Thema: Hacks diverser Hersteller/Anbieter ...

[SiLæncer]

Playstation-3–Besitzer haben seit Mittwoch Abend Probleme eine Verbindung mit dem Playstation-Network aufzubauen. Ursache sind spontane Wartungsarbeiten, die Sony aufgrund eines „externen Eingriffs“ in die Netzwerke einberufen musste. Wer diese Eingriffe verursacht hat, ist nicht bekannt. Anonymous machte mittlerweile in einer Pressemitteilung klar: „Ausnahmsweise waren wir es nicht.“

Das Unternehmen Sony hat seit Mittwoch Abend mit Problemen im PlayStation Network zu kämpfen. Nun schon bald 72 Stunden lang stoßen Nutzer der bekannten Konsole bei dem Versuch, sich ins Netzwerk des Herstellers einzuklinken, auf eine Fehlermeldung.

Aus welchem Grund es zu dem überraschend langen Ausfall kam, ist nicht restlos geklärt. Sony selbst scheint die Online-Services vorgestern abgeschaltet zu haben. Dies sei als Reaktion auf einen nicht näher beschrieben „externen Eingriff“ in die Server geschehen, heißt es in den offiziellen Playstation-Blogs. Auf Twitter werden die Fans zwar regelmäßig über Fortschritte bei den Wartungsarbeiten informiert. Der Erfolg der Techniker, eventuell ausgenutzte Sicherheitslücken zu schließen oder Schäden zu beseitigen, ist jedoch augenscheinlich eher mäßig. Die letzte Meldung des Dienstes von gestern ließ lediglich verlauten, dass man noch „keine Neuigkeiten“ für die Nutzer habe.

Wer oder was den sogenannten „externen Eingriff“ versucht haben soll, ist nicht bekannt. Viele Stimmen gehen mittlweile von einem Hacker-Angriff aus. Als Beobachter könnte man annehmen, dass das Internet-Kollektiv Anonymous wieder seine Finger im Spiel hat. Doch laut einer jüngst erschienen Pressemitteilung mit dem Titel „Ausnahmsweise waren wir es nicht“ auf der Anonymous-„Koordinationsseite“ anonops.net sind die „Hacktivisten“ in diesem Fall unschuldig. „Zwar könnte es der Fall sein, dass andere ‚Anons‘ selbstständig das Playstation Network attackierten, wir [AnonOps] wissen jedoch nichts davon und übernehmen keine Verantwortung für das, was passiert ist.“, heißt es in der Mitteilung weiter.
  
Wann die Konsoleros ihr Produkt wieder in vollen Umfang nutzen können, ist nicht abzusehen. Gerade in Anbetracht der Tatsache, dass Ostersonntag vor der Tür steht, könnte sich die Reparatur der Sony-Techniker noch bis nächste Woche hinauszögern.  

Quelle : www.gulli.com

[SiLæncer]

"Ausnahmsweise waren wir's mal nicht": In einer am Sonntag veröffentlichten Erklärung haben Anonymous-Aktivisten Stellung zum andauernden Ausfall des Playstation-Networks (PSN) genommen und die Verantwortung dafür zurückgewiesen. Der Onlinedienst ist seit dem 20. April nicht mehr zu erreichen. Anonymous will allerdings nicht ausschließen, dass "andere Anons" auf eigene Faust gehandelt haben könnten, um gegen Sony zu protestieren, heißt es in der Mitteilung. Darin wird außerdem angedeutet, Sony könne Anonymous womöglich als Sündenbock missbrauchen, um technische Probleme zu vertuschen. Das japanische Unternehmen hatte in einem Blog mitgeteilt, dass der Ausfall mit einem "externen Eingriff" zu tun habe.

In einem Ende vergangenen Jahres geführten Interview mit heise online hatten Anonymous-Aktivisten betont, dass die Gruppe "prinzipbedingt" keine Führung habe. Daher könne auch niemals ein Anonymous-Mitglied für die gesamte Gruppe sprechen – was im Umkehrschluss also auch bedeutet, dass die jetzt veröffentlichte Mitteilung nicht unbedingt als "offizielle" Anonymous-Erklärung zu verstehen ist. Für einen zumindest ansatzweise offiziellen Charakter spricht allerdings, dass sich das Statement auf mehreren von Anonymous-Aktivisten betriebenen Websites sowie in vertonter Form in einigen YouTube-Videos findet.

Nachdem Anonymous dem japanischen Konzern wegen seines harten Vorgehens gegen Playstation-3-Hacker Anfang April den Krieg erklärt hatte, bemühte man sich schon kurz darauf um Schadensbegrenzung: Etliche PSN-Spieler waren sauer, weil sie das Onlinenetzwerk nicht mehr benutzen konnten.

