Angriff auf Sony-Netzwerk: möglicher Datengau?

So, jetzt haben sie auch noch Sony Online Entertainment gehackt. Die Server über die unter Anderem auch die Konten für DC Universe Online liegen.
Hier wurden 22 Millionen Daten diesmal 13000 davon sicher inklusive KK Daten geleaked.

Sony selbst sagen dass sie Anonymus von der Liste der verdächtigen gestrichen haben:

Just to make it clear tonight, the final question asked at the PSN press conference dealt directly with the subject of Anonymous.

A Japanese reporter asked what involvement, if any, this infamous group had with the latest PSN intrusions.

Kaz Hirai, Sony’s EDP and Ridge Racer‘s #1 fan responded stating that “Anonymous has not been implicated in any way with the current attacks.”

Anonymous themselves (whoever they are) have also denied any involvement in the recent attacks. Does this rule them out completely? Of course not, but it’s safe to say someone else was likely responsible.

Sony is currently working with the FBI and Department of Homeland security to find out who is responsible for the intrusion, but so far they have no reason to implicate Anonymous.

Quelle: http://www.ps3hax.net/2011/05/sony-it-wasnt-anonymous/ (Archiv-Version vom 06.05.2011)

Hier auch ein paar nette Ausführungen über Sony's ach so tolles PSN+ Angebot:

While an offer of 30 days free PS+ itself is a nice gesture, are sony about to make the mother of all screw ups under the veil of compensation?

Lets think about this for a minute, PS+ allows its subscribers to gain PS+ exclusives, and free content on a monthly basis. When you subscribe to PS+, it is made clear that any content downloaded that is PS+ exclusive may be subject to expiration at the end of the PS+ subs period, unless that subs is renewed (basically you lose the content unless you renew the subs in time).

Sony have stated that it will be offering Sony exclusives as compensation for the recent PSN downtime. Does this mean sony are about to rip its users off yet again? Combine this with the 30 days free ps+ offer and what do you get? A big compensation trick to fool you into effectivly trialling the service, and to tempt you into subscribing for a longer period.

Theres also those users that will use the online saves feature ps+ offers, will those users be able to grab their saves, after the 30 days free has expired? No they will not, they will have to subscribe again to PS+ withing 60 days to be able to obtain their own content. Nice.

All in all, it seems sony have some dirty tactics at play here… and maybe this offer should actually be avoided at all costs.

Quelle: http://www.ps3hax.net/2011/05/dont-be-fooled-by-sonys-so-called-offer-of-compensation/ (Archiv-Version vom 05.05.2011)

Hier mal ein netter Ablauf des Angriffes:


Und eine Liste wie viele Accounts pro Land betroffen sind:


Außerdem zum Gemunkel so viel:
Man hat rausgefunden dass kurz vorher über 200 Mitarbeiter mit eine 2 Wochen Frist entlassen wurden. Diejenigen hätten ganz viel Zeit für einen Inside-Job gehabt. Aber alles reine Spekulation.

According to online reports, Sony had fired ~200 employees from SOE a few days before the PSN massive attack which led to the compromise of user personal information. A 2 week notice was handed out on March 31st, 2011 which gave whomever enough time to think, plan and act on the PSN attack – and would have all the clearance to easily to do it . Whats even worse is that if it DID turn out to be a inside job then the ex-employee could potentially have the tools to un-hash the stolen passwords and possibly even have the tools/resources to decrypt the important information such as your credit card numbers.

Quelle: http://www.ps3hax.net/2011/05/psn-and-soe-attacks-an-inside-job/ (Archiv-Version vom 05.05.2011)

Fennek schrieb:Anonymous themselves (whoever they are)

falls es jemanden interessiert was anonymous ist, vielleicht wissen das ja auch alle schon.

jedenfalls, anonymous besteht aus allen menschen und keinem.

komplett unorganisiert. wenn man mitmachen will macht man mit, heißt nicht das man hacken muss etc, müssen muss man garnichts.

die idee ist das wichtigste daran... against scientology.

die hackersache ist, ich nenn es jetzt mal "chapter" und länder abhängig!

Ich habe heute eine seltsame E-Mail auf meine Mail-Adresse bekommen mit der ich beim PS angemeldet war.

