15:53
29/4/2011

Po sieci krążą informacje, jakoby próbka 2.2 miliona numerów kart kredytowych należących do użytkowników Sony PlayStation Network została wystawiona na sprzedaż. Wraz z numerami kart kredytowych przestępcy sprzedają także dane posiadacza karty i kody CVV2. Cena wywoławcza: 100 tysięcy dolarów.

Cardreskie forum

Dyskusja na forum carderów

77 milionów użytkowników użytkowników PSN

Na razie brak dowodów, że oferowane numery kart kredytowych są prawdziwe — niewykluczone, że na echach ataku zarobić chcą przestępcy-oszuści, którzy wystawiając fałszywą bazę szukają jelenia, który za nią zapłaci 100 000 dolarów. Przypomnijmy, że zgodnie z oficjalnym oświadczeniem Sony, firma nie ustaliła, czy atakujący uzyskali dostęp do numerów kart kredytowych (ale też nie wykluczyła takiego scenariusza). Dodatkowo, w wywiadzie dla TVP dyrektor marketingu Sony oświadczył, że przechowywane przez Sony dane kart były trzymane w — tu cytat — “osobnym miejscu, silnie zaszyfrowane”:

Jeśli wierzyć doniesienim anonimowych internautów, oferowany na sprzedaż na carderskich forach fragment bazy Sony zawiera ponoć dodatkowo dane 150 000 Niemców, a dump bazy jest w formacie:

name, lnam, address, zip, country, phone, email, password, dob, ccnum, CVV2, exp date

Przypomnijmy, że niektórzy gracze PS3 już kilka dni temu informowali o podejrzanych transakcjach na swoich kartach (wykorzystywanych tylko do płatności na PSN). W jednym przypadku karta została obciążona kwotą 600 dolarów za niemiecki bilet lotniczy.

Wszystkim Polakom, którzy podali numer karty kredytowej na swoim koncie PSN zalecamy monitorowanie historii transakcji na swojej karcie kredytowej. Jeśli zauważycie coś podejrzanego, natychmiast skontaktujcie się ze swoim bankiem. Jeśli korzystaliście w innym miejscu z tego samego hasła co na koncie PSN, zmieńcie je jak najszybciej.

P.S. Przestępcy ponoć złożyli ofertę odsprzedaży wykradzionej bazy firmie Sony, ale jak informuje psx-scene, Sony odmówiło… ;)

Przeczytaj także:

50 komentarzy

Dodaj komentarz
  1. […] 29.04.2011 Pojawiają się doniesienia o sprzedaży fragmentów wykradzionej bazy (z numerami kart kredytowych użytkowników PSN) na “podziemnych” […]

  2. Ekhm… A nie ma czasem zakazu trzymania takich danych jak numer karty i ccv przez firmy PO dokonaniu transakcji ? Gdzieś widziałem taką informację, jak ją znajdę to podrzucę lub sam zweryfikuję.

    • Jest, CVV mogą być trzymane tylko na czas transakcji, żeby sprawdzić z bankiem czy się zgadza. Nie sądzę żeby Sony popełniło aż takiego faila, więc ta oferta to przynajmniej częściowo ściema.

    • A same numery kart + adresy i dane osobowe są zupełnie nieużyteczne ? ;)

    • Sergo: Pamiętaj, że mówimy tutaj o firmie, która zabezpieczając swoją konsolę jako funkcji losowej użyli odpowiednik:
      int getRandomNumber() {
      return 4;
      }

    • Serwisy takie jak Amazon, eBay czy PayPal trzymają wszystkie dane kart, o ile masz tam konto. Przykład: amazon, i One-click order.

    • To że da się załatwić transakcje jednym kliknięciem to jeszcze nie znaczy, że CVV jest w bazie – istnieje możliwość autoryzowania transakcji bez niego(za to jest inaczej zabezpieczona).

      Natomiast pod żadnym pozorem nie wolno zapisywać tego kodu do bazy – dla zainteresowanych słowo klucz PCI DSS.