Quelle : www.heise.de

[spoke1]

Persönliche Kundendaten wurden kopiert

Sony Computer Entertainment hat endlich bekanntgeben können, was der oder die Hacker im Playstation Network (PSN) und in Qriocity angerichtet haben. Auch für die Kunden ist der Einbruch in die Server ein Desaster - es wurden alle angegebenen persönlichen Daten kopiert, wahrscheinlich auch die für Kreditkarten.

Sony hat sehr schlechte Nachrichten für seine Kunden, obwohl die Ermittlungen zu dem Einbruch in die PSN- und Qriocity-Server noch weitergehen. Im offiziellen Playstation-Blog heißt es, dass "sich eine unbefugte Person Zugriff zu folgenden persönlichen Daten verschaffen konnte: Name, Adresse (Stadt, Bundesland, Postleitzahl), Land, E-Mail Adresse, Geburtsdatum, PlayStation Network/ Qriocity Passwort und Login sowie PSN Online ID."

Darüber hinaus könne es möglich sein, dass die Profilangaben der Nutzer unerlaubt abgerufen wurden. Das beinhalte auch die persönliche Kaufhistorie und die Rechnungsanschrift (Stadt, Bundesland, Postleitzahl). Eltern aufgepasst: "Falls Sie einem zweiten Konto für einen Unterhaltsberechtigten zugestimmt haben, kann es sein, dass oben genannte Angaben Ihres Unterhaltsberechtigten ebenfalls angeeignet wurden", heißt es weiter im Playstation-Blog.

Die für die Kunden wohl wichtigste Information, ob auch ihre Kreditkartendaten in falsche Hände geraten sind, fehlt weiterhin. Zwar gebe es dafür laut Sony derzeit keine Anzeichen dafür, gleichzeitig will der Hersteller es aber auch nicht ausschließen.

"Falls Sie Ihre Kreditkarteninformationen im PlayStation Network oder Qriocity angegeben haben, möchten wir Sie sicherheitshalber darüber benachrichtigen, dass auf Ihre Kreditkartennummer (exklusive Ihres Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte."

Den PS3- und PSP-Besitzern könnte damit weit Schwerwiegenderes drohen als nur ein paar Tage nicht auf das PSN zugreifen zu können. Sie sollten daher zumindest sicherstellen, dass sie bei anderen Diensten nicht dasselbe Passwort wie bei PSN gesetzt haben. Unter Umständen ist es auch sinnvoll, die eigene Bank über die womöglich kompromittierte Kreditkarte zu informieren. Laut Sony erfolgte der unerlaubte Zugang zu den Servern in der Zeit vom 17. bis zum 19. April 2011. (ck)


Quelle: http://www.golem.de/1104/83045.html

[SiLæncer]

Unter den öffentlichen Playstation-Blogs von Sony Computer Entertainment häufen sich die Kundenbeschwerden wegen des PSN-Hacks. Viele Kunden fühlen sich zu spät über den Datenklau informiert.
Trotz umfangreicher Medienberichterstattung ist nicht gewährleistet, dass jeder der 77 Millionen PSN- oder Qriocity-Nutzer, deren Daten ausgespäht wurden, von dem Vorfall erfährt. Denn bisher hat Sony seine Kunden nur indirekt informiert, über eigene Blogs und über Twitter. Direkte Mitteilungen per E-Mail blieben bisher aus, zumindest in Deutschland.

Entsprechend viel Kritik erfährt Sony deshalb auch von den Kunden. Während es im deutschen Playstation-Blog noch eher ruhig zugeht, ist im US-Blog bereits deutlich mehr los. Zwar wird auch Mitgefühl und Verständnis für das PSN-Team geäußert, viele Beiträge richten jedoch Vorwürfe an Sony, wie etwa der von Tacotaskforce: "Ihr wartet eine WOCHE, um uns zu sagen, dass unsere persönlichen Daten kompromittiert wurden? Das hätte bereits letzten Donnerstag gesagt werden müssen."

Sony hatte für die Auswertung des Hacks ein externes Sicherheitsunternehmen beauftragt. Laut Sony erfolgte der unerlaubte Zugriff auf die Server in der Zeit vom 17. bis zum 19. April 2011. Nachdem Sony den Einbruch bemerkt hatte, wurde das PSN abgeschaltet - und ist weiterhin nicht zugänglich. Auch der Musik- und Filmdienst Qriocity ist betroffen. Sony Online Entertainment (SOE) soll hingegen nicht betroffen sein, da die Datenbanken getrennt von PSN und Qriocity gehostet werden und nicht kompromittiert worden sein sollen.