Hier:

Dear Sir/Madam,

The parcel was sent your home adress
It will arrive within 2-5 business days from this moment.
All information and the parcel number
are attached in file below.

Thank You
© Copyright 2004-2011 United Parcel Service of America, Inc. UPS, the UPS brandmark, and the color brown are trademarks of United Parcel Service of America, Inc. All rights reserved.

Please do not reply directly to this e-mail. UPS will not receive any reply message. For questions or comments, visit Contact UPS.
We understand the importance of privacy to our customers. For more information, please consult the UPS Privacy Policy.
This communication contains proprietary information and may be confidential. If you are not the intended recipient, the reading, copying, disclosure or
other use of the contents of this e-mail is strictly prohibited and you are instructed to please delete this e-mail immediately.



Im ersten Moment könnte man denken, wurde da etwa mit meiner Kreditkarte eingekauft?
Auffällig ist aber schon das man nicht mal namentlich erwähnt wird was eigentlich sein sollte wenn die mit meiner Kreditkarte bezahlt hätten.

Im erwähnten zip Anhang ist eine EXE Datei mit dem Namen "5.exe". Kaspersky erkennt keinen Virus. Ich habe es daher mal auf virtustotal.com hochgeladen und hier das Ergebnis:
http://www.virustotal.com/file-scan/report.html?id=319ecbf025ff73027ab4f35a8566b266c872c7aba365b3e5be1f8627cef257d4-1304449225

Und ich habe es an Kaspersky verschickt, dann sollte es eindeutig sein.

Mich nervt dieser Hack.

Wir haben die PS3, seit sie erschienen ist. Playstation Networt gibt es auch schon jahrelang.
Und ich habe zum Registrieren einen bescheuerten Zeitpunkt ausgewählt... Als unsere PS3 in die Wohnung mit Internet gekommen ist und ich mich bei Playstation Network registriert habe, habe ich an 2-3 Tagen ein wenig online gegen andere gespielt. Dann war ein paar Tage Ruhe, weil wir unsere neue Küche aufgebaut haben. Ich habe mich schon gefreut, endlich wieder mal etwas zu spielen, weil GTA IV und die nachfolgendnen Spiele schnell langweilig werden, wenn man sie durch hat. Und was passiert? Genau an dem Tag wurde das PSN gehackt...

Egal, die e-Mail Adresse und alles andere habe ich extra für PSN angelegt. Mich betrifft der Datenklau also nicht. :D

die "panne" bei apple ist in meinen augen viel heikler. heut morgen war ich inne runi zeuge einer äußerst intressanten demonstration. man kann mit nem minivirus versteckt inner bilddatei die iphone bewegungsdaten auslesen.
ein bild wurde nem iphone user geschickt, und anschließend konnte man die daten für ein bewegungsprofil abrufen.

wa echt beunruhigend zum glück hab ich nen palm das so daten nicht speichert

@25h.nox

Die selbe Problematik soll es auch auf Android Handys geben, also die Aufzeichnung der Standorte.

Schon toll, vor einigen Jahren hieß es in Zukunft weiß man vielleicht wo sich jede einzelne Person gerade aufhält. Wenn man sich solche Dinge anschaut scheinen wir diesem Zustand doch recht nahe zu sein.

@Lightstorm ja, aber da solls nicht ganz so schlimm sein.
ich hab so probleme zum glück nicht, gäbe es das bei palm dann wüsste man das schon lange, zu viele leute die im kot ähh code rumwühlen

25h.nox schrieb:ja, aber da solls nicht ganz so schlimm sein.

Ähhm, bei Apple waren die Daten lokal auf dem Gerät gespeichert und blieben da. Bei Android werden die Daten regelmäßig auf Server hochgeladen.
Und das WP7 die Daten abfängt ist jetzt auch bekannt geworden.
Ob Palm da wirklich anders ist, bleibt abzuwarten. Da ist die Community ja wesentlich kleiner. Beim iPhone hats ja auch Jahre gedauert bis das rausgefunden wurde (wenns seit iOS 1.0 drin ist)

Wer sich aber ein Iphone oder Android zulegt sollte damit rechnen das per Gesetz auf die geräte zugegriffen werden darf. Auf meinem Androiden läut 24/7 ein location spoofer.

