PSN: – Personlig info på avveie

[jokki]

Vel i chatten som visnokk skal være i mellom hackerne av PSN var det en ganske interessang del ganske langt oppe:

 

creditCard.paymentMethodId=VISA&creditCard.holderName=Max&

creditCard.cardNumber=**********&creditCard.expireYear=****&creditCard.

expireMonth=*&creditCard.securityCode=***&creditCard.address.address1=

example street%2024%20&creditCard.address.city=city1%20&creditCard.

address.province=abc%20&creditCard.address.postalCode=12345%20

 

slik jeg forstod det blir denne informasjonen delt mellom playstation3 og psn når du logger på i klartekst og også lagret kryptert på playstation sine servere.

 

Hvis denne informasjonen stemmer så har hackerne også den tre siffrede security koden bakpå kortet også kjent som cvn. Nå må vi ta denne "kilden" om den kan kalles det med tre traktorlass med salt, men nevner det like vel....

 

Det som er litt frustrerende her er at sony nok vet inderlig godt hva som har blitt stjålet siden dag 1, men har bevist prøvd å holde tilbake informasjonen. Forståelig nok ettersom de er ett firma som ønsker å tape minst mulig investorer og aksjeholdere, men kjipt for brukerne.

[Wheezy]

Til dere som tydelig vis ikke har opplevd eller hørt om lignende:

- Hvis en bank ser at det blir et unormalt uttak gjort fra din konto, så ringer de deg og spør om dette. Det kan være at en sum er unormalt høy eller at det er gjort fra et sted unormalt langt unna. F.eks. da jeg prøvde å kjøpe noe over nett mens jeg var i USA. Et sted som gir meg en IP adresse som jeg aldri har hatt tidligere.

 

Det kan godt hende dette faktisk skjer i de fleste tilfellene, men det har ikke skjedd hos meg, iallefall ikke enda.

Jeg har nemlig nå blitt trukket €80, fra bankontoen min som er knyttet til VISA-kortet brukt hos PSN. Posteringen er datert til 27/04-11, og i et tekstfelt for utfyllende informasjon står det følgende; "Cyb/turecarga.com".

 

Er såklart ikke 100% sikkert at dette er relatert til hackingen av PSN, men veldig nærliggende å tro det. Jeg vil iallefall anbefale alle å selv kontrollere sin nettbank en stund fremover, om dere ikke velger å sperre kortet..

[EmpireNO]

Q: Was my personal data encrypted?

A: All of the data was protected, and access was restricted both physically and through the perimeter and security of the network. The entire credit card table was encrypted and we have no evidence that credit card data was taken. The personal data table, which is a separate data set, was not encrypted, but was, of course, behind a very sophisticated security system that was breached in a malicious attack.

Q: Was my credit card data taken?

A: While all credit card information stored in our systems is encrypted and there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained. Keep in mind, however that your credit card security code (sometimes called a CVC or CSC number) has not been obtained because we never requested it from anyone who has joined the PlayStation Network or Qriocity, and is therefore not stored anywhere in our system.

 

http://blog.us.playstation.com/2011/04/27/qa-1-for-playstation-network-and-qriocity-services/

[thklinge]

Til dere som tydelig vis ikke har opplevd eller hørt om lignende:

- Hvis en bank ser at det blir et unormalt uttak gjort fra din konto, så ringer de deg og spør om dette. Det kan være at en sum er unormalt høy eller at det er gjort fra et sted unormalt langt unna. F.eks. da jeg prøvde å kjøpe noe over nett mens jeg var i USA. Et sted som gir meg en IP adresse som jeg aldri har hatt tidligere.

Både ja og nei. Jeg har blitt oppringt av min bank og spurt om jeg hadde tatt ut penger i minibank på to steder som man bare såvidt klarer å fly mellom i tidsrommet det hadde skjedd. Jeg svarte nei og banken ordnet resten. Den varslingen kom fra VISA, og ble sendt til meg via banken.