Quelle : www.golem.de

[spoke1]

Nach dem Einbruch in das Playstation Network (PSN) fragen sich 77 Millionen Nutzer, welche Gefahr ihnen durch den Datenklau droht und ob sie jetzt noch etwas tun können, um den Schaden zu begrenzen. Nach Angaben von Sony hatte der Eindringling vom 17. bis 19. April Zugriff auf die Nutzerdaten, darunter Adresse, Geburtsdatum, die PSN-Online-ID und das PSN-Passwort. Nicht ausschließen kann der Konzern, dass auch die Daten der Kreditkartennummern, Gültigkeitsdauer und Rechnungsadressen abgerufen wurden, wenn auch dafür bislang keine Spuren zu finden seien, sagte ein Konzernsprecher. Einzig ein Zugriff auf den dreistelligen Sicherheitscode auf der Kreditkartenrückseite blieb den Angreifern offenbar verwehrt, weil diese laut Sony andernorts gespeichert würden.
Der nicht geklaute Sicherheitscode ist allerdings nur ein kleiner Trost, da dieser beispielsweise bei Offline-Geschäften überhaupt nicht überprüft wird. Das Kreditkartensystem ist trotz offensichtlicher Sicherheitsmängel überhaupt so populär, weil die Kreditinstitute die Haftung übernehmen. Deshalb sollte man unbedingt seine Kreditkarten-Abrechnungen ab Mitte April überprüfen und Unregelmäßigkeiten sofort bei der Bank melden. Die Beweislast, ob die Abbuchung rechtmäßig war oder nicht, liegt bei der Bank. Im Zweifel müssen sie das Geld also erstatten.
Ist man also aus dem Schneider? Nicht ganz, denn wenn ein Dieb das Konto leer räumt, hat man zumindest erstmal Anrufe und Papierkram zu erledigen, um die Abbuchungen wieder rückgängig zu machen. Bis die geklauten Kreditkartennummern tatsächlich zum Einsatz kommen und monetarisiert werden, kann es jedoch noch Wochen dauern. Die zig Millionen Nummern (nur ein Teil der 77 Millionen Kunden hat seine Kreditkartennummern im PSN hinterlegt) werden wahrscheinlich auf dem Schwarzmarkt angeboten und dann "in kleinen Häppchen" weiterverkauft. Sie werden durch viele Hände gehen, bevor sie tatsächlich eingesetzt werden. Manche werden gar auf gefälschte Plastikkarten gedruckt. Das kann auch noch in einem Jahr passieren.

Wer seine Karte sicherheitshalber jetzt sperren lassen will, wird von den Kreditinstituten dafür zur Kasse gebeten. Bei der Sparkasse koste eine neue Karte 20 Euro, rechnete uns ein Bankberater vor. Die Kosten solle man sich von Sony erstatten lassen. Dazu müsste man Sony jedoch nachweisen, dass die Kreditkartennummern bei ihnen tatsächlich abhanden gekommen sind. Das Kreditinstitut Valovis wollte auf Nachfrage eines Kollegen von sich aus dessen Kreditkarte gegen seinen Willen und auf seine Kosten sperren. Als er dies verneinte, wies man ihn darauf hin, dass er nun das Missbrauchsrisiko selbst tragen müsse – nicht gerade eine vertrauensbildende Maßnahme.

Der zweite Angriffspunkt ist das PSN-Passwort: Viele Anwender nutzen für verschiedene Dienste das gleiche Passwort, also auch bei Amazon, eBay oder PayPal. Selbst wenn Sony die Passwörter als verschlüsselte Hashwerte speichert, können Angreifer nun per Brute-Force versuchen, das Ursprungs-Passwort zu ermitteln. Die Rechenzeit für ein sechsstelliges Passwort liegt mit modernen Grafikkarten gerade einmal bei neun Minuten. Bei acht Stellen verlängert sich die Rechenzeit bereits auf 300 Tage. Verkürzen lässt sich die Zeit wiederum, wenn man zum Knacken Cloud-Server anmietet. So würde es knapp 600 Euro kosten, ein achtstelliges Passwort mit Hilfe Amazons Elastic Computing Cloud (EC2) per Brute Force zu knacken. Bei zwölf Zeichen beträgt der Einsatz schon über 15 Milliarden Euro. Ab einer Länge von elf Zeichen kann man derzeit ein Passwort also als hinreichend sicher betrachten, da der Aufwand zum Knacken für einen Betrüger größer wäre als der mögliche Gewinn.

Je nachdem, wie lang das eigene PSN-Passwort war, hat man nun also mehr oder weniger Zeit, sich für seine Konten neue Passwörter auszudenken. Ändern sollte man sie in jedem Fall. Tipps dazu gibt der c't-Artikel Sesam öffne dich nicht in c't 2/11, S. 150. Aufpassen sollte man in nächster Zeit vor Spam-Mails, die die Eingabe von persönlichen Daten und Passwörtern etwa zur Rekonstruktion des PSN auffordern. Sie kommen mit Sicherheit nicht von Sony, sondern von Datendieben. Sony stellte klar, dass es keine Kundendaten per Mail, Telefon oder Brief abfragen werde.