@blackc0re
Das selbe gilt für Bada, Symbian und WP7

Es ist wirklich durch und durch krass das so was vorher gar nicht bemerkt wird. Gerade bei Android das doch zumindest teilweise Open Source ist und angeblich viele freie Entwickler mitwirken und bei Millionen von Nutzern.

Man bräuchte echt so eine Organisation die sich durch Spenden finanziert und deren Aufgabe nichts anderes ist als möglichst viele IT-Fachleute einzustellen und weit verbreitete Software auf Datenschutz Angelegenheiten überprüfen zu lassen und regelmäßig Berichte davon zu veröffentlichen.

Wäre ein sinnvoller sozialer Dienst für die Gesellschaft.

Lightstorm schrieb:Gerade bei Android das doch zumindest teilweise Open Source ist und angeblich viele freie Entwickler mitwirken und bei Millionen von Nutzern.

Bei Android war es von Anfang an bekannt und Google sagt selbst sie werden den Teufel tun diese Funktion zu entfernen, da sie ihnen "wichtige Daten" liefert.
http://www.golem.de/1105/83176.html

Apple steht immerhin dazu und hat diese Funktion mit iOS 4.3.3 rausgenommen.


Sony rutscht währenddessen vom einen Dilemma ins nächste.
Die nächsten (nur) 2500 Kundendaten waren wohl frei zugänglich im Netz.
http://www.golem.de/1105/83314.html

@Fennek

Kann mir durchaus vorstellen das ein Unternehmen wie Google mit so einer vielfältigen und umfangreichen Datenmenge auch mit staatlichen Behörden ins Geschäft kommen kann. Ich nehme an es gibt kein Gesetz das dies verhindern könnte.

Kann mir die NSA aber auch FBI (die z.B. vor einiger Zeit zugab ICQ Nachrichten mitzulesen vor dem Verkauf von ICQ an ein russisches Unternehmen, Grund war nicht Terrorismusbekämpfung oder Drogenbekämpfung sondern es hieß Verfolgung von Klein-kriminellen, bei MSN bzw. Windows Live Messenger wird es sicher nicht anders sein) vorstellen das die gegen Zahlungen ein privilegierten Zugang zu Googles Datenmengen haben.

Das ist bedenklicher als wenn die Daten zu irgendwelchen Marketingzwecken ausgewertet werden.


Das mit den 2500 Kundendaten... naja dafür kann Sony jetzt ja direkt nichts. Das sind eben die Folgen davon, das schockt mich nicht weiter.
Ich fände es nur gut wenn man die oder den Hacker schnappen könnte :D
Sony hacken geht mal gar nicht, sollen sie sich wo anders profilieren, hoch lebe die PS3 :)

blizzard hat auch schon daten weitergegeben an die polizei

Lightstorm schrieb:hoch lebe die PS3 :)

:fuya: Ob du das auch noch sagst, wenn PSN bald kostet? ;)
Aber der Flaming Thread ist ja wo anders ;)

Lightstorm schrieb:Kann mir durchaus vorstellen das ein Unternehmen wie Google mit so einer vielfältigen und umfangreichen Datenmenge auch mit staatlichen Behörden ins Geschäft kommen kann

So wie TomTom kürzlich?
http://www.golem.de/showhigh2.php?file=/1104/83087.html

@Fennek

Ja von der TomTom Sache hörte ich auch, tja man kommt so oder so an viele angeblich geschützte Daten, entweder sie werden direkt geklaut, für Marketingzwecke missbraucht oder eben vom Staat aufgekauft.
Sozusagen ein Stück Überwachungsstaat über ein unauffälligeren Umweg: Lass die IT-Unternehmen die Daten aufsammeln und wir kaufen sie später auf.


Naja die PS3 ist doch toll :D Und warum sollte neue Kosten zukommen, ich denke sogar Sony könnte als Entschädigung einiges demnächst kostengünstiger oder gar kostenlos bieten.

Man muss das etwas differenziert sehen.
Sony ist ein Riesenunternehmen und selbst nur die PS3 betrachtet muss man da mal unterscheiden. Die Führungselite von Sony will ganz bestimmt nicht mit Daten fahrlässig umgehen, denn solche Skandale gefährden die Umsätze.
Es ist nur so sie haben keine Ahnung von Technik. Ich nehme an es gibt einige führende Angestellte die für die Sicherheit zuständig sind und ich denke genau auf dieser Ebene wurden einige Fehler gemacht.

Dafür können die Technik Abteilungen nichts die wirklich qualitative Produkte liefern. Ich erinnere mich an unseren früheren Sony Fernsehen der 10 Jahre ohne Macken lief und mit der PS3 bin ich auch seit Jahren zufrieden.

Und eventuell kann nicht mal die Führungselite von Sony was dafür die sicher davon ausgingen das die unteren IT-Experten die Sicherheit im Griff haben.

Müssen halt eventuell mal einige Leute entlassen werden die nicht ordentliche Konzepte erarbeitet haben und vielleicht nur an ihr nächstes Monatsgehalt dachten.


Jetzt von "Sony ist schuld" zu reden ist pauschal verurteilt.

Lightstorm schrieb:Und warum sollte neue Kosten zukommen

Weil es Geld bringt ;) Es geht doch immer nur ums eine.
Und gemunkelt wird schon seit einiger Zeit, dass wohl ehemalige Sonymitarbeiter das rumflöten.

Und zur Sicherheit:
Es ist eine Sache, wenn man sein Netz (warum auch immer) schlecht sichert. Das kann passieren.
Aber eine ganz andere, wenn man mehrmals ausdrücklichst darüber informiert, hingewiesen und gewarnt wird und man trotzdem aus arroganz oder welchen Beweggründen auch immer nichts dagegen tut und nur zusieht.
http://www.ps3hax.net/2011/05/sony-used-outdated-security-knew-psn-was-at-risk-too-arrogant-to-care/ (Archiv-Version vom 09.05.2011)

Mal schauen wie sie sich nach dem nächsten Angriff rausreden wollen, wenn folgendes stimmen sollte:
http://www.computerbase.de/news/consumer-electronics/konsolen/sony/2011/mai/weitere-attacke-auf-sonys-psn-geplant/

@Fennek

Das gibt es aber oft das Sicherheitsfehler einem Unternehmen mitgeteilt werden, diese sich aber erst dafür interessieren wenn es aktiv ausgenutzt wird. Ist schon fast Normalität. Selbst Microsoft hat oft so verfahren. Das ist keine Arroganz sondern Kostenrechnung. Ein Unternehmen wiegt ab wann es sich lohnt Mitarbeiter zum schließen einer Lücke abgestellt werden, was andere Projekte verzögern kann und was eben dann einfach Zeit und damit Geld kostet. Ist ja nicht jede Lücke einfach und schnell zu schließen.

Ein anderer Grund mag sein das solche Hinweise oft gar nicht zu zuständigen Personen durchkommen. Wenn irgendein Supporter vor dem PC eine Mail liest wo was von Sicherheitslücke steht kann ich mir vorstellen das das einfach weg geklickt wird.


Wenn die Nachricht stimmen sollte ist das vielleicht ein Hinweis dafür das es sich um gute Hacker handelt die nur etwas demonstrieren wollen und kritisieren statt Daten zu missbrauchen und weiter zu verkaufen.

Es waren wohl doch Mitglieder von Anonymous.

http://www.ft.com/cms/s/2/d0a21040-7800-11e0-b90e-00144feabdc0.html#axzz1LUp3BgsI

Letzendlich alles ein Folge aus einem Kampf zwischen "Hackern" die gerne Linux auf ihrer Ps3 benutzt hätten, die Funktion aber per Update unterbunden wurde. Das hat sich ziemlich hochgeschaukelt.

@Tygo
Das Problem mit der Anonymous Sache ist, dass sie einst gesagt haben "Jeder der es sein will, ist Anonymous".
D.H. Jeder kann da einfach so mitmachen.
Der Sprecher von Anonymous sagt aber dass sie nichts mit Datenklau etc. zu tun haben wollen.
Also kann es sein, dass jemand meint er tue was Gutes für Anonymous, setzt nen tollen Spruch in ne Datei, merkt aber nicht, dass er gegen ihre Prinzipien handelt.