  3. O Matko! Niebezpiecznik staje się plotkarskim portalem!!!!

    Nie ma ŻADNYCH dowodów na to, że ktoś sprzedaje numery kart skradzionych z PSN!!! Tym bardziej nie ma dowodów, że ktoś je wykorzystał – ja też mogę powiedzieć, że mam podejrzane transakcje na karcie – może będę sławny :D :D :D Uwierzycie?

    • Nie umiesz czytać, czy nie widzisz słów rzekomo i jeśli wierzyć i niepotwierdzone? Dobrze ze niebezpiecznik o tym napisał bo jako jedyny serwis zaznaczył ze to może być ściema ze ktoś chce łatwej kasy za sprzedaż nieprawdziwych danych. Ha swoją kartę anulowalem na wszelki wypadek, bank mnie za nowa nie skasowal.

  4. Mam pytanie. Dajmy na to, że faktycznie krąży po sieci (czyli została pobrana) baza zawierająca dane 2,2 mln użytkowników.
    “a dump bazy jest w formacie:” -> Zakładając, że dane każdego użytkownika zabierają jakieś (dla przykładu) 90 bajtów -> baza winna ważyć jakieś 198MB + 2MB na jakieś internalsy. Czyli 200MB. Dajmy na to że atakujący włamał się i zaczął dumpować, czy naprawdę trudno było zauważyć – administratorzy sieci – że przez (dajmy na to) godzinę – przez sieć płyną sobie dane w plaintext’cie o dziwnie zwartej strukturze i jakoś tak dziwnie “printable” danych wygladajacych na dane uzytkownikow?
    Ciezko mi uwierzyc ze administracja sieci tak wielkiej korporacji jak Sony nie monitoruje przepływu swoich danych.
    Może to ciut naciągane, ale akurat w dobie pogróżek Anonymous Sony winno jakoś nasilić czujność, nie uważacie?

    • 200mb w godzine? Trochę za dużo :)

    • Przy 200MB danych i łączu 10Mbps (uwazam, ze jednak maja wiekszy up) trwaloby to niecale 3 minuty.

    • Przy łączach, jakie mają serwety Sony te 200 MB to zapewne góra kilkanaście sekund transferu.
      Do licha, dopiero co gdzieś (gdzie? jak zwykle szczegółów nie pamiętam) czytałem o włamaniu na znacznie ważniejsze serwery, gdzie po fakcie tłumaczono, że wykradziono ZALEDWIE około 1 GB danych.

      A może to dobre rozwiązanie: ważne serwery stawiać na bardzo wolnych łączach, rzędu 40 kbit, to wykradzenie czegokolwiek będzie tak czasochłonne, że będzie pozbawione sensu? };>

    • po 1 – można było dumpować długo i skutecznie :)
      po 2 – tak jak pisze Jurgi przepustowość sieci PSN jest bardzo duża
      po 3 – kompresja plaintekstu nawet 200MB jest bardzo skuteczna (okolice 3-4MB)
      po 4 – nie wiadomo jak był przeprowadzony atak (może wynieśli cały serwer :P )

    • mojemu znajomemu robiono dosa 500Mbps. Jego dc nawet tego nie zauważyło. A ty mówisz o 200MB danych. Na PSN jest dużo większy ruch – w końcu sklep z grami na ps3. Ja u siebie w pracy nie zauważam tak małego ruchu. Instalka libreoffice ma więcej. Następnym razem przemyśl to co chcesz napisać.

  5. To info o ofercie sprzedazy to sciema, juz wczoraj zdementowana i okreslona jako fake.

  6. Trzymac CVV2 w bazie, tuz obok nr karty. NIEZLE :)

  7. @MGeeky takie rzeczy tylko w erze – gdyby nawet cos takiego istnialo i firma miala zapiety taki soft i hardware (ASIC) do otwierania kazdego pakietu (7 warstwa) oraz korelacji, ze jest to dane w plaintext’cie o dziwnie zwartej strukturze i jakoś tak dziwnie “printable” danych wygladajacych na dane uzytkownikow to przez 97% czasu słałaby same false-positivy, na ktore wszyscy przestaliby reagowac. Poza tym po co inwestowac w taka technologie, skoro admin zlosliwie moglby wyniesc to z LANu na penie?