Dem japanischen Konzern ist sicherlich vorzuwerfen, dass er seine Kundendaten offensichtlich alle zentral gespeichert und zu wenig abgesichert hat. Dass man nach der Abschaltung zunächst den Fall genau untersuchen wollte, bevor man mit einer so weitreichenden Warnmeldung an die Öffentlichkeit tritt, ist verständlich. Derzeit würden alle 77 Millionen Nutzer per E-Mail angeschrieben, deren Versendung noch bis zum 28. April dauern soll. Der Schaden, den Sony durch den Vertrauensverlust erleidet, lässt sich derzeit noch gar nicht abschätzen. Immerhin ist das Playstation Network die digitale Vertriebsplattform des Konzerns, mit der er seine Spiele, Filme und Musik online vertreibt. Sony lässt derzeit noch eine externe Sicherheitsfirma den Fall untersuchen und restrukturiert das komplette PSN, um die aktuellen Sicherheitsmängel zu beseitigen. Der Ausfall des Netzwerks kann sich also noch auf unbestimmte Zeit hinziehen.


Quelle

[spoke1]

Patric Seybold, seines Zeichens Senior Direktor für Sonys Firmenkommunikation und Social Media, hat über das US-Playstation-Blog weitere Informationen bekannt gegeben, wie Sony gedenkt, das Playstation Network wieder hochzufahren. Demnach soll das Netzwerk bis kommenden Mittwoch wieder online gehen, aber nur "wenn wir sicher sind, dass das Netzwerk gesichert ist", erklärte Seybold. Vor dem Neustart müssen Playstation-Anwender zunächst ein Firmware-Update aufspielen, das sie zur Änderung ihres Passworts zwingt. Ebenso sollen die SDKs für die Debug-Konsolen der Spiele-Entwickler und -Tester ausgetauscht werden.

Laut Seybold waren die persönlichen Daten der Anwender unverschlüsselt gespeichert. Lediglich die Datenbank mit den Kreditkartennummern sei verschlüsselt gewesen; es gebe keine Hinweise darauf, dass die Datendiebe auf sie zugegriffen haben. Die dreistellige Sicherheitsnummer der Kreditkartenrückseite sei nirgends im System gespeichert gewesen, stellt Seybold klar.

Derzeit ziehe man mit dem kompletten Netzwerk und dem Datenzentrum an einen neuen Ort um und arbeite mit einer externen Sicherheitsfirma daran, die Sicherheit des PSN zu erhöhen.

In den USA ist derweil in Kalifornien die erste Sammelklage gegen Sony eingereicht worden, in der dem Konzern vorgeworfen wird, die Daten der Anwender nicht ausreichend gesichert zu haben. So habe Sony unter anderem gegen den Payment Card Industry Data Security Standard (PCI DSS) verstoßen, der spezielle Sicherheitsvorkehrungen vorschreibt, wenn Firmen Kreditkartendaten ihrer Kunden speichern.

Auch in Deutschland äußerte der Bundesbeauftragte für den Datenschutz, Peter Schaar, Kritik an Sonys Krisenmanagement. Weil das Playstation Network jedoch von einem englischen Tochterunternehmen betrieben werde, sei nun Großbritannien für die Prüfung zuständig, ob Sony seine Kunden rechtzeitig über den Datendiebstahl informiert hat. Laut Schaar sei es schwierig, nachzuweisen, ob unrechtmäßige Kreditkartenabbuchungen tatsächlich auf die Datenlecks im PSN zurückzuführen sind. Im großen Umfang angehäufte Daten "sind nie sicher" betonte Schaar gegenüber dem ARD-Morgen-Magazin. (hag)


Quelle

[SiLæncer]

Berichten des Sicherheitsexperten Kevin Stevens der Firma Trend Micro zufolge, scheinen Hacker in dubiosen Internetforen eine Datenbank gefüllt mit rund 2,2 Millionen Kreditkarten-Informationen zu verkaufen. Die Vermutung liegt nahe, dass es sich dabei um die gestohlenen Daten des Konzerns Sony handelt. Man hält die Entwendung dieser Informationen jedoch weiterhin für nicht endgültig bewiesen.

Obwohl Sony offiziell bekannt gab, dass es nicht sicher sei, ob beim Hack-Angriff vor wenigen Tagen Kreditkarteninformationen gestohlen wurden, scheinen Hacker in dubiosen Online-Foren womöglich eine Kopie dieser Daten zum Verkauf anzubieten. Dies gab der Sicherheitsexperte Kevin Stevens der Firma Trend Micro in einem Twitter-Eintrag bekannt.