Jeg har derimot _aldri_ ellers blitt kontaktet av noen av mine bankforbindelser selv om kort tilhørende meg har vært brukt utallige steder ifbm netthandel både i USA, Europa og Asia. Ei heller når jeg har hatt amerikansk IP via proxy for å omgå regionsperrer for å se VOD-tjenester.

De som eventuelt sitter på din kredittkortinfo vil naturligvis ikke handle på komplett.no med ditt kort eller noen andre sikre norske sider som krever BankID o.l. Her vil de nok heller satse på små beløp i forskjellige nettbaserte butikker der de enten selv mottar pengene eller noe annet lett omsettelig. Svindler du 400.000,- fra en person vil alle varsellamper blinke øyeblikkelig, men svindler du 40,- fra 10000 kredittkortnummer vil neppe noen gjøre noe med saken. Det er for få som gjør en greie ut av 40,- og om svindelen skjedde i flere land blir det for mange politimyndigheter involvert og til slutt ender du opp med at ingen gidder å nøste opp i det for å ta deg.

 

 

Slutt å vær så paranoid folkens. Dette kunne liksågodt skjedd med xbox live! Teit å selge ps3en sin på grunn av dette.

At 70 millioner(!!) kunder får sine opplysninger inkl. kredittkortnummer og passord frastjålet har såvidt meg bekjent aldri skjedd før. At det i det hele tatt er mulig vitner om dårlig sikkerhet hos Sony. Man kan si at alle systemer er laget av mennesker, hull finnes overalt osv. Men samtlige andre selskaper som leverer tjenester i den størrelsen har altså klart å sikre sine opplysninger tilfredsstillende. At Sony er i deep shit er hevet over enhver tvil, og det med rette.

At man skal selge produkter produsert av samme selskap ser jeg inget poeng i men jeg hadde tenkt meg om to ganger før jeg ga dem kredittkortinformasjonen min.

 

 

Q: Was my personal data encrypted?

A: All of the data was protected, and access was restricted both physically and through the perimeter and security of the network. The entire credit card table was encrypted and we have no evidence that credit card data was taken. The personal data table, which is a separate data set, was not encrypted, but was, of course, behind a very sophisticated security system that was breached in a malicious attack.

Q: Was my credit card data taken?

A: While all credit card information stored in our systems is encrypted and there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained. Keep in mind, however that your credit card security code (sometimes called a CVC or CSC number) has not been obtained because we never requested it from anyone who has joined the PlayStation Network or Qriocity, and is therefore not stored anywhere in our system.

 

http://blog.us.playstation.com/2011/04/27/qa-1-for-playstation-network-and-qriocity-services/

Så hackerne har altså tatt hele brukerdatabasen, men latt kredittkortdatabasen ligge? Seriøst Sony? Det forventer du at vi skal tro på? Hell fuckin' no. At den er kryptert betyr mindre. Om krypteringen er like dårlig som sikkerheten på serverne så er den basen dekryptert kjappere enn Sony klarer å stave "class action lawsuit".

Neste svar er vinglende, de sier at CVC-koden ikke er etterspurt fra brukeren, vel, hvordan får de da verifisert overføringer som gjøres til PSN? At informasjonen brukes for verifisering og ikke lagres er derimot en annen sak. Det vil i så tilfelle bety at man må trykke inn CVC-koden hver gang man kjøper noe, er det tilfelle på PSN?

Endret 28. april 2011 av thklinge

[samco]

2011 var året ps3 endelig skulle vise muskler... Året de store exclusive ps3 Spillene skulle komme .... Ouch!!!!!! All tillit til Sony og psn er borte ... Hadde bare nissene ansatt geohot så har nok ikke noe av dette forekommet... 2bad so sad...

