PlayStation Network'te 2FA ve passkey korumasını devre dışı bırakan kritik açık, yüksek profilli bir vakayı ikinci kez vurdu. Milyonlarca kullanıcı hâlâ risk altında.

PlayStation Network (PSN) hesabınızda iki adımlı doğrulama açık olabilir, geçiş anahtarı kullanıyor olabilirsiniz; ama bunların hiçbiri sizi korumaya yetmeyebilir. Aralık 2025'te ilk kez kamuoyuyla paylaşılan ve destek hattındaki kimlik doğrulama sürecinden kaynaklandığı tespit edilen kritik güvenlik açığı, aradan geçen altı aya rağmen Sony tarafından hâlâ kapatılamadı.

Peki bu açık nasıl işliyor? Saldırı yöntemi, teknik açıdan son derece basit; ama sonuçları yıkıcı olabiliyor.

⚠️ Bir saldırgan yalnızca hesap kullanıcı adı ve eski bir işlem numarası (Transaction ID) ile Sony destek hattını arayarak kendisini hesap sahibi olarak tanıtabiliyor. Bu ikili bilgi yeterli: Bundan sonrası tamamen Sony'nin elinde.

2FA'yı Aşan Yöntem: Güvenliğin En Zayıf Halkası İnsan

Modern dijital güvenlik sistemleri, biyometrik verilerden anlık doğrulama kodlarına kadar pek çok katmanlı önlem sunarken, PSN cephesinde tablo oldukça farklı görünüyor. Destek ekibinin kimliği "işlem numarasıyla" doğrulayan protokolü, saldırganlara sistemin arka kapısını açıyor.

Süreç şöyle işliyor: Saldırgan, destek temsilcisini ikna ettiği anda hesabın kayıtlı e-posta adresi değiştiriliyor. Bu noktadan sonra iki adımlı doğrulama (2FA) ve passkey gibi güvenlik katmanları tamamen sistemden siliniyor. Hesap sahibi ise telefonuna gelen "e-posta adresiniz değiştirildi" bildirimiyle durumu öğreniyor; ama bu noktada iş işten geçmiş oluyor. Yıllarca biriktirilen oyun kütüphanesi, kayıt dosyaları ve kupalar saniyeler içinde başkasının eline geçiyor.

Güvenlik uzmanlarının uzun süredir vurguladığı gerçek, bu vakada bir kez daha doğrulandı: En gelişmiş teknik savunma bile insan faktörü göz ardı edildiğinde işe yaramıyor.

Gazeteci Nicolas Lellouche İkinci Kez Hedef Alındı

Olayın ciddiyetini en çarpıcı biçimde ortaya koyan gelişme, bu açığı dünyaya duyuran ismin başına gelenler oldu. Fransız teknoloji yayını Numerama muhabiri Nicolas Lellouche, Aralık 2025'te hesabının çalındığını kamuoyuyla paylaşarak güvenlik açığını gündeme taşımıştı. Sony, geçmişteki bu olayın ardından Lellouche'un hesabını "yüksek riskli" olarak işaretlemiş ve müşteri hizmetleri ekibine söz konusu hesaba herhangi bir işlem yapılmaması talimatını vermişti.

Ne var ki bu koruma kalkanı yalnızca altı ay dayanabildi. Lellouche, Mayıs 2026'da sosyal medya üzerinden yaptığı açıklamada şu ifadeleri kullandı:

"Dünya çapında gündem olan bu sorun hâlâ çözülmemiş. Dün gece hesabım yine çalındı."

Gazetecinin paylaştığı detaylara göre bu kez gerçekleştirilen saldırı, önceki vakadan farklı bir kişi tarafından yapılmış olabilir. Hesaptaki oyun geçmişi değişiklikleri ve ayar farklılıkları, ilk saldırıyla örtüşmüyor. Bu durum son derece önemli bir gerçeği gün yüzüne çıkarıyor: Bu açık artık yalnızca organize hacker gruplarının değil, yöntemi bilen herkesin kolayca kullanabileceği bir silaha dönüşmüş durumda.

Sony'nin Tutumu: Sessizlik mi, Çaresizlik mi?

Sony Interactive Entertainment, bu son sızıntıya ilişkin şimdiye kadar ne resmi bir yama duyurusu yaptı ne de protokol değişikliğine gittiğini açıkladı. Şirketin bu sessizliği, kullanıcı topluluklarında ciddi bir endişeye yol açıyor. Hesaplarında yüzlerce, hatta binlerce dolar değerinde dijital içerik bulunan oyuncular için bu belirsizlik kabul edilmesi güç bir durum.

Dijital satın alımların fiziksel kopyaların önüne geçtiği günümüzde bir PSN hesabını kaybetmek, yalnızca bir kullanıcı adını yitirmek anlamına gelmiyor. Tüm oyun kütüphanesi, DLC içerikleri, PS Plus avantajları ve yıllarca emek verilerek kazanılan tüm ilerlemeler de o hesapla birlikte buharlaşıyor.

Hesabınızı Korumak İçin Şimdi Yapabilecekleriniz

Sony kurumsal düzeyde bir çözüm üretene kadar kullanıcıların bazı önemli önlemleri alması kritik önem taşıyor:

• İşlem numaralarınızı gizli tutun. PlayStation Store alışverişlerinden gelen fatura e-postalarını veya ekran görüntülerini asla sosyal medyada ya da ikinci el satış platformlarında paylaşmayın. Bu numaralar, hesabınıza giden kısa yolun anahtarıdır.

• PSN'e bağlı e-posta adresinizi koruyun. Hesabınızla ilişkilendirilmiş e-posta adresini mümkün olduğunca az kişiyle paylaşın. Bu adrese gelen fatura bildirimleri de işlem numarasını içerdiğinden dikkatli olunması gerekiyor.

• Ani değişiklik bildirimlerine anında müdahale edin. PSN'den "e-posta adresiniz değiştirildi" gibi bir bildirim alırsanız derhal PlayStation destek hattını arayın ve hesabınızı askıya aldırın.

• Sony adına arayan kişilere şüpheyle yaklaşın. Kendinizi Sony temsilcisi olarak tanıtan ve bilgi talep eden kişilerle asla bilgi paylaşmayın; tüm işlemlerinizi yalnızca resmi PlayStation kanalları üzerinden yürütün.

Önemli Hatırlatma: İki adımlı doğrulama (2FA) ve geçiş anahtarı (passkey) bu saldırıya karşı tek başına yeterli bir koruma sağlamıyor. Asıl zayıf halka, Sony'nin destek protokolünün kendisi.

Hesabınızın güvenliğini artırmak için şu an yapabileceğiniz en etkili önlem, işlem numaralarınızı özel tutmak ve hesabınıza bağlı e-postayı olabildiğince sınırlı tutmaktır.

Dijital Güvenliğin Geleceği: Sonuç Ne Olacak?

Bu güvenlik krizi, yalnızca PSN'e özgü bir sorun değil; aynı zamanda tüm dijital oyun ekosistemi için kritik bir uyarı niteliği taşıyor. Xbox, Nintendo ve Steam gibi rakip platformların da benzer protokol açıklarına karşı kendi sistemlerini gözden geçirmesi gerekiyor.

Sony'nin bu süreçteki en büyük hatası, teknik açığı altı ay içinde kapatamamasından çok kamuoyunu bilgilendirmek ve kullanıcılarını aktif olarak uyarmak konusundaki sessizliği olarak değerlendiriliyor. Yüksek profilli bir vakanın ikinci kez yaşanması, bu sessizliğin artık sürdürülemez hale geldiğini gösteriyor.

Kaynak: Shiftdelete