Ihm zufolge stünde auf einer nicht benannten Webseite eine Datenbank zum Verkauf, die rund 2,2 Millionen Kreditkarten-Informationen enthalten soll. Zwar habe er selbst keinen Einblick in die Daten erhalten, wisse jedoch, dass die einzelnen Felder die Namen „fname, lnam, address, zip, country, phone, email, password, dob, ccnum, CVV2 und exp date” tragen. Gerade die letzen Einträge erscheinen hier prekär zu sein. Denn mittels der Kreditkartennummer, dem Sicherheitscode, dem Gültigkeitsdatum und dem Namen des Besitzers ist es problemlos möglich, Geld von den Konten zu stehlen.  Wie Stevens weiter ausführt, soll der dubiose Verkäufer Sony die Chance geboten haben, die Daten wieder „zurückzukaufen“, um so einer Weitergabe vorzubeugen. Doch scheinbar habe der Konzern auf das Angebot nicht geantwortet.

Auf offizieller Seite gibt der Konzern vor, von einem derartigen Angebot nichts zu wissen. Wie der Sony-Manager Patrick Seybold der New York Times mitteilte, habe es ein solches Angebot nicht gegeben, wobei es ohnehin „keinerlei Beweise“ dafür gebe, dass Kreditkarten-Informationen gestohlen wurden.

Während Sony seine Nutzer also weiterhin in Unsicherheit belässt, tauchen im Netz immer mehr Stimmen auf, die behaupten ihre Kreditkarte sei missbraucht worden. So twitterte ein Mitarbeiter der Firma GameFly, dass die Kreditkarte eines Kollegen angeblich in Deutschland genutzt wurde, um in einem Lebensmittelgeschäft für 1.500 US-Dollar einzukaufen. In Dutzenden anderen Online-Foren wird über ähnliche Fälle berichtet.

Mittlerweile erklärte Sony in einem Blog-Eintrag, wie genau man nun vorhat, das Playstation Network wiederaufzubauen. Offenbar strebt man hierzu eine komplette Sanierung an. Aktuell sei man dabei, die gesamten Daten in ein anderes Rechenzentrum zu übertragen. Dementsprechend scheint man einen physischen Zugriff der Angreifer auf die Server nicht auszuschließen.

Wann die Spieler ihre Konsole endlich wieder in vollem Umfang nutzen können, ist noch nicht sicher. Im Sony-Blog heißt es, dass man in ungefähr sieben Tagen mit den Arbeiten abgeschlossen haben könnte.

Quelle : www.gulli.com

[SiLæncer]

Sony will die Sicherheitsmaßen für sein PlayStation Network verbessern und die Nutzer mit Gratis-Downloads und kostenlosen Diensten entschädigen. Ein Komitee des Repräsentantenhaus der Vereinigten Staaten schickte dem Hersteller Ende letzter Woche ein Schreiben mit mehr als einem Dutzend Fragen zur Sachlage. Die Anfrage muss in wenigen Tagen beantwortet werden, ansonsten droht eine Geldstrafe.

Die ersten Dienste sollen nächste Woche wieder online gehen, kündige Sony heute an. Auf einer Pressekonferenz entschuldigte man sich für die entstandenen Unannehmlichkeiten. Sony arbeite rund um die Uhr daran, das Playstation Network wieder online zu schalten. Zuvor sollen aber zusätzliche Sicherheitsmaßnahmen zum Tragen kommen. Online-Spiele für die PS3 und PSP, Chats und das Abspielen von Filmen über das Netzwerk sollen dann wieder zur Verfügung stehen. Binnen eines Monats plane man alle Angebote wieder zu aktivieren, kündigte Sonys Vizepräsident Kazuo Hirai an.

Als Gegenleistung will man den kostenpflichtigen Playstation Plus Service und Music Unlimited für einen Monat gratis anbieten. Der Hack auf das Netzwerk, mit dem der japanische Hersteller jährlich 500 Millionen US-Dollar umsetzt, habe aber Auswirkungen auf die ganze Industrie. Bislang gebe es noch keine Hinweise darauf, dass Kreditkarten missbräuchlich benutzt wurden, die man dem Netzwerk entnahm. Rund zehn Millionen Kreditkarten sollen von dieser Gefahr betroffen sein.Wie bereits berichtet, wurde im US-Bundesstaat Kalifornien eine Sammelklage eingereicht. Auch erste Ermittlungen von Staatsanwälten in den USA und Großbritannien sollen angelaufen sein.

Das Komitee des amerikanischen Repräsentantenhauses für Energie und Handel schickte Sony ein Schreiben, mit dem man sich über die Hintergründe des Datendiebstahls informieren möchte. Bis zum 6. Mai müssen die rund 12 Fragen beantwortet werden. Auch die Regulierungsbehörde in Taiwan erkundigt sich über die Hintergründe des Datendiebstahls. Sony wird unter anderem gefragt, wie man die Kunden zu entschädigen gedenkt. Werden die Anfragen nicht pünktlich beantwortet, drohen dem Hersteller saftige Geldstrafen.