    • No ale admini chyba musieli zauważyć, że coś im lampki z serwerów z etykietką “Data Base” zbyt często mrugają.. Jakiegoś IDS/IPSa chyba musieli mieć postawionego na newralgicznych węzłach.. Kurcze no nie mogę się z tym pogodzić, że tak łatwo takiej firmie dane płyną.

  8. Sony nie odmówiło, ale nie odpowiedziało na emaila z ofertą ;)

    A podobno sumka jaką żądali sobie crackerzy była niezła.

    Po twoim wpisie zastanawiam się czy nie dzwonić do banku i nie zastrzegać karty. Na razie na wszelki wypadek zablokowałem wszystkie środki na koncie, że nie wypłaci się z niego więcej niż te 10 zł co jest do dyspozycji. Lokata 1 dniowa się sprawdza idealnie, bo blokuje mi pieniądze tylko na noc (mogę założyć o 18 i zerwać o 7 rano, a odsetki dostanę). Mam kartę debetową, a na koncie nie mogę robić ujemnego salda, co mnie chroni przed oszustwem.

    • Nie lepiej założyć sobie przedpłaconą wirtu@lną kartę kredytową (tak to się nazywa w ING)?

      Ja na swojej mam teraz 2zł jak trafię na nierzetelny sklep (jakiś pracownik sobie użyje mojej karty, wypłyną dane jak teraz przy sony) to stracę tylko dostępne saldo. Jak robię zakupy przez neta to zasilam ją sumą jakiej potrzebuję i podaję dane karty.

      CVV2 wysłali do mnie sms’em przy aktywacji (informują że tylko raz i nie da się go odzyskać więc zabezpieczyłem go sobie dobrze), cała reszta jest czysto wirtualna nie dostaje się nawet naklejki, a szkoda bo już raz zgubiłem numer karty i datę ważności :) (odzyskanie tych danych jest możliwe).

    • dzikus – to już wolę taką kartę w mbanku – masz w portfelu przezroczystą kartę z numerami, cvv dostępne na żądanie na stronie banku po podaniu hasła sms. A działa dokładnie tak jak mówisz. u Ciebie przeraża mnie to odzyskiwanie zapomnianych numerów.

  9. rozmiar bazy 77M userow to raczej w okolicach 10GB, nie sadze ze dane byly przesylane na zewnatrz w plaintext bo to znaczyloby ze nie maja tam zadnego sensownego idsa, do ataku na sony nikt raczej nie laczyl sie z gprsa tylko z czegos co 100 Mb/s i przeslanie bazy zajelo minuty

  10. Adresy i dane osobowe można wykorzystać w celach marketingowych

    • Co za przenikliwość spojrzenia! Jakie produkty zamarketujesz? Wiagrę z płatnościami Western Union na Wanuatu? Bo do czegoś innego, to szybko FBI by się dorwało po unikatowych adresach email. Dane osobowe są bezwartościowe, chyba że ktoś ma jakiś sprytny plan albo coś musi skorelować.

  11. Heh widać SONY teraz może mieć lekkie problemy z zaufaniem klientów.

  12. Ja nie wiem gdzie wy wyczytaliście, że wykradziono bazę danych WSZYSTKICH użytkowników. Sony ma 77mln userów – więc każdy jest zagrożony. Włamywacze mieli dostęp do wszystkich danych, pytanie tylko ile faktycznie udało im się wyciągnąć.

    @Rafal
    “O Matko! Niebezpiecznik staje się plotkarskim portalem!!!!” – a daj mi przykład nie potwierdzonej informacji, którą Niebezpiecznik przedstawił jako fakt…

    • http://n4g.com/news/753765/psns-2-2-million-credit-cards-up-for-sale-sony-declined-rebuying

      Jesli w takim wypadku by klamali, to latwo to udowodnic “probka” i pewnie sie owa w takim wypadku pojawi to raz, dwa klamstwo to totalny spadek ceny akcji, strzal w glowe

      Ogolnie warto czytac w tej sprawie n4g bo to niezly agregator.

