'abe ich dir nicht gesagt, ich werde dir le PSN servieren?
Sony hat in einer offiziellen Mitteilung nun neue Details zu dem Hack des PSNs veröffentlicht - und wir können euch schon sagen, es sieht nicht gut aus. Zuerst aber die Fakten Seitens Sony, anschliessend werden wir eine eigene Bewertung der Situation abgeben.
Die Situation
Laut der offiziellen Mitteilung wurde zwischen dem 17. und 19. April, also gute 4 Tage bevor das PSN offline geschaltet wurden, der Service gehackt und Nutzerkonten kompromittiert.
Sony habe daraufhin drei Schritte unternommen:
1) Das PSN und Qriocity wurden komplett abgeschaltet
2) Eine externe Sicherheitsfirma wurde mit der Analyse des Einbruchs beauftragt und
3) Es wurde damit schnellstmöglich begonnen die Sicherheitsstrukturen des PSNs zu verbessern um eine verbesserte Sicherheit zu gewährleisten.
Punkt 3 ist noch nicht abgeschlossen.
Sony hat auch verlauten lassen welche Daten kompromottiert wurden. Um es kurz zu machen: Es wurden sämtliche Daten kompromittiert, da sie nicht sicher sein können, ob die Kreditkarteninformationen auch entwendet wurden:
Auch wenn wir derzeit noch bei der Untersuchung aller relevanten Details zu dem Vorfall sind, meinen wir, dass sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network/ Qriocity Passwort und Login sowie PSN Online ID. Es kann darüber hinaus möglich sein, dass auch Ihre Profilangaben inklusive Ihrer Kaufhistorie und Ihrer Rechnungsanschrift (Stadt, Bundesland, Postleitzahl) sowie die Sicherheitsfragen zu Ihrem Passwort widerrechtlich abgerufen wurden. Falls Sie einem zweiten Konto für einen Unterhaltsberechtigten zugestimmt haben, kann es sein, dass oben genannte Angaben Ihres Unterhaltsberechtigten ebenfalls angeeignet wurden. Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen. Falls Sie Ihre Kreditkarteninformationen im PlayStation Network oder Qriocity angegeben haben, möchten wir Sie sicherheitshalber darüber benachrichtigen, dass auf Ihre Kreditkartennummer (exklusive Ihres Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte.
In dem Blogpost erklärt Sony, dass sobald das PSN wieder Online ist, man die Kennwörter ändern sollte. Ausserdem soll man auf seine Kreditkartenabrechnungen achten und möglichen Betrug bei der Bank angeben.
Bewertung und Analyse
[img left]144327[/img] Unsere Annahmen und Mutmaßungen aus unserer News vom Samstag haben sich also bewahrheitet und das PSN wurde kompromittiert. Wir hatten auch Recht mit der Annahme, dass die Kompromittierung womöglich vorher schon stattgefunden hat und Sony den Einbruch erst später festgestellt hat. Der Einbruch wurde nach etwa 4 Tagen bemerkt.
Dass die Hacker an persönliche Daten der Nutzer gekommen sind, war zu erwarten. Auch dass die Hacker womöglich an die Kreditkarteninformationen gekommen sind (abgesehen von dem Security-Code), hatten wir erwartet.
Was aber wirklich Unverständnis bei uns auslöst, ist, dass die Hacker die Passwörter der PSN- und Qriocity Kunden nun kennen. Dies sollte auf keinem Fall möglich sein, aber Sony räumt ein, dass die Passwörter den Hackern bekannt seien.
Das bedeutet, dass Sony an dieser Stelle ein eklatantes Sicherheitsdefizit hatte, denn Passwörter der Kunden dürfen niemals im Klartext oder in einem ungesalzenem Hash (verschlüsselt) gespeichert werden. Wären die Kennwörter verschlüsselt gespeichert gewesen, wären diese Kennwörter wertlos für die Hacker.
Alle Kundenkennwörter sollten in Datenbanken verschlüsselt gespeichert werden, so dass nicht einmal Sony selbst die eigentlichen Klartextpasswörter kennt. Bei jedem Einloggen in das PSN sollte das System (also die PS3) das eingegebene Kennwort verschlüsseln und das verschlüsselte Kennwort an den Server senden, der dann dieses verschlüsselte Kennwort mit dem verschlüsselten Kennwort in der Datenbank abgleicht.
Da viele Nutzer sehr oft dieselben Login/Kennwortkombinationen benutzen, und den Hackern auch die Emailadressen der PSN-Nutzer bekannt sind, sollte jeder seine Kennwörter bei sämtlichen anderen Diensten ändern, bei denen er mit einer ähnlichen Kombination angemeldet ist.
Wir gehen davon aus, dass die Kennwörter im Klartext anscheinend gespeichert wurden, andernfalls würde Sony die Kennwörter nicht als kompromittiert erwähnen.
Dies ist ein wahrhaft trauriger Tag und erschüttert das Vertrauen in die Sicherheitstandards des Unternehmens und lässt uns wundern, ob die Sicherheitststandards wohl doch von Aperture Science gesetzt wurden.
Wann das PSN wieder online sein wird, ist unbekannt.