Quelle : www.gulli.com

[SiLæncer]

Weiterer Fall von Datenklau: Hacker sind nach Angaben des japanischen Elektronikkonzerns Sony beim Spielenetzwerk Sony Online Entertainment eingedrungen und sollen dabei auch Kreditkarteninformationen entwendet haben.

Wie Sony am Dienstag in Tokio mitteilte, wurden dabei möglicherweise persönliche Informationen von etwa 24,6 Millionen Nutzerkonten gestohlen. Dies sei bei einer Überprüfung am Montag (Ortszeit Tokio) festgestellt worden. Nach einem Hackerangriff vom 17. bis 19. April seien diesmal Internet-Piraten am 16. und 17. April bei Sony Online Entertainment (SOE) eingedrungen.
 
Von einem Einbruch in eine veraltete Datenbank aus dem Jahr 2007 könnten möglicherweise auch mehr als 10 000 Kunden in Deutschland, Österreich, den Niederlanden und Spanien betroffen sein, schrieb Sony in der Mitteilung.

Die im kalifornischen San Diego ansässige Sony Tochter Sony Online Entertainment hat nach Angaben des "Wall Street Journal" seine Dienstleistungen am Montag vorsorglich vom Netz genommen. Es gebe Anlass zur Besorgnis, dass sich ein Hacker Zugang unter anderem zu Namen, Geburtsdaten und Adressen von Nutzern verschafft haben könnte. Das "Wall Street Journal" zitierte Sprecherin Michele Sturdivant mit den Worten: "Das ist kein zweiter Angriff".

Erst Ende April waren dem Playstation-Hersteller Sony Millionen von Nutzerdaten gestohlen worden. Als Reaktion darauf hatte das Unternehmen das PlayStation Network für Konsolenspieler sowie den Musik- und Videoservice Qriocity komplett abgeschaltet.

Bei PlayStation Network und Qriocity sind weltweit 77 Millionen Nutzerkonten registriert, davon 32 Millionen in Europa. Über das PlayStation-Netzwerk können Nutzer miteinander spielen, chatten und Filme ansehen. Unter dem Namen Qriocity vertreibt der Konzern Musik und Videos.

Quelle : www.digitalfernsehen.de

[ritschibie]

Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) hat den japanischen Konzern Sony aufgefordert, die Datenpannen so schnell wie möglich aufzuklären. Leutheusser-Schnarrenberger hatte am Dienstag bereits gegenüber heise online von Apple gefordert, den Ortungsdaten-Fehler zügig zu beheben.

"Es ist beunruhigend, dass Sony nur wenige Tage, nachdem einer der größten Datenskandale der Geschichte bekannt geworden ist, bereits die nächste schwere Panne einräumen muss", sagte Leutheusser-Schnarrenberger dem Handelsblatt. Sony müsse vor allem erklären, wie derartige Pannen zukünftig verhindert werden sollen, forderte die FDP-Politikerin. Sensible persönliche Daten müssten gesichert und vor dem Zugriff Dritter geschützt werden.

Sony hatte am Dienstag bekannt gegeben, dass nicht nur Daten aus dem PlayStation-Netz und dem Dienst Qriocity entwendet wurden, sondern auch aus dem PC-Spieledienst Sony Online Entertainment. Hierauf sowie auch auf die Affäre um Lokalisierungsdaten, die auf Apples iOS-Geräten gespeichert werden, ging auch die EU-Justizkommissarin Viviane Reding am Dienstag in einer Rede ein. Laut einem Bericht der Finanznachrichtenagentur Bloomberg sagte sie, die beiden Unternehmen hätten das Vertrauen der Menschen in die Technik geschwächt. Dieses Vertrauen müssten Sony und Apple nun wieder stärken, indem sie technisch und organisatorisch dafür sorgten, dass die Sicherheit der Daten garantiert sei. Reding monierte, dass Sony sieben Tage gebraucht habe, um seine Kunden über das Datenleck zu informieren.

Eine Gruppe von Datenschutzbeauftragten aus den 27 EU-Mitgliedsstaaten erwäge mögliche Aktionen gegen Sony, heißt es laut Bloomberg. Der US-amerikanische demokratische Senator Richard Blumenthal hat sich laut einem Blogeintrag der New York Times in einem zweiten Brief an Sony empört darüber gezeigt, dass die Nutzer der Sony-Dienste über die Datenlecks einige Zeit im Unklaren gelassen wurden.

