Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kunden- und Bankdaten bei Sony Online Entertainment entführt

Nachdem Sony kurz nach Ostern bereits einen Einbruch bei seinem Sony PlayStation Network einräumen musste, in dessen Zuge Millionen Kundendaten samt Kennwörter und Kreditkarten-Informationen in die Hände krimineller Hacker gelangte, hat es nun wohl den nächsten Online-Dienst von Sony getroffen. Demnach hat man nun auch bei Sony Online Entertainment erste Spuren eines Einbruchs festgestellt. Sehr wahrscheinlich konnten auch hier Angreifer die Kundendaten kopieren, die unter anderem Anschrift, E-Mail-Adresse und Kennwort (als Hash) beinhalten. Auch Bank- und Kreditkarten-Informationen von Kunden außerhalb der USA sind den Angreifer unter die Finger gekommen, darunter mehr als 10.000 Datensätze aus Deutschland, Niederlande, Österreich und Spanien. Kunden will Sony per E-Mail über den Angriff informieren. Um Sony Online Entertainment sicherer zu machen, wurde die Server vorübergehend vom Netz genommen.

Weiterführende Links:
Safari: iOS 18 enthält angeblich den "Browsing Assistant" +++ massive Performance-Verbesserungen in WebKit
Safari: iOS 18 enthält angeblich den "Browsing ...
Kurz: Netflix-Preiserhöhung auch für Bestandskunden +++ Passkey-Unterstützung für WhatsApp
Kurz: Netflix-Preiserhöhung auch für Bestandsku...
Bericht zum neuen iPad Pro: Apple bestellt Millionen von OLED-Panels – Fokus auf 12,9"-Modell
Bericht zum neuen iPad Pro: Apple bestellt Mill...
Kurz: Apple informiert WWDC-Ticketgewinner +++ Zwei weitere neue iPads geleakt
Kurz: Apple informiert WWDC-Ticketgewinner +++ ...
Test Nubert nuControl X
Test Nubert nuControl X
Update-Abend: Apple gibt macOS 14.4, watchOS 10.4 und tvOS 17.4 in der finalen Version frei
Update-Abend: Apple gibt macOS 14.4, watchOS 10...
MacBook Air M3 vorgestellt
MacBook Air M3 vorgestellt
NonUI, LLDiag, InternalUI – Die geheimen Versionen des iPhone-Betriebssystems
NonUI, LLDiag, InternalUI – Die geheimen Versio...

Kommentare

dreyfus03.05.11 08:59
"Entführt" ist niedlich... Werden sie denn eventuell wieder freigelassen
0
seek03.05.11 09:01
Scheint dass Sony einen Lauf hat
0
eiPätt03.05.11 09:08
Das ist das Ende von Sony

*duckundweg*
0
soapsick03.05.11 09:10
ob das alles mit geohot's streit mit sony zusammenhängt?
0
ulanbator
ulanbator03.05.11 09:12
.... als Grossfirma sollte man die Hackerscene nicht angreifen.... kommt nicht gut auf die Länge.... Apple macht das besser..... hoffentlich....
0
stefan03.05.11 09:20
Weiss man schon, wie es den Entführten geht? Gibt es Lösegeldforderungen?
0
nopeecee
nopeecee03.05.11 09:21
so nie
Auch in Foren kann man höflich miteinander umgehen
0
dreyfus03.05.11 09:22

Ich halte ja von Sony nicht eben die Welt (von deren professionellem Videoequipment einmal abgesehen, das ist teilweise top), aber so grottenschwach können/dürfen Sicherheitskonzepte in einer Firma dieser Größe eigentlich gar nicht sein, dass das alles noch glaubhaft wäre.

Hier gibt es eigentlich nur noch zwei mögliche Erklärungen: 1. Deren Sicherheitskonzepte waren wirklich so schwach, dass es an Fahrlässigkeit grenzt (zumindest das Zusammenführen von Zugangsdaten und Kreditkarten/Bankdaten sollte durch einen normalen Hack eigentlich unmöglich sein) oder 2. (das wäre schlimm, aber für die Reputation von Sony noch die bessere Variante) ein Mitarbeiter mit extrem hohen Zugriffsrechten (für mehrere Dienste und Standorte) hat da mitgewirkt.

Allerdings glaube ich eher nicht, dass wir das je erfahren.
0
o.wunder
o.wunder03.05.11 09:26
Ich frage mich wie man die Daten anscheinend so zusammenhängend und anscheinend direkt und unverschlüsselt auf dem Server speichern kann?