[bandreas]

Det har vel aldri vært direkte bevis for at denne hackingen skjedde for økonomisk gevinst? Selv om en smart hacker kunne lurt 10 kr ut av nok kontoer i mnd hadde vel ingen merka det, og man kunne gnidd seg i hendene

[Kverulantus]

Jeg driter egentlig i hele greia. Gidder uansett ikke selge/slutte å bruke ps3'n min. Den fungerer helt fint offline og.

Mtp at jeg spiller en del Demon's Souls. Er et helvete å være i body form der og samtidig sitte online.

Kan jo selvfølgelig hende at jeg har lyst til å spille litt Battlefield : bad company 2, men ja, da får jeg bare vente til PSN kommer opp igjen.

Er jo tross alt ikke bare SOny's skyld at det er nede. Forståelse for begge siders tanker er en fin bil.

[Allt í lagi]

2011 var året ps3 endelig skulle vise muskler... Året de store exclusive ps3 Spillene skulle komme .... Ouch!!!!!! All tillit til Sony og psn er borte ... Hadde bare nissene ansatt geohot så har nok ikke noe av dette forekommet... 2bad so sad...

Ja, Geohot hadde utvilsomt avverget dette angrepet med sine l33t sk1llz

 

 

Neste svar er vinglende, de sier at CVC-koden ikke er etterspurt fra brukeren, vel, hvordan får de da verifisert overføringer som gjøres til PSN? At informasjonen brukes for verifisering og ikke lagres er derimot en annen sak. Det vil i så tilfelle bety at man må trykke inn CVC-koden hver gang man kjøper noe, er det tilfelle på PSN?

Nei.

Endret 28. april 2011 av Only Chaos

[ATWindsor]

' timestamp='1303942161' post='17679489']

Og den psykotiske frustrasjonen som nokon utøver på forumet? Sånne ting kan skje. Det SKAL ikkje skje, men det gjer det likevel slik som mange andre kjipe ting som skjer her i verda. Sony har stengt tenesta og dei tek saken veldig seriøst. Det kunne likegod skjedd med Xbox Live, men i denne omgang var det Sony som vart bytte. Kansje dette får MS /Nintendo til å gå over sine sikkerheitsmekanismar på nytt? Systemet er laga av mennesker og ingen system er 100% sikre mot angrep.

 

Så at informasjon fra 77 millioner kontoer hentes ut er bare "sånt som skjer"? Da har du kanskje eksempler på tilsvarende sikkerhetsbrudd i denne størrelsesordenen som har skjedd andre steder?

At serverne blir kompromitert er noe ganske annet enn DDOS-angrepene som har kommet fra 4CHAN mot diverse mål (f.eks. PSN, VISA og Mastercard), og de angrepene er på ingen som helst måte sammenlignbare, bare så det er sagt.

 

Mitt inntrykk er at dette er temmelig enestående og at det er hinsides noe som kan avfeies med "det kunne likegodt skjedd med Xbox Live".

At Microsoft og Nintendo nå reviderer sine sikkerhetsrutiner tviler jeg ikke på, men det er på ingen måte noen bekreftelse av at dette like godt kunne skjedd hos dem.

PSN ble hacket < Pentagon ble hacket, CIA ble hacket. Hvis du mener at det IKKE like godt kunne ha skjedd hos Nintendo/Xbox Live/Apple/hvilketsomhelstselskap, så er du dessverre naiv.

 

Edit: Har du lest om phishing-forsøkene på Xbox Live i Modern Warfare 2?

 

Holdningen at en god hacker kan hacke hva som helst er bare tull. Det er riktig at man kommer seg inn i delsystemer fra tid til annen, men tror du virkelig det ikke hackes mer bare fordi folk ikke gidder? Å gjøre slik remote fra utsiden er langt ifra trivielt. Det vil alltid være folk som prøver seg på humbug i verden, det må man designe systemer etter. Som profesjonell aktør så er det ditt ansvar. Det nytter ikke å skylde på "buhu det finnes slemme mennesker i verden".