Nach den Worten von Leutheusser-Scharrenberger zeigen die Datenpannen bei Sony, Apple und der Unesco – dort waren Daten von Bewerbern im Internet frei zugänglich – erneut, dass man die drängenden Probleme beim Datenschutz nicht mehr auf die lange Bank schieben könne. Um solche Datenskandale künftig zu verhindern, solle die geplante Stiftung Datenschutz vorangetrieben werden. "Die Stiftung Datenschutz setzt bei der Datenschutzfreundlichkeit der Unternehmen und öffentlichen Stellen an und zertifiziert sie entsprechend", so die Justizministerin. Die Unternehmen würden mehr auf Datenschutz und -sicherheit achten, wenn sie durch eine Herabstufung beim Datenschutzsiegel massive Einbußen bei den Kundenzahlen und beim Renommee fürchten müssen.

Quelle: www.heise.de

[SiLæncer]

Nach dem Diebstahl von Kundendaten lenkt Sony den Verdacht auf die Hacker-Gruppe Anonymous. Die Angreifer hätten auf den Servern ein Dokument namens "Anonymous" hinterlassen, mit dem Text "Wir sind Legion", berichtete Sony in einer Antwort auf Fragen von US-Abgeordneten. Die Hacker-Gruppe hatte bereits vor zehn Tagen eine Beteiligung an dem Einbruch zurückgewiesen. Sie schloss dabei jedoch nicht aus, dass einzelne Mitglieder der lose aufgebauten Vereinigung auf eigene Faust agiert haben könnten.

Die Angreifer hatten sich Zugriff auf die Informationen von mehr als 100 Millionen Kunden von Sonys Online-Diensten verschafft. Möglicherweise sind auch Informationen zu mehr als zwölf Millionen Kreditkarten und einigen tausend Bankkonten darunter.

Sony verwies in dem in der Nacht zum Donnerstag veröffentlichten Brief darauf, dass Anonymous schon vorher versucht habe, dem Konzern das Leben mit DDoS-Attacken (Distributed Denial of Service) schwer zu machen. Die Anonymous-Gruppe war vor einigen Monaten mit solchen Attacken gegen große Unternehmen in die Schlagzeilen gekommen. Damals griffen die Online-Aktivisten Finanzfirmen und Internetdienstleister an, die ihre Geschäftsbeziehungen zur Enthüllungsplattform Wikileaks aufgekündigt hatten.

Konkrete Verdächtige in Sachen Datendiebstahl seien bisher nicht ausgemacht worden, räumte Sony in dem Brief an die US-Abgeordneten ein. Sony veröffentlichte das Schreiben in einer Zusammenfassung in einem Firmenblog und eine Abbildung der einzelnen Seiten auf der Fotoplattform Flickr.

Sony muss sich jetzt auch Fragen des New Yorker Staatsanwalts Eric Schneiderman zum Schutz der Nutzerdaten stellen. In Hacker-Foren war laut Medienberichten behauptet worden, die Schutzmechanismen in Sonys Online-Diensten seien veraltet und schwach gewesen. Zuvor hatten bereits Bundesjustizministerin Sabine Leutheusser-Schnarrenberger und die EU-Justizkommissarin Viviane Reding mehr Datenschutz bei Sony angemahnt.

Deutsche Online-Nutzer werden offenbar vom Datendiebstahl bei Sony kaum vom Einkauf im Internet abgehalten. In einer Umfrage im Auftrag von dpa sagten 4 Prozent, dass sie als Konsequenz aus dem Vorfall gänzlich auf Einkäufe im Netz verzichten werden. 84 Prozent antworteten mit einem klaren Nein. 23 Prozent sagten in der repräsentativen Befragung des Kölner Meinungsforschungsinstituts YouGov, dass er sich jetzt unsicherer bei der Nutzung von Online-Diensten fühle.

Gut jeder Fünfte (21 Prozent) kündigte in einer weiteren Frage allerdings auch an, nach dem Datenklau die Einkäufe im Internet einzuschränken. 61 Prozent wollen dies nicht tun. In der Pflicht, für mehr Sicherheit zu sorgen, sahen mehr 94 Prozent der Befragten die Betreiber der Online-Dienste, 73 Prozent erwarten dies auch von der Regierung. YouGov befragte für die Erhebung 1020 Personen im Alter über 16 Jahren.

Quelle : www.heise.de

[SiLæncer]

Die Hacker, die den Einbruch ins Netzwerk von Sony durchgeführt haben, hinterließen dabei eine Datei, die sie als Mitglieder von Anonymous ausweist. Bislang hatte sich das lose Netzwerk von Netzaktivisten strikt von diesem Hack distanziert. Ein Sprecher der Vereinigung hat jetzt im Rahmen eines Interviews Stellung zu den Anschuldigungen bezogen. Die Datei sei noch kein Beweis für eine Beteiligung.

