About
Accounts
Friends
-
Loading…baranek 16 days ago -
Loading…bcmuc08 about 1 month ago -
Loading…kehrseite 15 days ago -
Loading…mpo about 1 month ago -
Loading…freshmango 2 months ago -
Loading…oliverg 16 days ago -
Loading…luca 21 days ago -
Loading…sb77 4 months ago -
Loading…dentaku about 1 month ago -
Loading…andremellentin about 1 month ago - +12
Click here to check if anything new just came in.
June 03 2011
Überraschung, Überraschung: Datenpanne bei Sony
Wieder einmal wurden Daten von Sony gestohlen. Diesmal hat es die Filmsparte “Sony Pictures” erwischt. Dafür verantwortlich zeichnet sich die Hacktivistgruppe “Lulzsec”.
Eine Art “Bekennerschreiben” liegt dabei vor. So war der Einbruch recht einfach über eine sogenannte SQL – Injection zu realisieren. Diese Art von Schwachstelle ist recht leicht zu finden und auszunutzen. Die Einfachheit hat einen einfachen Grund: SQL – Injections sind ein alter Hut und grob gesehen so alt wie das Web 2.0 selbst. Grade in der Anfangszeit des Web 2.0 wurde die Sicherheit der Datenbank komplett außer Acht gelassen. Seitdem ist einiges an Zeit vergangen und es wurden viele Gegenmaßnahmen entwickelt und getroffen.
Genau deswegen ist diese Lücke doppelt peinlich. So etwas darf bei einem Unternehmen der Größe von Sony, die zudem noch in der Elektronikbranche tätig sind, nicht passieren. Das man von der Webseite eines Films auf die konzernweite Datenbankstruktur zugreifen kann, zeugt von schlampigen Datenbankdesign und schlechter Absicherung.
Denn nicht nur Kunden waren diesmal auch die Opfer. Auch Daten von Administratoren wurden ausgespäht. Auch Gutscheine und Couponnummern standen den Angreifern offen.
In Zahlen:
– 1.000.000 Benutzerdaten
– 3.500.000 music coupons
– 75.000 music codes
Man kann also sagen, dass sich die Ausbeute gelohnt hat. Schlecht nur für Sony. Dabei ist es noch nicht einmal, dass es wieder passiert ist. Auch die Anzahl der ausgespähten Daten ist bei weitem nicht so drastisch. Wohl aber, dass ALLE Daten nicht verschlüsselt waren.
Grade nach den letzten Vorfällen hätte das einfach nicht passieren dürfen und es ist die Frage, wie ernst Sony Datenschutz nimmt offensichtlich nicht genug.
Aber ein bisschen Glück hat Sony doch noch gehabt: Lulzsec hatte nicht genug Ressourcen um alle Daten zu kopieren. Dem Blog “this is my next” zufolge sind demnach “nur” 51.000 Benutzerdaten im Umlauf. Das ist ein Fortschritt. Zumindest für Sony.
May 21 2011
Sony und die Datensicherheit
Wie wir bereits hier schrieben, hat Sony derweil ja einiges um die Ohren. Doch so recht will sich die Situation nicht abkühlen. Wir schrieben ja bereits, dass Millionen von Kundendaten gestohlen wurden und dass das für Sony nicht ganz billig wird.
Nun hat ja Sony das Netzwerk schrittweise wieder hochgefahren und die User aufgefordert ihr Passwort wieder zurück zu setzen. Dafür hat Sony extra Webseiten eingerichtet, bei den User ihren Namen und ihr Geburtsdatum eingeben sollten, um ein neues Passwort anzufordern. Daraufhin bekamen sie eine Mail mit einem Link, der als Bestätigung angeklickt wurde. Dieser Link enthielt einen 64 – stelligen Token, um sicherzustellen, dass auch wirklich der Empfänger der Mail die Rücksetzung bestätigt. Hat man den Link angeklickt wurde das Passwort zurück gesetzt.
