aspoň video přímo od Sony. Passkey je uložen ve vašem telefonu/počítači, je phishing rezistentní a jedná se teoreticky neprolomitelný (hahaha) způsob přihlašování. Troufnu si ale říci, že aktuálně je to to nejlepší, co můžete použít.

Aby to nebylo tak easy tak má drahá neměla aktuální iOS ani macOS, takže pro přidání Passkey a jeho následnou synchronizaci přes Apple keychain (Applí správce (nejen) hesel), která se nově vyvinula i v samostatnou aplikaci Hesla bylo potřeba oba systémy poupdatovat. Tady už jsem dost pěnil. 👿

Aktivovali jsme dvoufaktorové ověřování (2FA) přes mobilní aplikaci.

Nastavili jsme úplně nové heslo, které je dlouhé, složité a unikátní jen pro PlayStation a uložili ho ve správci hesel.

Přidali jsme bezpečnostní klíč Passkey, který poskytuje nejlepší možnou ochranu proti podobným útokům.

Odebrali jsme platební kartu, kterou jsme do té doby používali – naštěstí se jednalo o sekundární kartu, kde nebyly hlavní rodinné úspory – tu nikde neukládáme. Byla tam ale moje karta, kde mám mimo jiné i peníze od lidí, co si koupili Slovník pro boomery.

No když jsem se na kartu podíval, bylo tam na PS Store strženo cca 3 500 Kč.

TIP: Pokud se vám něco podobného stane, můžete kontaktovat podporu a požádat o vrácení peněz. Odkaz hier: https://www.playstation.com/cs-cz/support/contact-us/?category=store&subCategory=unauthpaym

Jak se tomu vyhnout – praktické tipy pro každého

Pokud nechcete zažít podobný horor a předrozvodové situace, zkuste se řídit těmito doporučeními:

Zabezpečení účtu

  1. Používejte jedinečná hesla pro každý účet. Ideálně dlouhá, složitá a náhodná hesla generovaná správci hesel. Návod na jeho nasazení a použití třeba zde: https://spajk.cz/bitwarden-spravce-hesel-zdarma/
  2. Aktivujte dvoufaktorové ověřování (2FA). I když někdo zjistí vaše heslo, bez druhého faktoru má smůlu. Návod zde: https://spajk.cz/jak-pridat-2fa-na-google/
  3. Používejte bezpečnostní klíče Passkeys (nebo FIDO2 HW klíče). Jsou odolné vůči phishingu a dalším on-line útokům.

Platby a nákupy

  1. Nepoužívejte hlavní kreditku na herních platformách. Přidávejte raději virtuální (Revolut) nebo předplacenou kartu.
  2. Pravidelně kontrolujte výpisy z účtů a mějte přehled o všech platbách.

Proaktivní opatření

  1. Sledujte podezřelé e-maily a výzvy k přihlášení. Jakákoli neobvyklá aktivita může znamenat problém.
  2. Zkontrolujte své účty přes Have I Been Pwned – zjistíte, jestli vaše hesla někde unikla. Odkaz zde: https://haveibeenpwned.com/
  3. Pravidelně měňte hesla. U služeb, které to podporují, nastavte i upozornění na přihlášení.
V Have I Been Pwned jde v hodní části, v sekci Notify me, nastavit zasílání upozornění v případě budoucího úniku dat. Tato možnost bývá i v placených verzích správců hesel.

Závěrem – být paranoidní se vyplácí

Tahle zkušenost nás naučila, že internetová bezpečnost není něco, co by se mělo brát na lehkou váhu. Ani když jde „jen“ o herní účet. Naopak – čím víc jsou online platformy propojené, tím víc vás může jeden útok stát. V našem případě to mohlo skončit o dost hůř.

Pokud máte PlayStation (nebo jinou herní platformu), zkontrolujte si zabezpečení účtu ještě dnes. Lepší je být připravený, než potom řešit problémy, které můžou stát spoustu času, nervů a peněz.

Tohle mě posadilo zadkem zas zpátky na zem. I když se problematice věnuju, tohle jsem neuhlídal. Když jsem nad tím přemýšlel, tak já mám něco kolem 600 položek ve správci hesel, manželka přes 250, děti nižší desítky. A stačil jeden leak a pár účtů, kde měla manželka historicky stejné heslo a průser byl na světě.

Žena si ještě ten den všechna duplicitní hesla změnila. A já napsal článek, za jehož námět jsem dal 3 500 Kč. No neberte to. Tak snad vám pomůže a buďte secure. 🔐💪

🤖 Tenhle web je bez reklam! 🤖
💸 Nesbírám a neprodávám data návštěvníků. 💸
🕵️‍♂️ Respektuji Vaše soukromí. 🕵️‍♂️
🌎 Píšu pro dobro lidstva. 🌎

❤️ Líbí se Vám článek? ❤️

Kupte mi kafe!