Eine große Firma wie Sony sollte da doch alle Möglichkeiten haben. zB Speicherung der Daten wie Bankdaten und Kreditkarte sowie Kennwörter auf einem Rechner der nicht im Internet hängt sondern nur per API vom Server aus erreichbar ist, ok auch das kann man knacken, aber ungleich schwerer da man erst den Code der Anwendung analysieren müsste.

Sony hat da bestimmt viele Fehler gemacht.
0
dark-hawk03.05.11 09:58
o.wunder

die Datenbank hing ja auch nicht direkt am Internet, laut einer Grafik der PSN Pressekonferenz war der Weg:
Internet FIREWALL Webserver FIREWALL Applicationserver FIREWALL Datenbank

Im Grunde der ganz normale Aufbau der sich so überall findet.

nur, die Firewalls wurden geknackt und der Zugriff auf die Datenbank wurde durch eine Schwachstelle des Applicationserver möglich. Für beides kann man Sony im Grunde nicht die Schuld geben da vermutlich der APS von Oracle kommt und die Firewall von Cisco. Was man Sony vorwerfen kann (und muss) ist das die Daten auf der DB unverschlüsselt waren.

hier noch die Grafik:
0
Stefan S.
Stefan S.03.05.11 10:17
das Kennwort war verschlüsselt abgelegt (Hash) immerhin.
0
o.wunder
o.wunder03.05.11 10:22
dark-hawk
Danke für die Info, also ist alles hackbar durch Ausnutzung von Lücken die es ja immer gibt. Also ist es falsch Kreditkartennummern überhaupt zu speichern. Der Kunde muß sie jedesmal angeben und Speicherung erfolgt nicht. Dann wäre es zumindest auf der monitären Seite sicher.

mh, Apple speichert die Kreditkarten Infos ja auch für den iTunes Store. weia weia
0
dark-hawk03.05.11 10:45
o.wunder

grundsätzlich ist sowieso alles hackbar, das ist ja nichts neues die frage ist nur wie schwer man es den hackern macht und wie viel energie die hacker einsetzen um die hürden zu überwinden.

wenn man auf nummer sicher gehen will müsste man nach jedem einkauf die kreditkartendaten löschen, in der hoffnung das diese daten dann auch tatsächlich vom system gelöscht werden und nicht nur aus der übersicht der bezahloptionen verschwindet.
0
dark-hawk03.05.11 10:48
das Kennwort war verschlüsselt abgelegt (Hash) immerhin.

Wirklich? hatte Sony da nicht was anderes gemeldet? zumindest melden die meisten Seiten das auch das Passwort unverschlüsselt gespeichert war.
0
dark-hawk03.05.11 10:50
achso, hier die klarstellung vom Playstationblog zu der frage:
Außerdem möchten wir noch einen Punkt über unsere kürzlich abgehaltene Pressekonferenz klarstellen. Die gespeicherten Passwörter wurden nicht “verschlüsselt”, sie wurden mit einer kryptografischen Hash-Funktion verändert. Es gibt einen Unterschied zwischen diesen beiden Sicherheitsmaßnahmen, deswegen haben wir gesagt, dass die Passwörter nicht verschlüsselt wurden. Ich möchte aber ganz deutlich klarstellen, dass die Passwörter nicht in Klartext-Form in unserer Datenbank gespeichert wurden. Informationen über den Unterschied zwischen Verschlüsselung und Hashing findet man unter diesem Link.


Quelle:
0
diddom
diddom03.05.11 10:59
Zu viel Häme ist nicht angebracht.
Ich bin mir sicher, das ein solcher Angriff auch auf den its möglich ist, wenn sich nur genug Hacker finden, die an die Daten ran wollen.
Könnte Apple also genauso passieren und schließlich wurden ja auch schon mal its accounts hijacked.
Das Thema ist und bleibt schwierig.
0
sierkb03.05.11 12:25
The Register: Sony: 'PSN attacker exploited known vulnerability'
[..]
Sony’s Shinji Hasejima, Sony’s CIO, told Sony’s apologetic news conference that the attack was based on a “known vulnerability” in the non-specified Web application server platform used in the PSN. However, he declined to stipulate what platform/s were used or what vulnerability was exploited, on the basis that disclosure might expose other users to attack.

Hasejima conceded that Sony management had not been aware of the vulnerability that was exploited, and said it is in response to this that the company has established a new executive-level security position, that of chief information security officer, “to improve and enhance such aspects”.

Sony also said it has asked the FBI to investigate the attack.
[..]
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.