11:26
23/5/2011

2 kolejne potknięcia Sony

Kiedy wreszcie, po miesiącu od pierwszego włamania, doczekaliśmy się ponownego uruchomienia sieci PSN, Sony znów zostało zmuszone do wyłączenia na chwilę swoich usług — ktoś “odkrył” jak zmienić hasło dowolnemu graczowi na podstawie jego e-maila i daty urodzenia, czyli danych, które wyciekły w kwietniowym ataku. Jakby tego było mało, jeden z serwerów Sony hostuje phishingową stronę…

“4 atak na Sony” …ciężko nazwać atakiem

18 kwietnia miało miejsce włamanie do sieci Sony. Spowodowało ono miesięczną przerwę w dostępie do sieci PSN. Kilka dni temu, Sony ponownie otworzyło możliwość grania online (borykając się przez chwilę z DDoS-em na formularz resetu hasła). Niestety, paru dniach od restartu PSN, Sony znów musiało wyłączyć jej część — ktoś zauważył, że można zmienić hasło dowolnemu graczowi, o ile zna się jego e-mail oraz datę urodzenia, czyli dane, które wyciekły w kwietniowych atakach.

Formularz zmiany hasła

Formularz zmiany hasła - PSN

“Fale hacków, groźne exploity, i masowe ataki”, o których w kontekście powyższego wydarzenia pisały różne serwisy można włożyć między bajki — błąd wynikał z konstrukcji formularza do zmiany/przypomnienia hasła (możliwość pominięcia parametru?). W dodatku, raczej nikt (oprócz tych, którzy zaatakowali Sony w kwietniu) nie zna e-maili/dat urodzenia użytkowników — przypomnijmy, że atakujący nie opublikowali bazy na torrentach. Nie należy również zapominać, przy zmianie hasła (wykonanej przez nas, czy też przez atakującego) przyjdzie na nasz adres e-mail następująca wiadomość:

This email confirms that your PlayStation(R)Network password account has been changed successfully.
If you did not change your password…
This email has been sent to you because the password for the relevant PlayStation(R)Network account has been changed.
If you did not change your password, please contact Customer Support at the following address:
networksupport@uk.playstation.com
The PlayStation(R)Network Team

A więc jeśli ktoś nie dostał takiej wiadomości może spać spokojnie, ale mimo to zachęcamy do wybrania dedykowanego tylko PSN-owi adresu e-mail i hasła.

Wygląda na to, że powrót Sony do życia to droga przez mękę. Najpierw atak na PSN, potem odkrycie nieautoryzowanego dostępu do SOE, następnie wyciek archiwalnych danych klientów z FTP, a teraz nieprzemyślana konstrukcja formularza do resetu haseł… Jedno jest pewne, teraz każdy patrzy Sony na ręce — w piątek F-Secure poinformował o tym, że jeden (najprawdopodobniej mało istotny) serwer Sony został zaatakowany i serwuje phishing…

Przeczytaj także:

26 komentarzy

Dodaj komentarz
  1. Gracze i tak nie zareagują. Dla nich ważne jest by dostać jakąś darmową gierkę a nie przejmować się kto ma dostęp do ich e-maila, nazwiska czy numeru karty kredytowej.

    • Czy ja wiem czy taką znowu darmową…

  2. To juz polatane jest. Www byla wylaczona bardzo szybko, natomiast zmiana hasla widoczna na obrazku to zdjecie interfejsu PSN dostepnego na konsoli, tam mozna zmienic haslo TYLKO na konsoli na ktorej zalozono konto. Pokarm masz racje, nie zareagowalem – karte zastrzeglem, hasla pozmienialem, powiazane z mailem miejsca w sieci takze obejrzalem i conieco pozmienialem – reszty grzechow gracza nie pamietam, czekam na gry ;)

  3. Moje nazwisko jest w mailu, który i tak się poniewiera po internecie. Numer karty jest już nieprzydatny dla złodziei.
    Jakiej w ogóle reakcji oczekujesz?

  4. @RałałB
    Może zbyt mocno generalizuję to fakt.
    @Bartosz
    Czy ja wiem. Firmy które zupełnie niepotrzebne gromadzą nasze “delikatne” dane powinny być zabezpieczone na poziomie podobnym jak banki. Analogicznie jak w przypadku banków – naturalnym jest by nieudacznicy byli eliminowani z rynku bojkotem produktów. Co w tym przypadku raczej nie nastąpi – i to mnie mocno dziwi.

