About
Accounts
Friends
-
Loading…luca 21 days ago -
Loading…freshmango 2 months ago -
Loading…yatil 27 days ago -
Loading…bcmuc08 about 1 month ago -
Loading…mthie 16 days ago -
Loading…kirscheplotzer 27 days ago -
Loading…mpo about 1 month ago -
Loading…andremellentin about 1 month ago
-
Loading…kehrseite 15 days ago -
Loading…krannix 1 day ago - +12
Click here to check if anything new just came in.
May 21 2011
Sony und die Datensicherheit
Wie wir bereits hier schrieben, hat Sony derweil ja einiges um die Ohren. Doch so recht will sich die Situation nicht abkühlen. Wir schrieben ja bereits, dass Millionen von Kundendaten gestohlen wurden und dass das für Sony nicht ganz billig wird.
Nun hat ja Sony das Netzwerk schrittweise wieder hochgefahren und die User aufgefordert ihr Passwort wieder zurück zu setzen. Dafür hat Sony extra Webseiten eingerichtet, bei den User ihren Namen und ihr Geburtsdatum eingeben sollten, um ein neues Passwort anzufordern. Daraufhin bekamen sie eine Mail mit einem Link, der als Bestätigung angeklickt wurde. Dieser Link enthielt einen 64 – stelligen Token, um sicherzustellen, dass auch wirklich der Empfänger der Mail die Rücksetzung bestätigt. Hat man den Link angeklickt wurde das Passwort zurück gesetzt.
Allerdings hatte das ganze einen Schönheitsfehler. Wenn man auf die Seite ging, um seinen Namen und sein Geburtsdatum einzugeben erhielt man von der Seite einen Cookie, der bereits den Token enthielt, der auch später im Link der Bestätigungsmail zu finden ist.
Nun musste ein Angreifer nur die URL:”https://store.playstation.com/accounts/reset/resetPassword.action?token” besuchen. Die URL fand sich auch in der Mail wieder mit nur einem Unterschied: an das Ende der URL wurde noch der Token angehängt. Dieser angehängte Token wurde dann vom Server ausgelesen und geprüft.
Anscheinend hat Sony aber noch einen zweiten Mechanismus eingebaut, bei dem nicht der Token aus der URL gelesen wurde, sondern aus dem Cookie.
Ein Angreifer musste deshalb nur folgendes machen: die Webseite zur Rücksetzung besuchen, den Cookie erhalten, Namen und Geburtsdatum eingeben, auf die URL “https://store.playstation.com/accounts/reset/resetPassword.action?token” gehen. Die hat den Token aus dem Cookie ausgelesen und der Angreifer konnte somit den Account übernehmen.
Wenn man natürlich eine Datenbank mit Millionen geklauten Kundendaten hat, sollte der Angriff keine Problem bereiten.
Das galt allerdings nur für die Passwortwiederherstellung über den Browser. Die Funktion über die Playstation war nicht betroffen. Sony löste dann das Problem, indem sie die Webseite vom Netz nahmen. Natürlich ist die Seite wieder online.
Das war letzte Woche. Jüngst plagt Sony aber ein neues Problem. Wie f-secure meldet wurde auf dem Server von Sony Thailand eine Phishing Site gefunden, bei der vorzugsweise Kunden einer italienischen Kreditkartenfirma im Ziel standen.
Bei So-Net wiederum, einem Provider der quasi Sony gehört wurden letzte Woche dann Bonuspunkte im Wert von 860 Euro geklaut und Musikerprofile geändert, wie Heise berichtet.
Wie all das nun geschehen konnte, steht noch aus. Fakt ist aber, dass es für Sony immer peinlicher wird. Und das die Cracker nicht logen, als sie mit der Behauptung zitiert wurden, sie hätten mehrere Zugänge zu verschiedenen Serven Sonys.
