12:05
4/5/2011

Wygląda na to, że to nie koniec dramatu firmy Sony… Kiedy wydawało się, że nie może być już gorzej, firma poinformowała, że nieznani atakujący wykradli 12 700 numerów kart kredytowych należących do osób spoza USA. Dodatkowo łupem włamywaczy padły dane ponad 24 milionów kont z sieci Sony Online Entertainment.

Atak na SOE (Sony Online Entertainment)

Sony poinformowało 2 maja, że oprócz 78 milionów rekordów wykradzionych niedawno z sieci PSN, ktoś ukradł kolejne kilkadziesiąt milionów rekordów z ich serwerów należących do sieci SOE (Sony Online Entartainment). Wykradzione dane to:

Sony Online Entertainment

Sony Online Entertainment

  • Imię i nazwisko
  • Adres (miasto, kod, kraj)
  • Adres e-mail
  • Płeć
  • Data urodzenia
  • Numer telefonu
  • Login i hash hasła

Dodatkowo, intruzi weszli w posiadanie 12 700 numerów kart kredytowych/debetowych wraz z ich datą ważności. Sony wspomina także o możliwości wykradzenia 10 700 numerów kont bankowych i innych szczegółów rachunku należących do Niemców, Austriaków, Holendrów i Hiszpanów. W odpowiedzi na atak Sony wyłączyło sieć SOE i zatrudniło zewnętrzną firmę audytorską. Firma łączy tę kradzież z atakiem na PSN, który miał miejsce 16-17 kwietnia.

Mimo, że wciąż nie wiadomo, czy intruzi przejęli numery kart kredytowych użytkowników sieci PSN, to powyższy atak pokazuje, że włamanie na serwery Sony dla niektórych może przynieść wymierne straty finansowe…

Zemsta pracowników?

Pojawiają się też pierwsze hipotezy, że za atakami na Sony mogą stać zwolnieni pracownicy — w przeddzień ataku, Sony zwolniło 200 pracowników działu usług Online, czyli tego, który jest odpowiedzialny za sieci SOE i PSN. Czyżby któryś z nich wypłacił sobie premię Twoją kartą?

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

41 komentarzy

Dodaj komentarz
  1. Z tego bałaganu to się Sony już nie wygrzebie…

  2. Widać jakie sony ma zabezpieczenia….
    P.S Czekać jak PS3 stanieje teraz i stawiać serwer na nim :)

  3. Hehehe, no cudownie, cudownie. Może wyślijcie specjalistom od zabezpieczeń Sony ofertę specjalną na Wasze szkolenia dot. zabezpieczeń ;)

    • haha. :D

    • “Lubię to!” :D

  4. Sony OWNED!!!

  5. Mr.Niebezpiecznik moze by takie kursy dla sony za 200% ceny ?

    • Tu nie trzeba kursów, tylko regularnego patchowania, a z tym problem mają i ci co są przed i ci co są po szkoleniach (a także ci co je prowadzą ;)

    • To co to jest Polecenie zapłaty jak nie “uprawnienie do ściągania z konta należnej sumy”???

  6. A co da komuś poznanie numeru konta? Gorzej z numerem karty bo może ktoś tę kartę obciążyć. Natomiast gratulacje dla Sony, z czegoś takiego chyba nie da się wyjść z twarzą. Jakby mieli siedzibę w PL, już GIODO by się nimi zainteresował i poleciałyby masowe pozwy do sądu!

    • Numer konta w przypadku Wielkiej Brytanii może sporo dać, polecam uwadze przypadek “pewnego siebie” Clarksona z Top Gear: http://news.bbc.co.uk/2/hi/7174760.stm

    • Piotrze, wyjaśniłbyś dokładnie, jakim cudem to się udało? Sam kiedyś słyszałem o tej wpadce Clarksona, ale do dziś nie wiem, w jaki sposób numer konta i adres wystarczył do stworzenia takiej operacji?

    • AFAIR ustawili mu stałe zlecenie przelewu; bank do jego telefonicznego ustawienia weryfikowal klienta po nr rachunku i danych adresowych.

    • O ile się nie mylę, “direct debit” to chyba polecenie zapłaty? Żeby go ustanowić, owszem, jest potrzebny nr konta (nie karty). Jednak na formularzu zgody trzeba się też podpisać bo potem wierzyciel odsyła formularz do banku a ten porównuje podpis ze wzorem. W razie czego PZ można odwołać w ciągu 30 dni. Ponadto firmy drukują numery kont na fakturach, sprzedawcy podają publicznie na Allegro oraz numer ten widzi odbiorca każdego przelewu!