 

AtW

[XmasB]

Jeg forstår ikke hvordan passord kan være på avveie? "Standard" rutine er jo å lagre en represantasjon av passordet, for så å verifisere innlogging med en hash/represantjon av gitt passord mot lagret hash. Dette trodde jeg var nogenlunde enveis, eller i hvertfall sikkert mot det meste untatt brute-force angrep.

 

Så hva er egentlig på avveie her? Passord eller hash?

[Woltox]

Jeg er ikke ps3 fan, men nå så kan xbox skyte prisene til himmels, pga ingen ordentlig motstander

[Mr. Pants]

Jeg er ikke ps3 fan, men nå så kan xbox skyte prisene til himmels, pga ingen ordentlig motstander

Tar du ikke litt hardt i nå? I verste fall vil lekkasjen påvirke kjøpsmønsteret til folk som vanligvis kjøper spill og annen DLC fra PSN.

[Woltox]

Jeg er ikke ps3 fan, men nå så kan xbox skyte prisene til himmels, pga ingen ordentlig motstander

Tar du ikke litt hardt i nå? I verste fall vil lekkasjen påvirke kjøpsmønsteret til folk som vanligvis kjøper spill og annen DLC fra PSN.

 

Ikke bare psn, brått så skjer det, det samme på xbox.

[andreg]

' timestamp='1303942161' post='17679489']

 

PSN ble hacket < Pentagon ble hacket, CIA ble hacket. Hvis du mener at det IKKE like godt kunne ha skjedd hos Nintendo/Xbox Live/Apple/hvilketsomhelstselskap, så er du dessverre naiv.

 

Edit: Har du lest om phishing-forsøkene på Xbox Live i Modern Warfare 2?

 

Phishing?! Mener du virkelig forsøk på phishing er relevant i denne sammenhengen?

"Hacket" er et veldig upresist begrep, og selv om ingen systemer er 100% trygge er det ikke slik at man kan påstå at angrep mot et hvilket som helst selskap ville gitt samme resultat som i denne saken.

 

Hackingen av RockYou samt hendelsene hos Heartland Payment Systems og CardSystems Solutions er noen eksempler på at store mengder informasjon kan komme på avveie.

Det som har skjedd hos Sony er imidlertid at navn, adresse, epostadresse, fødselsdato, brukernavn og passord, pluss muligens kredittkortinformasjon, for samtlige 77 millioner registrerte brukere trolig har blitt hentet ut. At noe tilsvarende har skjedd klarer ihvertfall ikke jeg å finne noen eksempler på. Jeg kan heller ikke forestille meg at noen ville klart å holde et slikt tilfelle hemmelig.

[[-GoMp-]]

' timestamp='1303942161' post='17679489']

 

PSN ble hacket < Pentagon ble hacket, CIA ble hacket. Hvis du mener at det IKKE like godt kunne ha skjedd hos Nintendo/Xbox Live/Apple/hvilketsomhelstselskap, så er du dessverre naiv.

 

Edit: Har du lest om phishing-forsøkene på Xbox Live i Modern Warfare 2?

 

Holdningen at en god hacker kan hacke hva som helst er bare tull. Det er riktig at man kommer seg inn i delsystemer fra tid til annen, men tror du virkelig det ikke hackes mer bare fordi folk ikke gidder? Å gjøre slik remote fra utsiden er langt ifra trivielt. Det vil alltid være folk som prøver seg på humbug i verden, det må man designe systemer etter. Som profesjonell aktør så er det ditt ansvar. Det nytter ikke å skylde på "buhu det finnes slemme mennesker i verden".

 

AtW

 

Jeg vil helst ikke at du sier at jeg har en "holdning" om at hva som helst kan hackes, holdning får det til å høres ut som at jeg syns det er OK. Og det syns jeg ikke.

Bruk heller "påstanden" . Vil gjerne diskutere dette fritt uten at det blir konflikter oss forumbrukere imellom. Vi er tross alt i samme båt. De fleste her er vel ikke eksperter på hacking.(??)