    • @RafalB
      z tego co pod twoim linkiem przeczytalem to sony zaprzeczylo ale tylko temu ze ktos im proponowal te baze a nie temu ze jest ona sprzedawana na forach dla karderów

  13. @Torwald
    -– a daj mi przykład nie potwierdzonej informacji, którą Niebezpiecznik przedstawił jako fakt…-https://niebezpiecznik.pl/post/dziura-we-wszystkich-windowsach-mhtml/ – konkretnie chodzi o Opere ;)

  14. No a Sony znowu próbowało uspokoić użytkowników co według mnie chyba po takiej odpowiedzi jak tam była sie udało

  15. A ja od lat stosuję sprawdzony sposób: kredytówką w sieci płacę tylko w miejscach, które uważam za zaufane lub wiem, że mnie nie naciągną (=mamy twój numer więc w razie problemów wiemy jak egzekwować należności). A wszędzie gdzie się tylko to da wybieram przelewy.
    Tak, wiem, że płatności w np. USA wyglądają inaczej, niemniej jak za byle gierkę każe się płacić kartą… kto mieczem wojuje ten od miecza ginie :-)

    • Chciałeś tym komentarzem pokazać, że nie zaufałbyś SONY? Jeżeli tak, komu jesteś w stanie zaufać?
      NIGDY nie ma 100% pewności, że nie dojdzie do udanego ataku.

    • I tu cię mam! Otóż tylko karta daje ci prawo do zwrotu kasy (chargeback) w razie problemów z transakcją. I tu chodzi nie tylko o wyłudzenia (ktoś się nielegalnie posłuży twoją kartą) ale prawo do chargebacku masz również wtedy, kiedy ty zapłacisz a nie otrzymasz zamówionego towaru/usługi! Tego nie da ci przelew – jest to tzw. bezwarunkowa forma płatności. Ponadto weź pod uwagę koszty. Czy wiesz jaka jest prowizja za wysłanie, powiedzmy 50$, przelewem (SWIFT) do USA??? Nie zdziw się jak przekroczy ona samą kwotę przekazu!

    • @Dream: SONY bym jakoś nie zaufał :-) Po prostu nie widzę siebie płacącego kartą ja jakieś gierki w PSN. Oczywiście gwarancji wpadki nigdy nie ma – i dlatego napisałem, że płacę w zaufanych dla mnie miejscach. Czyli np. rachunki w firmie, z którą od 3 lat nie miałem problemów, lub przy jednorazowych zakupach.

      @Marcin Maziarz: a jak to wygląda w praktyce? Załóżmy że nie czytuję Niebezpiecznika, konto karty sprawdzam sporadycznie, i nagle okazuje się że trzy tygodnie temu ktoś zrobił zakup kartą podając właściwy numer, termin ważności i CVV?

  16. Mości Panowie, spokojnie. Niedługo sprawa powinna nabrać rozpędu, Sony musi w tej sytuacji przedstawić własne, konkretne zdanie na ten temat bo inaczej ludzie im żyć nie dadzą. Za parę dni wyjdzie, zapewne, na jaw, czy to, co krąży, to prawdziwa baza. Na 99% znajdzie się ktoś, kto się skusi na próbkę kart :)
    Podsumowując, przyszłość rysuje się bardzo ciekawie (ciekawe kiedy pojawią się pierwsze teorie spiskowe, że za tym wszystkim stoi M$ ;) )

  17. Odpowiedz sony na oferte sprzedania im danych?
    “Dziekujemy, juz mamy” ;)

  18. Czy to “osobne miejsce, silnie zaszyfrowane” nie ma czasem czegoś wspólnego z “głębokim ukryciem”? :)

  19. Rozwalił mnie meil który dostałem od sony,nie wiem czy to fake czy nie ale kilka żeczy nie daje mi spokoju:
    -brak polskich znaków
    -link pl.playstation.com/psnoutage kieruje na eu.playstationmail.com/…
    -to samo oświadczenie znajdujące się na stronie eu.playstation.com ma inne adresy odnośników w nim zawartych
    -link do logowania w meilu ostrzegającym o tym że ktoś się do nich włamał:
    Jeśli masz konto na PlayStation®Network możesz(blablabla)…zaloguj się tutaj (i oczywiście link do eu.playstationmail.com/Key… dla czego nie do eu.playstation.com)
    Co o tym myślicie,dostaliście to samo?