    • DD to nie polecenie zaplaty – to raczej jak uprawnienie do sciagania z konta naleznej sumy (np rachunki ). Da sie to zrobic wypelniajac druk lub online, w przypadku on-line czesto potrzebujesz do tego karty, a przez druk tylko podpis.

    • A slyszales o przelewach ktorych koszt pokrywa odbiorca?
      Zrobie 100000 takich po 1 gr ;)

  7. Jak go znajda powinni go zatrudnic :). Trzeba skillu i kohonez zeby sieknac przewalke na takim gigancie jak Sony… i po ponad 2 tygodniach nadal stapac po ziemi jako wolny czlowiek ;).

    Andrzej

    • Sony to nie Apple, nie mają oddziału ponurych panów w czarnych garniturach i kilkudziesięciu miliardów dolarów na wszelki wypadek odłożonych… ;-)

    • Doczytaj sobie genezę tych ataków, zaczęło się od GeoHota, który właśnie złamał zabezpieczenia konsol ze swoją drużyną.

    • Mi sie wydaje ze GeoHot i zemsta anonimowych to troche osobna sprawa. Wygodna jako zaśłona dymna. Nie przypomina mi to metod działań ich, a ostatnio gdzieś widziałem manifest w którym wzywali do bojkotu sony, ze wzgledu miedzy innymi na numery kart kredytowych przekazywanych w PSNie. Nie wydaje mi sie żeby grupa hacktivistów nagle zaminła się w paskudnych złodzei. Z resta najlepiej zajrzeć do źródła http://anonops.blogspot.com/

    • o znalażłem linkaska – http://jailbreakscene.com/main/wp-content/uploads/2011/04/operation-boycott.jpg

  8. Względem hipotezy o zwolnionych pracownikach – powinni zatrudnić ich, bo atak na taką skalę na pewno nie był robiony jedynie przez jedną osobę przy użyciu znanych luk i przykładowo dostępu do jakiegoś botnetu.

  9. Właśnie przeczytałem, że ta baza danych pochodziła z 2007 roku, więc wszystkie karty kredytowe (numery kart) są zupełnie bezużyteczne – karty wygasają po 2 latach (niech mnie ktoś poprawi jeśli się mylę)…

    • Jezeli to prawda, to jaki jest sens trzymania starej, nieaktualnej bazy online?

    • Jak bank odnawia kartę, nowa ma ten sam numer co stara i tylko zmienioną datę ważności i CVV2/CVC2. Tak więc baza może nie jest taka kompletnie bezużyteczna…

  10. Krótkie podsumowanie
    http://pokato.net/demot/2011-04-30-21-50-13593333728.jpg

  11. Na prawdę szkoda mi obecnie SONY, który już straciła w zeszłym miesiącu swoją wieloletnią renomę. Mimo wszystko trzeba przyznać, że sony dało ciała już drugi raz. Na plus znowu idzie to, że potrafią sie przyznać i dosyć szczegółowo o tym informują.

  12. Jeśli to zwolnieni pracownicy to już są umoczeni po szyję. Przecież ich personalia są znane i teraz wystarczy każdego przesłuchać. Inną sprawą jest konieczność szczególnego nadzoru nad tak dużymi bazami danych. Powinien być jednolity standard zasad bezpieczeństwa w takich firmach.Kwestia ochrony dużej bazy danych dotyczy przecież nie tylko Sony, ale także Facebooka, Twittera, MSN czy choćby Naszej Klasy. Moim zdaniem procedury powinny być równie wyśrubowane jak w przypadku urzędów państwowych (przynajmniej w niektórych państwach dane obywateli są dobrze chronione), a jeśli zbyt łatwo uzyskać dostęp do takich danych to prokuratura ma co robić. W sumie ciekaw jestem gdzie była siedziba tej bazy danych. W niektórych krajach w imię ułatwień dla biznesu być może zrezygnowano z należytego nadzoru nad firmami posiadającymi strategiczne aktywa, takie jak bazy danych, dane finansowe itp. No i podstawa: z chwilą zwolnienia pracowników należało zmienić hasła do tych baz, a w zasadzie logowanie do nich nie powinno być możliwe spoza lanu w siedzibie firmy. Niby po co dostęp do takiej bazy danych poza siedzibą?

