Seit das PSN wieder online ist, können und müssen alle Nutzer des PSNs ihre Kennwörter ändern. Wer seinen Account auf der PS3 benutzt hat, kann dies bequem über die PS3 tun und ist in einer Minute fertig. Ab und zu aber wird man von der PS3 hingewiesen, dass eine Email an die Emailadresse des Accounts herausgeschickt wurde, und man den Passwortwechsel über die Website machen soll.
Da dies über ein Token funktioniert, ist das in Ordnung und sicher.
Sony hat aber eine Sache nicht beachtet:
Wenn man sein Kennwort vergessen hat, kann man sich sein Kennwort über eine Website neu setzen lassen, dazu braucht man nur die Emailadresse und das Geburtsdatum, wie Nyleveia via Engadget und Eurogamer berichtet.
Jetzt sollte inzwischen klar sein, wo der Hund begraben liegt:
Die Hacker und ihre Peripherie haben natürlich sowohl die Emailadresse und die Geburtsdaten. Also können sie die Webseiten nutzen und die Kennwörter wieder ändern. Dieser "Hack" (wir würden ihn eher Exploit nennen) wurde den Jungs von Nyleveia demonstriert und ihr zu Testzwecken erstellter Account wurde von dem Hacker übernommen - sie hatten ihm nur die Emailadresse und das Geburtsdatum mitgeteilt.
Nyleveia rät allen sich für das PSN eine eigene Emailadresse anzulegen und nur diese zu benutzen. Ein gut gemeinter Rat, den aber wahrscheinlich die wenigsten befolgen werden.
Sony hat inzwischen reagiert und die entsprechenden Webseiten, die einen Passwortwechsel ermöglichen, vom Netz genommen.
Engadget resümiert süffisant, dass die japanische Regierung, die Sony immer noch nicht das PSN im Land der aufgehenden Sonne einschalten lässt, jetzt bestimmt selbstzufrieden grinsen werden.