    • Dziś wpadło Sony. Jutro wpadnie MS, pojutrze Nintendo, a za tydzień Twoja firma…
      Teraz w Sony jest gorący okres. Niech się pozbierają, wyciągną wnioski i wtedy się zobaczy czy należy ich bojkotować czy nie.
      Pamiętaj: każdy może popełnić błąd. Pytanie jak się wtedy zachowa i czy wyciągnie z tego nauki.

    • @pokarm – Takie włamy zdarzają się bardzo często, nawet firmom odpowiedzialnym za bezpieczeństwo. I te firmy wciąż są na rynku. Sony i tak zachowało w moim mniemaniu twarz – przyznali się do błędu i dali rekompensaty(fakt, że wszystko to powoli im idzie), wiele firmy zamiata sprawę pod dywan.
      Dostali nauczkę, zobaczymy co będzie dalej. Po takiej serii włamów powinni mieć uber-zabezpieczenia.

    • @Sergi – W sumie Sony to japońska firma, więc to logiczne biorąc pod uwagę ich kulturę, że zachowali się tak jak się zachowali, czyli fair. Nie zapominajcie o podejściu Japończyków do honoru…

  5. @Bartosz pokarm myśli, że gracze to ciemny lud. Karta zastrzezona i pocięta, nowa karta odebrana, hasła pozmieniane. Teraz poproszę o gry ;-)

  6. @pokarm jak zamierzasz bojkotować produkty? Zaczniesz korzystać z xBox’a? Gdyby była alternatywa, to może miałoby to sens.

  7. Hmm… Wszelkie platnosci za pomoca prepaida, konto e-mail lewe stricte dla psn, dane osobowe lewe podane…
    Darmowe giery nie urzekaja… jedynie Little Big Planet jest ciekawa ale ta jzu mam od roku prawie :> Wolalbym doladowanie psn store $50. Druga polwoa by sie ucieszyla z 20 nowych piosenek do ss :D

  8. I kolejny malutki pech w SONY. Grecka wersja strony podatna na SQL Injection:

    http://nakedsecurity.sophos.com/2011/05/22/sony-bmg-greece-the-latest-hacked-sony-site/

  9. Borys, za strony lokalne odpowiada Sony Grecja, tak samo u nas SCEP – jak wam sie chce, przeprowadzcie audyt, za reklame i usmiech do kamery :)

  10. drodzy panstwo chyba zapominaja, ze wpadki sony to juz recydywa. rootkity na CD, walka z wrogrami Sony, ktorzy rozblokowali wlasne urzadzania, teraz kilkukrotna utrata danych.

  11. Pojechaliście po mnie bo uważam, że firma nie powinna zbierać danych o które nie potrafi należycie zadbać. Cóż w tym poglądzie takiego odosobnionego?

    Ale głównie chodzi mi opinie, które wyrażacie broniąc wręcz SONY. Kiedy ta firm wypuszcza karty pamięci niekompatybilne z resztą i przez wiele lat robi swoisty monopol jestem w stanie to przełknąć i publicznie nie komentować – taka polityka giganta – cóż mam wybór. Ale dlaczego w mniemaniu ogółu duża korporacja ma jakiekolwiek prawo “zgubić” dane kilkudziesięciu milionów klientów. Co więcej klientów, którzy tak ślepo ją kochają, że są w stanie wybaczyć i jeszcze bronić ich dobrego imienia!

    Wg mnie każdy pokrzywdzony powinien ich podać do sądu – mieliby kilkadziesiąt milionów pozwów i może ich konkurencja najęła by specjalistów do spraw bezpieczeństwa z wyższej półki – a nie konsultantów niewiadomego pochodzenia ;/

    Ale nie. Co słyszę – gromkim głosem ganią mnie za to, że przecież nie ma alternatywy… i nie ma co dolewać oliwy do ognia, bo przecież to nie jest wina Sony, że marnie zabezpieczyła swoje serwery. Albo nie zatrudniła specjalistów za 100-200 tys dolarów za rok tylko takich za 40-50 tys $.

    Pewnie – płaćmy im więcej, kupujmy dalej, udawajmy, że nic się nie stało – może następnym razem akurat ktoś zaatakuje konkurencję i wyjdą z tego obronną ręką. Wtedy pewnie powiecie – aha – konkurencja też jest do d**** więc Sony jest OK i mieliśmy rację mówiąc że wszystkim zdarzają się potknięcia!

    Przecież to skrajna hipokryzja! Ale co tam! Skoro nie ma alternatywy to kupujmy produkty Sony i brońmy jednym zwartym chórem jej wizerunku w końcu zostaliśmy wy***** na własne życzenie i teraz nie chcemy się do tego przyznać – czy tak?