Allerdings hatte das ganze einen Schönheitsfehler. Wenn man auf die Seite ging, um seinen Namen und sein Geburtsdatum einzugeben erhielt man von der Seite einen Cookie, der bereits den Token enthielt, der auch später im Link der Bestätigungsmail zu finden ist.
Nun musste ein Angreifer nur die URL:”https://store.playstation.com/accounts/reset/resetPassword.action?token” besuchen. Die URL fand sich auch in der Mail wieder mit nur einem Unterschied: an das Ende der URL wurde noch der Token angehängt. Dieser angehängte Token wurde dann vom Server ausgelesen und geprüft.
Anscheinend hat Sony aber noch einen zweiten Mechanismus eingebaut, bei dem nicht der Token aus der URL gelesen wurde, sondern aus dem Cookie.
Ein Angreifer musste deshalb nur folgendes machen: die Webseite zur Rücksetzung besuchen, den Cookie erhalten, Namen und Geburtsdatum eingeben, auf die URL “https://store.playstation.com/accounts/reset/resetPassword.action?token” gehen. Die hat den Token aus dem Cookie ausgelesen und der Angreifer konnte somit den Account übernehmen.
Wenn man natürlich eine Datenbank mit Millionen geklauten Kundendaten hat, sollte der Angriff keine Problem bereiten.
Das galt allerdings nur für die Passwortwiederherstellung über den Browser. Die Funktion über die Playstation war nicht betroffen. Sony löste dann das Problem, indem sie die Webseite vom Netz nahmen. Natürlich ist die Seite wieder online.
Das war letzte Woche. Jüngst plagt Sony aber ein neues Problem. Wie f-secure meldet wurde auf dem Server von Sony Thailand eine Phishing Site gefunden, bei der vorzugsweise Kunden einer italienischen Kreditkartenfirma im Ziel standen.
Bei So-Net wiederum, einem Provider der quasi Sony gehört wurden letzte Woche dann Bonuspunkte im Wert von 860 Euro geklaut und Musikerprofile geändert, wie Heise berichtet.
Wie all das nun geschehen konnte, steht noch aus. Fakt ist aber, dass es für Sony immer peinlicher wird. Und das die Cracker nicht logen, als sie mit der Behauptung zitiert wurden, sie hätten mehrere Zugänge zu verschiedenen Serven Sonys.
May 16 2011
Sony öffnet wieder das Playstation Network
Wie wir bereits berichteten hatte Sony ja die letzten Wochen einiges einzustecken. Problem war der Einbruch in das Playstation Network (PSN), bei denen ca. 77 Millionen Datensätze von Kunden gestohlen wurden. Als Konsequenz darauf fuhr Sony das Netzwerk herunter, um die Sicherheitslücken zu beseitigen.
Den Tweets des Playstation – Twitteraccounts zufolge, wurde das Netzwerk nun Stück für Stück in Betrieb genommen.
Der Eröffnung war ein internes erstes Testen des neuen Netzwerkes vorausgegangen. Und dem wiederum war eine umfangreiche Prüfung vorher gegangen. Es bleibt zu hoffen, dass Sony das Netzwerk entsprechend gesichert hat und auch ALLE Sicherheitslücken gefunden wurden. Kurzum: es bleibt zu hoffen, dass Sony seine Hausaufgaben gemacht hat.
Denn aktuell sieht sich das Netzwerk mit einer neuen Herausforderung konfrontiert: nämlich einer massiven Flut an Password – Resets. Das Problem dabei liegt aber in dem Fall nicht unbedingt bei Sony. Viele User sind einfach nur ungeduldig. Zwar hat Sony über Twitter vermehrt darauf hingewiesen, dass die Zustellzeit der Mails mit den neuen Passwörtern je nach Anbieter variieren kann, das hat aber eher wenig gefruchtet.
Stattdessen klickten die User weiter, forderten vermehrt Password – Resets an, sodass Sony nun die Möglichkeit eines Password – Resets erstmal für 30 Minuten abschaltet, um die gesamten Anforderungen abzuarbeiten.
Insgesamt wird dieses gesamte Debakel Sony noch sehr lange in Erinnerung bleiben. Und wenn es nicht in Erinnerung bleibt, dann doch zumindest in den Bilanzbüchern.
