Soup von abotis

About

Feeds 'n Stuff

Accounts

Newer posts are loading.

You are at the newest post.
Click here to check if anything new just came in.

May 21 2011

Sony und die Datensicherheit

Wie wir bereits hier schrieben, hat Sony derweil ja einiges um die Ohren. Doch so recht will sich die Situation nicht abkühlen. Wir schrieben ja bereits, dass Millionen von Kundendaten gestohlen wurden und dass das für Sony nicht ganz billig wird.
Nun hat ja Sony das Netzwerk schrittweise wieder hochgefahren und die User aufgefordert ihr Passwort wieder zurück zu setzen. Dafür hat Sony extra Webseiten eingerichtet, bei den User ihren Namen und ihr Geburtsdatum eingeben sollten, um ein neues Passwort anzufordern. Daraufhin bekamen sie eine Mail mit einem Link, der als Bestätigung angeklickt wurde. Dieser Link enthielt einen 64 – stelligen Token, um sicherzustellen, dass auch wirklich der Empfänger der Mail die Rücksetzung bestätigt. Hat man den Link angeklickt wurde das Passwort zurück gesetzt.

Allerdings hatte das ganze einen Schönheitsfehler. Wenn man auf die Seite ging, um seinen Namen und sein Geburtsdatum einzugeben erhielt man von der Seite einen Cookie, der bereits den Token enthielt, der auch später im Link der Bestätigungsmail zu finden ist.
Nun musste ein Angreifer nur die URL:”https://store.playstation.com/accounts/reset/resetPassword.action?token” besuchen. Die URL fand sich auch in der Mail wieder mit nur einem Unterschied: an das Ende der URL wurde noch der Token angehängt. Dieser angehängte Token wurde dann vom Server ausgelesen und geprüft.
Anscheinend hat Sony aber noch einen zweiten Mechanismus eingebaut, bei dem nicht der Token aus der URL gelesen wurde, sondern aus dem Cookie.

Ein Angreifer musste deshalb nur folgendes machen: die Webseite zur Rücksetzung besuchen, den Cookie erhalten, Namen und Geburtsdatum eingeben, auf die URL “https://store.playstation.com/accounts/reset/resetPassword.action?token” gehen. Die hat den Token aus dem Cookie ausgelesen und der Angreifer konnte somit den Account übernehmen.
Wenn man natürlich eine Datenbank mit Millionen geklauten Kundendaten hat, sollte der Angriff keine Problem bereiten.
Das galt allerdings nur für die Passwortwiederherstellung über den Browser. Die Funktion über die Playstation war nicht betroffen. Sony löste dann das Problem, indem sie die Webseite vom Netz nahmen. Natürlich ist die Seite wieder online.

Das war letzte Woche. Jüngst plagt Sony aber ein neues Problem. Wie f-secure meldet wurde auf dem Server von Sony Thailand eine Phishing Site gefunden, bei der vorzugsweise Kunden einer italienischen Kreditkartenfirma im Ziel standen.
Bei So-Net wiederum, einem Provider der quasi Sony gehört wurden letzte Woche dann Bonuspunkte im Wert von 860 Euro geklaut und Musikerprofile geändert, wie Heise berichtet.
Wie all das nun geschehen konnte, steht noch aus. Fakt ist aber, dass es für Sony immer peinlicher wird. Und das die Cracker nicht logen, als sie mit der Behauptung zitiert wurden, sie hätten mehrere Zugänge zu verschiedenen Serven Sonys.

Tags: Intern Lieblinge Netzwelt Top Themen Web Technik Cracker datenschutz hack phishing sony

#
React

May 16 2011

Sony öffnet wieder das Playstation Network

Wie wir bereits berichteten hatte Sony ja die letzten Wochen einiges einzustecken. Problem war der Einbruch in das Playstation Network (PSN), bei denen ca. 77 Millionen Datensätze von Kunden gestohlen wurden. Als Konsequenz darauf fuhr Sony das Netzwerk herunter, um die Sicherheitslücken zu beseitigen.
Den Tweets des Playstation – Twitteraccounts zufolge, wurde das Netzwerk nun Stück für Stück in Betrieb genommen.
Der Eröffnung war ein internes erstes Testen des neuen Netzwerkes vorausgegangen. Und dem wiederum war eine umfangreiche Prüfung vorher gegangen. Es bleibt zu hoffen, dass Sony das Netzwerk entsprechend gesichert hat und auch ALLE Sicherheitslücken gefunden wurden. Kurzum: es bleibt zu hoffen, dass Sony seine Hausaufgaben gemacht hat.
Denn aktuell sieht sich das Netzwerk mit einer neuen Herausforderung konfrontiert: nämlich einer massiven Flut an Password – Resets. Das Problem dabei liegt aber in dem Fall nicht unbedingt bei Sony. Viele User sind einfach nur ungeduldig. Zwar hat Sony über Twitter vermehrt darauf hingewiesen, dass die Zustellzeit der Mails mit den neuen Passwörtern je nach Anbieter variieren kann, das hat aber eher wenig gefruchtet.
Stattdessen klickten die User weiter, forderten vermehrt Password – Resets an, sodass Sony nun die Möglichkeit eines Password – Resets erstmal für 30 Minuten abschaltet, um die gesamten Anforderungen abzuarbeiten.

Insgesamt wird dieses gesamte Debakel Sony noch sehr lange in Erinnerung bleiben. Und wenn es nicht in Erinnerung bleibt, dann doch zumindest in den Bilanzbüchern.
Denn wie die Financial Times Deutschland mit Berufung auf das Wall Street Journal berichtet, hat Sony die Attacke einiges an Kunden gekostet. So legte der Verkauf von Konsolen und Videospielen im April ordentlich zu. Zumindest bei Microsoft. Sony dagegen fiel zurück.
Konnte Sony im April diesen Jahres 204.000 Konsolen verkaufen, schafften es die Redmonder auf 269.000 Xbox – Konsolen.
Zudem ist fraglich, wie hoch die Verluste durch den Ausfall von Qriocity und des Playstation Network ist. Denn zum einen fielen potentielle neue Abonnenten weg und zum anderen konnten User nichts im PSN erwerben, also keine Umsätze, also keine Einnahmen für Sony.
Denn in den User bahnen sich vermehrt Massenklagen an, bei denen aber offen ist, ob der Verlust der eigenen Daten bereits einen Verlust darstellt oder ob erst ein Missbrauch mit selbigen als Wertverlust zu werten ist. Aktuell ist die Rechtslage also noch ziemlich offen.
Wie wir bereits schrieben: das Jahr 2011 wird Sony noch lange in Erinnerung bleiben. Sehr lange.