    • Dla jednych te sprawy są tak oczywiste, że aż wstyd o tym mówić a dla innych już nie. Przecież pisali, że do tej pory nie mieli nawet oficera bezpieczeństwa! W bankach takie stanowisko to norma. Na litość, przecież firma Sony nie istnieje od wczoraj! Jak ktoś zna elementarne podstawy bezpieczeństwa informacji, zapewne słyszał o zasadzie najmniejszego przywileju. Nie wątpię że możliwość pracy zdalnej może być wygodna ale powinni ją mieć tylko ci, którzy jej rzeczywiście potrzebują. Zakres danych/czynności dostępnych “w terenie” też powinien być adekwatnie mniejszy niż w biurze.

  13. na bank to były lub byli pracownicy,Sony to nie jest jakaś tam firma żeby i ktoś od tak się na serw włamał.Tak to jest jak się haseł nie pozmienia po zwolnieniu pracowników(szczególnie z IT) :).

  14. Z Clarksonem to było trochę nie do końca tak, o ile pamiętam to rację mieli Ci, którzy pisali
    “W UK istnieje tzw. Direct Debit czyli zlecenie stale zaplaty, ktore mozna ustanowic telefonicznie podajac dane osobowe oraz numer konta. Po podaniu przeslylany jest na adres domowy formularz do podpisania, ktory sie odsyla i zlecenie gotowe. *Niektore organizacje charytawne oraz firmy umozliwiaja ustanowienie takiego zlecenia telefonicznie bez podpisu* – tak bylo w tym wypadku. Konto nie bylo wyczysczone tylko tak jak ktos wyzej wspomnial £500 zlecenie stale zostalo zalozone na koncie Clarksona”

    Clarkson mógł odwołać zlecenie, ale byłoby to znacznym obciachem a cel szczytny, więc “stracił 500 funtów.

  15. Jesli chodzi o firme Sony to osobiscie obstawiam dwie metody. Albo bylo to bezposredno na serwer bez najnowszych zainstalowanych patchy albo byla to robota bylego pracownika sony. Czesto jest tak ze pracownika sie zwalnia a jego konto czyli login i haslo sa jeszcze przez jakis czas aktywne w systemie. Jesli dodac do tego mozliwosc zdalnego polaczenia to sprawa jest prosta.

    W obu jednak przypadkach mozna wnioskowac ze ataku nie przeprowadzil zwykly kowalski ktory stwierdzil ze dzis sie wlamie do sony tylko osoby zwiazane w jakis sposob z sony.

    Podobnie bylo z atakiem na google (aurora). Z tego co podalo Mcafee i IDefences wina lezala po stronie samych pracownikow.

    Z mojego pkt widzenia atakujacy nie byl w zaden sposob zwiazany z zadna scena hakerska czy obroncow uzytkownikow PS. Bo jak inaczej wytlumaczyc fakt ze wlamania ma negatywne skutki dla firmy jak i dla graczy.
    Druga sprawa to walka Sony z piratami, gdyby Microsoft tak samo walczyl w przypadku XBOXA to moglbyc teraz na miejscu Sony. Roznica jest taka ze Xbox dal sobie spokoj i caly atak i wszystkie problemy poszly na sony.

  16. 04-05-2011GROUPON INC. CHICAGO 67,21 PLN

    karte juz zablokowalem…

  17. To coraz mniej wyglada na zemste hakerów a coiraz bardziej na atak z zamiarem szkodzenia firmie i zarobienia kasy. mam nadzieje ze sie to skonczy tylko strachem tak dla sony jak i dla userów.

  18. […] Aktualizacja 03.05.2011 Kolejny atak na Sony, tym razem wykradzino dane dotyczące 24 milionów kont i ponad 12 tysięcy kart kredytowych. […]

  19. Ja dostałem od nich maila (wylądował w Spamie ;) ), znaczy od SOE, mimo że nie jestem zarejestrowany u nich. WTF?

  20. […] Starty wyceniono na 200 000 USD. Ku pamięci: niektórzy mówią, że za atakiem na PSN stali byli pracownicy Sony, których 200 zwoliono w przeddzień […]

  21. jak to mowi dawne powiedzenie, nie wklada sie wszystkich jaj do jednego koszyka .. wiec moze pora na podzial duzych korporacji na mniejsze. Ryzyko upadku i przejecie przez konkurencje slabych wydzialow bedzie realna, ozywcza a nie wplynie na gospodarke krajowa czy globalna.

    ps. szkoda ze pewnie wypada stworzyc nowy urzad ds. regulacji .. :-)

  22. […] włamania do Sony PSN? Sporo osób zauważyło, że nastąpiły one krótko po zwolnieniu 200 pracowników z działu […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: