Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

May 21 2011

abotis

Sony und die Datensicherheit

Wie wir bereits hier schrieben, hat Sony derweil ja einiges um die Ohren. Doch so recht will sich die Situation nicht abkühlen. Wir schrieben ja bereits, dass Millionen von Kundendaten gestohlen wurden und dass das für Sony nicht ganz billig wird.
Nun hat ja Sony das Netzwerk schrittweise wieder hochgefahren und die User aufgefordert ihr Passwort wieder zurück zu setzen. Dafür hat Sony extra Webseiten eingerichtet, bei den User ihren Namen und ihr Geburtsdatum eingeben sollten, um ein neues Passwort anzufordern. Daraufhin bekamen sie eine Mail mit einem Link, der als Bestätigung angeklickt wurde. Dieser Link enthielt einen 64 – stelligen Token, um sicherzustellen, dass auch wirklich der Empfänger der Mail die Rücksetzung bestätigt. Hat man den Link angeklickt wurde das Passwort zurück gesetzt.

Allerdings hatte das ganze einen Schönheitsfehler. Wenn man auf die Seite ging, um seinen Namen und sein Geburtsdatum einzugeben erhielt man von der Seite einen Cookie, der bereits den Token enthielt, der auch später im Link der Bestätigungsmail zu finden ist.
Nun musste ein Angreifer nur die URL:”https://store.playstation.com/accounts/reset/resetPassword.action?token” besuchen. Die URL fand sich auch in der Mail wieder mit nur einem Unterschied: an das Ende der URL wurde noch der Token angehängt. Dieser angehängte Token wurde dann vom Server ausgelesen und geprüft.
Anscheinend hat Sony aber noch einen zweiten Mechanismus eingebaut, bei dem nicht der Token aus der URL gelesen wurde, sondern aus dem Cookie.

Ein Angreifer musste deshalb nur folgendes machen: die Webseite zur Rücksetzung besuchen, den Cookie erhalten, Namen und Geburtsdatum eingeben, auf die URL “https://store.playstation.com/accounts/reset/resetPassword.action?token” gehen. Die hat den Token aus dem Cookie ausgelesen und der Angreifer konnte somit den Account übernehmen.
Wenn man natürlich eine Datenbank mit Millionen geklauten Kundendaten hat, sollte der Angriff keine Problem bereiten.
Das galt allerdings nur für die Passwortwiederherstellung über den Browser. Die Funktion über die Playstation war nicht betroffen. Sony löste dann das Problem, indem sie die Webseite vom Netz nahmen. Natürlich ist die Seite wieder online.

Das war letzte Woche. Jüngst plagt Sony aber ein neues Problem. Wie f-secure meldet wurde auf dem Server von Sony Thailand eine Phishing Site gefunden, bei der vorzugsweise Kunden einer italienischen Kreditkartenfirma im Ziel standen.
Bei So-Net wiederum, einem Provider der quasi Sony gehört wurden letzte Woche dann Bonuspunkte im Wert von 860 Euro geklaut und Musikerprofile geändert, wie Heise berichtet.
Wie all das nun geschehen konnte, steht noch aus. Fakt ist aber, dass es für Sony immer peinlicher wird. Und das die Cracker nicht logen, als sie mit der Behauptung zitiert wurden, sie hätten mehrere Zugänge zu verschiedenen Serven Sonys.

flattr this!

Tags: Intern Lieblinge Netzwelt Top Themen Web Technik Cracker datenschutz hack phishing sony

November 30 2010

abotis

Safer Internet Day 2011: Termin steht fest

Das Internet ist mit seinen Möglichkeiten grenzenlos und faszinierend, dass wissen auch Menschen mit böswilligen Absichten. Spielend leicht ist es für sogenannte Cracker, Spammer und anderen Cyberkriminellen geworden um an sensible Daten wie Kennwörtern oder TAN-Nummern zu kommen.

Vielleicht ist es auch die Naivität der Internetsurfer, das sie „sorgenlos“ im Internet surfen könnten. Das es nicht so ist, wie wir uns das so vorstellen, wird uns immer wieder bei entsprechenden Hilfeanfragen in Foren und Communities bewusst. Die aktuellen Medienberichte zeigen die Problemchen des Internetalltags ebenfalls auf.

Experte Erwin Markowsky warnte diesbezüglich bereits sehr eindrucksvoll in seinem Vortrag vor den Gefahren des Mediums.

Der regelmäßig stattfindende „Safer Internet Day“ ist terminlich auf dem 08. Februar 2011 gelegt worden und verhilft uns Otto-Normal-Usern eine Bewusstseinserweiterung im sicheren Umgang mit dem Web. Die Sensibilisierung auf die Gefahren wird auf Seminaren, Infoveranstaltungen und anderen Aktionen verdeutlicht.

Der Aufruf an Unternehmen, Initiativen und Schulen, sich am Safer Internet Day zu beteiligen, macht die Wichtigkeit dieser Angelegenheit deutlich. Zu viele Jugendliche gehen noch immer mit dem Internetmedium sorglos um.

Auch die Bereiche Handy´s und Spielsucht werden thematisiert, denn das Motto der diesjährigen Aktion rund um den Globus heißt: It´s more than a game, it´s your life!

Allen Anwendern und Computernutzern empfiehlt es sich, die Bereitschaft und Mehrarbeit der Veranstalter zu würdigen, indem eine rege Beteiligung an diesen Aktionen stattfindet.

Die Informationen und der daraus resultierende Nutzen stehen in keinem Verhältnis mit einem eventuellen Schaden, der durch eine unachtsame Handlung der Sorglosigkeit passiert.

P.S.: Nach meinem Motto: Sicherheit ist „Einstellungssache“ stellt sich letztlich mir die Frage, inwiefern die Notwendigkeit im Bewusstsein der Menschen verankert ist.

Tags: Branche Netzwelt Top Themen Web 2.0 Cracker Erwin Markowsky Safer Internet Day
Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.