    • Nie rozumiem, czemu robisz z użytkowników PS3 takich nieświadomych niczego baranów. Znam kilkudziesięciu posiadaczy PlayStation i żaden nie traktuje tej sytuacji tak, jak Ty to tutaj rysujesz.
      Zacznijmy od tego, że zostali zaatakowani, a nie “zgubili” te dane. Po drugie nie ma dowodów na to, że dane ktoś przechwycił, jest tylko takie podejrzenie.
      Poza tym przeczysz sam sobie:
      “…karty pamięci niekompatybilne z resztą…”
      “…robi swoisty monopol…”
      To jak – można używać tylko ich kart, czy ich karty są niekompatybilne?

      Konsole nie są produktem pierwszej potrzeby, żeby zaniechania jego producenta wymagały napiętnowania i zniszczenia firmy, można ich zwyczajnie nie kupować (i na pewno wiele osób tak zrobi).
      Oprócz tego Sony działa na wolnym rynku, który sam się reguluje – słabi gracze odpadają, a oni nadal się trzymają, mimo nagłośnienia (i niejednokrotnie przejaskrawienia zagrożenia). Ale taki już urok korporacji, że budzą nienawiść.
      Nie mówię że są bez winy, ale czarno-białe traktowanie sytuacji rzadko bywa obiektywne.

    • Nie chcę robić z nikogo barana! Miałem jedynie na myśli bezgraniczne uwielbienie produktów, których rzekoma jakość przyćmiewa wiadomości o skrajnej niekompetencji tego czy innego koncertu. I jako, że nie do końca zgadzam się z tezą że jestem niespójny w swoich poglądach przejdę na temat zero – jedynkowy z którym polemizować będzie ciężko (przynajmniej tak mniemam).

      Otóż kilka komentarzy wyżej Borys Łącki napisał, że na powiązane z Sony serwery miały miejsce ataki typu SQL Injection. Nie muszę chyba specjalnie udowadniać, że podobne ataki to wynik niekompetencji programistów (ewentualnie ich mocodawców) a więc tzw “bad coding”. Można więc było im zapobiec nie stosując wyrafinowanych technik ochrony serwera a tylko unikając złych praktyk. A jednak pomimo “starań Sony” doszło do takiej sytuacji.

      Czy świadczy to o tym, że firma starała się być na najwyższym poziomie nie żałując każdego dolara na testy czy audyt kodu.
      NIE! To znaczy, że firma dusiła każdego centa, żeby tylko taniej i szybciej postawić działającą tą czy inną usługę.

      Czy więc takie zachowania mam chyba prawo oceniać jako negatywne. Wg mnie jak najbardziej.

      Większe wycieki z Sony i innych korporacji są tylko pochodną tej “taniej” filozofii która w w przekładzie na nasz rodzimy język mogła by brzmieć “jakoś to będzie”.

  12. @pokarm: Masz kompletna racje!

    tu pokazuje sie kult i uwielbienie kompulsywnej komsumpcji i religia w elektroniczne bozki!
    to jest zabawka dla tego samego plebsu ktory musi gromadzic sie w kosciolaskach bo musi czuc zludne bezpieczenstwo smierdzacego stada!

    PS. po co ja tu wogole pisze?
    a tak, jest 1 rozumny.

  13. Tlumaczenia fanow Sony sa absolutnie humorystyczne, jak za komuny: to nie wina Partii, to wina trudnosci obiektywnych, a w ogole to wcale nie padalo. Oni sa modla do tego kawalka plastiku czy jak?

    • Nie fanów, a fanatyków.

  14. Telewizory rażące prądem:
    http://wiadomosci.onet.pl/internet/16-tys-wadliwych-telewizorow-lcd-sony,1,3409361,wiadomosc.html

    Wybuchające baterie:
    http://www.benchmark.pl/aktualnosci/Wybuchajace_baterie_Sony_po_raz_kolejny-14464.html

    Czyli wpadek i to istotnych, bo jakościowych było sporo. Sony może i miało jakość godną pozazdroszczenia, ale to raczej w XX wieku.

  15. Tinfoil hats to the rescue! ;)

  16. Hacking donosi, że należąca do Sony spółka So-Net Entertainment też padła ofiarą ataku. Sony dzielnie się trzyma…

  17. http://www.engadget.com/2011/05/25/sony-ericssons-canadian-online-store-hacked-more-than-2-000-cu/ Teraz w Kanadzie zostali zhackowani…

  18. Ściągnęli ich do parteru i kopią po nerkach… Ciekawe czy Japończycy się odwiną i jak? :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: