image

Privégegevens 70 miljoen PlayStation-gebruikers gestolen

woensdag 27 april 2011, 10:09 door Redactie, 12 reacties

Aanvallers hebben de privégegevens van miljoenen Playstation Netwerk-gebruikers gestolen, waaronder wachtwoorden en creditcardgegevens. Vorige week woensdag haalde Sony het netwerk vanwege een "aanval" uit de lucht. Verdere details ontbraken echter. Nu laat het bedrijf weten dat het om namen, adresgegevens, land, e-mailadres, geboortedatum, PlayStation Network/Qriocity inloggegevens, PSN online ID en ook creditcardgegevens.

Inmiddels is er een bericht naar klanten gestuurd, waarin Sony meldt dat tussen 17 en 19 april bepaalde accountgegevens zijn gestolen. Klanten moeten met name op hun hoede zijn voor e-mails, telefoongesprekken of brieven die om persoonlijke of gevoelige informatie vragen.

Wat betreft de tijd tussen het vaststellen van de aanval en de diefstal van accountgegevens, zegt Sony dat het forensisch onderzoek enkele dagen duurde. Pas maandagavond werd de volledige omvang van de aanval duidelijk. Vervolgens besloot Sony de klanten te waarschuwen.

Update 10:50
Een moderator op PSX-Scene laat weten dat de aanvallers mogelijk een aangepaste firmware hebben gebruikt om toegang tot het ontwikkelaarsnetwerk te krijgen. Vandaar werden vervolgens de gegevens buitgemaakt.

Reacties (12)
27-04-2011, 10:22 door Syzygy
De exacte manier waarop het gebeurd is zal waarschijnlijk wel niet openbaar gemaakt worden, waardoor niemand er iets van kan leren qua beveiliging.
27-04-2011, 10:27 door Anoniem
schande datt die hackers dit doen, hoe kan je je wapenen tegen aanvalen zoals deze, en in het algemeen? ik heb ook een ps3 heb ook een creditcart, ik heb hem daarom laten blokeren, en een nieuwe aangevraagt met een nieuwe pincode
27-04-2011, 10:28 door DarkieDuck
Vrees dat het een gevalletje SQLi is.
http://www.vs-db.info/?s=sony
27-04-2011, 10:38 door Anoniem
Het gerucht dat iemand met een gemodde rom toegang gekregen heeft tot het trusted dev netwerk, en van daaruit bij deze gegevens is gekomen lijkt mij waarschijnlijker. Dat je toegang kon krijgen tot het trusted dev netwerk was vanaf begin april bekend volgens de geruchten die ik heb gelezen.
27-04-2011, 10:53 door savetyfirst
wat denken die hackers wel? ze horen van andermans spullen af te blijven, ik heb ook een ps3, had er ook een creditcart op, maar die heb ik nu geblokeert, en een nieuwe aangevraagt met nieuwe pincode, daarom ben ik nu ook lit geworden van deze site om meer over beveiliging te weten te komen, ik wist er al veel van, maar lit worden van een veiligheids site kan nooit kwaat
27-04-2011, 11:21 door Anoniem
sony geeft aan dat login en password zijn gestolen. Wachtwoorden in plain text ?!!!!
27-04-2011, 11:31 door Anoniem
zijn inmiddels nodige chatlogs verschenen waaruit blijkt dat sony niet zo netjes met onze gegevens om ging.

de hack is mogelijk gemaakt via custom-firmware.
deze maakte het mogelijk om als devver aan te melden op het PSN netwerk.
Als ontwikkelaar is er een soort afgeschermde omgeving. Vanuit daar bleek het mogelijk om zelf tegoed aan je account toe te voegen. via dat gratis-psn-tegoed werd vervolgens de store leeg gekocht (dat trok de aandacht van sony)

Echter was men de dag daarvoor al actief op het netwerk van sony. die periode zouden de gegevens bemachtigd zijn. sony was zo handig geweweest om onze data un-encrypted op te slaan. inmiddels heb ik al van meerdere vernomen dat er tegoed van CC is afgehaald bij transacties die niet zelf uitgevoerd zijn.
27-04-2011, 11:35 door Anoniem
zie ook:
http://www.psx-sense.nl/46022/chatlog-hackers-credit-card-gegevens-niet-voldoende-encrypted/
http://www.psx-sense.nl/46008/playstation-network-log-van-de-hacker-leaked/
http://www.psfocus.nl/2_22542_Mogelijke_log_van_verantwoordelijke_hacker_gelekt.aspx
27-04-2011, 11:37 door Above
Hoe kun je nu zo makkelijk wachtwoorden stelen als ze encrypted behoren te zijn?
Zou zowat gaan denken dat Playstation Network ze in plain text opslaat.
Iets ontgaat mij.

Als het inderdaad plain text is dan is dat een grote FAAL.
27-04-2011, 11:42 door Above
Ok, echt een grote faal dus. Lees net dat de wachtwoorden in plain text(of zwakke encryptie) in de DB stonden/staan en de PS3's een SSL sessie met de DB hadden. Maar als je rechtstreeks op die DB uitkomt of gaat sniffen heb je ze allemaal.
Kun je nagaan hoe lang deze lek er al was en nu pas bekend wordt gemaakt.

The data stolen includes:

Your name
Your address (city, state, and zip)
Country
E-mail address
Birthday
PSN password and login name
Password security answers

So if your PSN account shares a password with any other account, now is probably the time to change that password.
While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained.
27-04-2011, 11:52 door DarkieDuck
Handig die censor op die logs , voorals als je 1x op google zoekt
http://173.255.232.215/logs/efnet/ps3dev/2011-02-16
27-04-2011, 11:52 door Anoniem
http://faq.en.playstation.com/cgi-bin/scee_gb.cfg/php/enduser/std_adp.php?locale=en_GB&p_faqid=5593
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.