Denn wie die Financial Times Deutschland mit Berufung auf das Wall Street Journal berichtet, hat Sony die Attacke einiges an Kunden gekostet. So legte der Verkauf von Konsolen und Videospielen im April ordentlich zu. Zumindest bei Microsoft. Sony dagegen fiel zurück.
Konnte Sony im April diesen Jahres 204.000 Konsolen verkaufen, schafften es die Redmonder auf 269.000 Xbox – Konsolen.
Zudem ist fraglich, wie hoch die Verluste durch den Ausfall von Qriocity und des Playstation Network ist. Denn zum einen fielen potentielle neue Abonnenten weg und zum anderen konnten User nichts im PSN erwerben, also keine Umsätze, also keine Einnahmen für Sony.
Denn in den User bahnen sich vermehrt Massenklagen an, bei denen aber offen ist, ob der Verlust der eigenen Daten bereits einen Verlust darstellt oder ob erst ein Missbrauch mit selbigen als Wertverlust zu werten ist. Aktuell ist die Rechtslage also noch ziemlich offen.
Wie wir bereits schrieben: das Jahr 2011 wird Sony noch lange in Erinnerung bleiben. Sehr lange.
May 06 2011
Droht Sony ein dritter Angriff?
Die letzten 4 – 5 Wochen waren für Sony alles andere als angenehm. So gesehen war das ganze Jahr 2011 für Sony unangenehm. Eigentlich angefangen hatte alles mit dem Hacker George Hotz. Der hatte sich die Playstation 3 mal näher angeschaut und einerseits herausgefunden, dass die Playstation 3 jederzeit von Sony überprüft werden kann. Hätte man also die Firmware manipuliert oder musste ein Kopierschutz auf den neuesten Stand bringen müssen, hätte Sony dies tun können, ohne, dass der Besitzer auch nur irgendetwas mitbekommen hätte. Zumindest dann, wenn die Konsole ans Internet angebunden gewesen wäre.
Infolge aber der massenhaften Verbreitung von DSL – Anschlüssen inklusive WLAN -Router und der fortgehende Trend zu Onlinespielen, dürfte dies aber bei den meisten Playstation – Konsolen der Fall gewesen sein.
Die Reaktion Sonys: eine Klage gegen George Hotz. Die zu erwartende Konsequenz: Rachegelüste seitens der Netzgemeinde. Und so kam es das die Gruppe “Anonymous” das Playstation Network mit einer DDOS – Attacke lahmlegte.
Dann Mitte April dann der Daten – GAU: Sony stellte fest, dass 77 Millionen Datensätze gestohlen wurden: Name, Anschrift, Kreditkartendaten, Emailadressen und Logins. Sony gab daraufhin bekannt, dass einerseits die Kreditkartendaten verschlüsselt waren und andererseits man nicht sicher war, ob sie wirklich gestohlen wurden.
Am 2. Mai stellte man dann fest: das war nicht der einzige Angriff. Denn schon zuvor wurden wohl 25 Millionen Datensätze entwendet. Diesmal von “Sony Online”.
Nun sieht sich das Unternehmen mit einem dritten Hackangriff konfrontiert. Wie aktuell Cnet berichtet. In einem IRC – Channel wurde wohl für dieses Wochenende ein dritter Angriff angekündigt. Zum jetzigen Zeitpunkt hätten die Cracker wohl Zugriff auf die Server und planen, alle oder zumindest ein Teil der Daten zu veröffentlichen.
Mehr weiß man aktuell nicht, doch komisch ist, dass das ganze überhaupt an die Öffentlichkeit gelangt ist. Denn so gesehen wäre Sony jetzt vorgewarnt, könnte seine Systeme untersuchen und schlimmstenfalls vom Netz nehmen. Es ist also abzuwarten, was an diese Meldung dran ist.
Für Sony ist zu hoffen, dass es wohl nur ein Gerücht oder eine leere Prahlerei ist. Ansonsten könnte das Unternehmen einiges an Image und Umsatz einbüßen.
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