 

Jeg er enig med deg at Sony har ansvar. Og jeg fraskriver dem ikke det ansvaret. Men jeg tror fortsatt at andre profesjonelle aktører er like utsatt som Sony - hvorfor skulle de ikke være det?

Det kan virke som om Sony yppet på seg feil person (hvem nå enn hackeren er, og hva nå enn motivene hans for å gjøre dette var).

 

' timestamp='1303942161' post='17679489']

 

PSN ble hacket < Pentagon ble hacket, CIA ble hacket. Hvis du mener at det IKKE like godt kunne ha skjedd hos Nintendo/Xbox Live/Apple/hvilketsomhelstselskap, så er du dessverre naiv.

 

Edit: Har du lest om phishing-forsøkene på Xbox Live i Modern Warfare 2?

 

Phishing?! Mener du virkelig forsøk på phishing er relevant i denne sammenhengen?

"Hacket" er et veldig upresist begrep, og selv om ingen systemer er 100% trygge er det ikke slik at man kan påstå at angrep mot et hvilket som helst selskap ville gitt samme resultat som i denne saken.

 

Hackingen av RockYou samt hendelsene hos Heartland Payment Systems og CardSystems Solutions er noen eksempler på at store mengder informasjon kan komme på avveie.

Det som har skjedd hos Sony er imidlertid at navn, adresse, epostadresse, fødselsdato, brukernavn og passord, pluss muligens kredittkortinformasjon, for samtlige 77 millioner registrerte brukere trolig har blitt hentet ut. At noe tilsvarende har skjedd klarer ihvertfall ikke jeg å finne noen eksempler på. Jeg kan heller ikke forestille meg at noen ville klart å holde et slikt tilfelle hemmelig.

Beklager hvis du tok dette ille opp; jeg har ikke sagt at dette er i nærheten av det som har skjedd med Sony, ei heller at phishing og "hacking(?)" er det samme. Jeg skrev det kun for å vise at Xbox Live tydeligvis ikke er 100% trygt det heller - så da er vi vel enige?

 

EDIT: Hvis det er sant denne "IRC chatloggen" som går, at de sendte kortinfo i klartekst, DA har de nok hatt for dårlige sikkerhetstiltak!

Endret 28. april 2011 av [-GoMp-]

[Karl Martin]

Har fått et trekk på kontoen som jeg ikke kjenner igjen, har kontaktet banken og sperret kortet. Better safe than sorry, men det er rimelig surt :|

 

Samboeren min har en kollega som i dag oppdaget at det var et stort visa trekk på sin konto. Hun var aktiv psn bruker.

 

Det betyr at kredittkort info er på avveie, så jeg tror det er greit å bestille nytt kort for de fleste.

[Woltox]

Forhåpentligvis kan man spore via psn eller kredittkort sellskapet hvor kortet er brukt

[Kverulantus]

2011 var året ps3 endelig skulle vise muskler... Året de store exclusive ps3 Spillene skulle komme .... Ouch!!!!!! All tillit til Sony og psn er borte ... Hadde bare nissene ansatt geohot så har nok ikke noe av dette forekommet... 2bad so sad...

Ja, Geohot hadde utvilsomt avverget dette angrepet med sine l33t sk1llz

 

Men om de hadde ansatt han, hadde ikke Anon plutselig kommet for det første og det andre angrepet ville nok heller ikke skjedd.

Veit ikke om dette var det Samco skulle frem til eller ikke, men det er ihvertfall det jeg tolker ut av posten hans.

[αкαѕнα]

er det noe på ryktebørsen når vi kan forvente at de åpner opp igjen??

 

Kan det liksom gå månedsvis før vi kan spille online igjen??

 

Kjipt for oss som utelukkende spilte online liksom

[guttorm]

Fatter ikke at dere ikke kan la Xbox vs PS3 ligge i denne tråden. Hvorvidt du skal selge din PS3 osv driter vi egentlig i, kan vi holde oss til temaet. Virker som tråden er gjennomsyret av 12 åringer.