  20. Nie ma to jak pytać marketingowca z SONY o kwestie bezpieczeństwa, dla niego zawsze wszystko będzie cacy, a jak jest na prawdę pokazuje skuteczność dokonanego ataku.

    • Zadna firma nie wrzuci Admina przed kamere…

      Poza PWRem ktory wrzucil kiedys Giwere w podartym podkoszulku w kapciach :D

  21. A nikt nie wpadł na to dlaczego zamkneli tak szybko PSN? Może ktoś spartał API i za pomocą API wyciągneli dane? Coś w stylu getUserData(id) ;]
    Były też doniesienia, ze można pobrać gry z PSN za darmo po zmianie danych wysyłanych do Sony więc taka kradzież za pomocą API też jest możliwa ;]

  22. Sony twierdziło, że nie przechowywało CVV2. Ciekawe.

  23. Sądząc po komentarzach, jest wiele wątpliwości odnośnie kodu CVV2/CVC2. Pozwolę sobie zatem przedstawić prawdy i mity o tym zabezpieczeniu i pewne kwestie wyjaśnić.

    MIT: “bez kodu CVV2/CVC2 u nikogo nie zapłacisz”. Visa i Master wprowadziły ten kod jako zabezpieczenie dodatkowe. To sklep i acquirer (centrum płatnicze) decydyją czy wdrożyć CV*2 czy nie. Zasada działania jest taka: jeśli do banku trafi żądanie autoryzacji z podanym kodem to musi on być poprawny bo inaczej będzie odmowa. Jeśli kodu nie ma to bank decyduje o autoryzacji/odmowie wyłącznie w oparciu o pozostałe znane mu dane typu nr karty, data ważności, stan konta, status karty, itp. Potem bank zapisuje w swoim systemie czy do danej płatności był użyty CV*2 czy nie. Rozwój e-commerce spowodował, że teraz bardzo trudno jest znaleźć sklep internetowy, który nie wymaga CV*2, przynajmniej dla pierwszej płatności (o czym dalej). Jednak nie zmienia to faktu, że nadal ISTNIEJĄ sklepy, które o kod nie pytają i właśnie tam oszust móże zrobić zakupy na nasz koszt! Przypominam, że kartą kredytową można też płacić przez telefon lub korespondencyjne (np, zamawianie prenumeraty), tam łatwiej o brak CV*2. Tak więc jeśli nr karty i data ważności zostały skompromitowane to jest to wystarczający powód aby kartę NATYCHMIAST ZASTRZEC!

    PRAWDA: “kodu CV*2 nie wolno składować”. Visa i Master wyraźnie zakazują sklepom przechowywania kodu CV*2 na jakimkolwiek nośniku. Kod ten może być pobrany od klienta (posiadacza karty) wyłączenie w celu jednorazowego i natychmiastowego przesłania żądania autoryzacji do banku. Zwracam uwagę, że to czy inne dane (np. hasła klientów) są przechowywane plaintext-em czy SHA-512 to jest to wyłącznie widzimisię administratora. Natomiast kodem CV*2 rządzą odgórne przepisy międzynarodowych organizacji.

    MIT: “kod CV*2 potrzebny jest za każdym razem”. Wiele firm pobiera cykliczne opłaty za różnego rodzaju abonamenty. Nazywa się to “stałe obciążenie karty kredytowej” lub (mniej poprawnie) “polecenie zapłaty z karty kredytowej”. Automatyczne wysyłanie autoryzacji z kodem CV*2 np. co miesiąc nie wchodzi w grę bo trzeba byłoby ten kod gdzieś przechować, czego nie wolno. Ale czy jest to za każdym razem potrzebne? Otóż nie! CV*2 służy do weryfikacji czy osoba, która podała nr karty jest jej posiadaczem. Jeżeli udała się pierwsza płatność (z kodem CV*2), to oznacza, że klient został zweryfikowany! Po co w takim razie przeprowadzać ponowną weryfikację kodu, np. za miesiąc? Jeśli do profilu klienta jest cały czas przypisany ten sam numer karty to na pewno klient w dalszym ciągu jest jej posiadaczem! Ewentualna cesja konta bankowego wymaga wydania nowej karty z nowym numerem!

    MIT: “PayPal składuje CV*2”. Na 99,99% jest to nieprawda. Jak napisałem, kodu CV*2 przechowywać nie wolno oraz że nie za każdym razem jest potrzebny. Jak zatem może wyglądać sytuacja u PayPala? Dość sprytnie. Niektórzy być może zauważyli, że w momencie dodawania karty do profilu, PayPal autoryzuje niewielką kwotę (rzędu 1 zł). Ktoś nie wierzy? To niech spróbuje dodać ważną kartę ale z zerowym/ujemnym stanem konta! PayPal tej autoryzacji nie rozlicza więc klient nigdy jej nie zobaczy na wyciągu (kwota po pewnym czasie jest uwalniana). Właśnie ta autoryzacja wykorzystuje kod CV*2. Druga transakcja weryfikacyjna (ta na 6zł/1,5€ z numerem w tytule) oraz wszystkie płatności do sprzedawców są juz realizowane bez CV*2, w oparciu o dane zapisane w bazie.

  24. “Silne szyfrowanie” FTW! Trzymajcie to na plebiscyt na koniec roku! :D

  25. Kilka ciekawych informacji:
    http://seclists.org/fulldisclosure/2011/Apr/544

  26. 1. sprzedam te baze za 1pln :) i mleczne lody z shoelera takie na patyku (mniam)
    2. kod nie jest skladowany nigdzie
    3. kolego od odzyskiwania tranzakcji, przelew mozna wycofac, sluzy do tego tak zwana reklamacja przelewu, mozna poinformowac bank o tytm iz juz nie jestes happy z tej platnosci i magicznie po chwili (roznej dlugosci) kasa wraca. zapytaj w mbanku na przyklad, nawet jesli pieniadze szly do innego banku a odbiorca je wyplacil, maja od tego jakis fundusz gwarancyjny. odpowiadam z gory tak ja tak zrobilem i nie jet to tylko teoria.
    4. jaki idiota/ka uzyje glownej karty kredytowej do zakupow w necie ?
    5. pewnie ktos zezlomowal serwer bez clean wipe :)

    AVE

    • Według moich informacji, naprościej o zwrot polecenia zapłaty. Właściwie nie jest to żadna reklamacja ale zwykłe żądanie, trzeba tylko zrobić to w terminie 30 dni (firmy 5 dni). W PEKAO jest nawet stosowna opcja, wystarczy kliknąć, nie trzeba nigdzie chodzić ani się prosić. W przypadku kart jest troche trudniej bo już trzeba złożyć reklamację. Trzeba udokumentować, że była próba kontaktu ze sprzedawcą i nie przyniosła ona rezultatu. Dotyczy to też upadłości sprzedawcy (np. linii lotniczych). Natomiast polecenie wypłaty i polecenie przelewu są formami płatności bezwarunkowowymi. Jedyne o czym słyszałem to możliwość zatrzymania przelewu kiedy jest on jeszcze w drodze (tzw. “stop payment”). Może mi kolega powiedzieć jaka była podstawa do zwrotu już zaksięgowanego przelewu??? Bo ja pierwsze słyszę o czyms takim!

  27. tez dostalem tego idiotycznego maila pisanego w panice, lub tlumaczonego chyba z arabskiego na polski z uzyciem google translate, jak sie ciesze, ze sprzedalem ps3 kilka miesiecy temu heheheheheh

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.