Die Hacker von Sonys Netzwerken haben absichtlich eine "Kreditkarte" hinterlassen, die sie als Mitglieder von Anonymus ausweist. In der Textdatei wurde der Slogan des Netzwerkes: "We Are Legion" vermerkt. In einem Interview beim SC magazine sagte ein Sprecher der Aktivisten, dass man sich in der Datei auch als Kongressmitglieder hätte ausweisen können. Das alleine wäre noch kein Beweis für ihre Schuld. Hätten sie die Kreditkarten tatsächlich in einem Forum verkaufen wollen, wäre ihnen das FBI längst auf die Schliche gekommen, so der Sprecher weiter. Er vermutet Cyberkriminelle aus Osteuropa hinter dem Angriff. "Jeder intelligente Dieb hätte ein derartiges Dokument hinterlassen, um von sich selbst abzulenken." Anonymous zeichne sich lediglich für die DDoS-Angriffe auf Sony verantwortlich. "Wir werden von zahlreichen Richtungen unter Druck gesetzt von Personen, die unseren Namen in den Dreck ziehen wollen", so der Sprecher.

Einerseits würde der Vereinigung eine derart kriminelle Handlung nicht ähnlich sehen. Das Netzwerk zu beschuldigen wäre in der Tat ein cleveres Ablenkungsmanöver, um von der eigenen Person abzulenken. Andererseits wird dort niemand die Hand für alle beteiligten Personen ins Feuer legen können. Die Organisation hat nie versucht ausfindig zu machen, wer sie alles bei ihren Aktionen unterstützt hat. Möglicherweise befand sich jemand im weiteren Umfeld mit dem nötigen Wissen und genügend krimineller Energie, um diesen Hack durchzuführen. Für Sony sind mit diesem Hinweis ehedem keine ihrer Probleme gelöst. Lediglich mit dem Finger auf diese Gruppierung zu zeigen wird dem japanischen Unternehmen wenig nützen.

Quelle : www.gulli.com

[SiLæncer]

Laut einem Bericht der CNet-Reporterin Erica Ogg wird am Wochenende ein weiterer Angriff auf die Server des Elektronikherstellers Sony durchgeführt. Die Hacker planen die Veröffentlichung sämtlicher Daten, die dabei entwendet werden können.

CNet beruft sich in dem Bericht auf eine Quelle, die in einem Internet Relay Chat (IRC) Zeuge eines Gesprächs unter Hackern wurde, die einen Angriff auf die Sony-Server für dieses Wochenende geplant haben. Bereits jetzt sollen sie Zugriff auf Server des Unternehmens haben. Zahlreiche persönliche Informationen, darunter Namen, Adressen und Kreditkartennummern, könnten öffentlich verfügbar gemacht werden, heißt es seitens der Quelle.

Sollten sie Erfolg haben, wäre dies ein weiterer Rückschlag für Sony, nachdem man versprochen hatte, die Sicherheit den eigenen Systeme deutlich zu verbessern. Dazu zog man sogar in ein neues Rechenzentrum um, das umfassendere Sicherheitsmaßnahmen bietet. Zum Ende dieser Woche hat Sony den Relaunch seiner Online-Dienste Playstation Network (PSN) und Qriocity angekündigt, die seit Bekanntwerden des Einbruchs offline sind. Bislang ist nicht bekannt, ob dieser Termin eingehalten werden kann.

Der Diebstahl von über 75 Millionen Kundendaten sorgte dafür, dass zahlreiche Stellen Untersuchungen einleiteten. Dazu gehören das FBI, das US-Justizministerium, die Generalstaatsanwaltschaft von New York sowie Datenschutzeinrichtungen in Großbritannien, Kanada und Taiwan. Auch Klagen von Privatpersonen könnten den weltbekannten Elektronikhersteller in Schwierigkeiten bringen.

Noch ist nicht bekannt, wer für die zurückliegenden Angriffe auf Sony durchgeführt hat. In einem Bericht an den US-Kongress hatte der Unternehmenschef Kazuo Hirai erklärt, dass nicht ausgeschlossen werden kann, dass das Aktionsnetzwerk Anonymous dafür verantwortlich ist. Man fand eine Textdatei mit dem Namen "Anonymous", die mit einem Motto der Gruppierung gefüllt war. Allerdings weisen die Köpfe hinter Anonymous jede Schuld von sich.

Ob die drohende Gefahr eines weiteren Angriffs die Pläne, die betroffenen Netzwerke zum Wochenende wieder online gehen zu lassen, beeinträchtigen, wollte Sony auf Nachfrage nicht mitteilen. Den letzten Einbruch und den damit verbundenen Datendiebstahl hatte das Unternehmen erst einige Tage nach der Durchführung bemerkt.

Quelle : http://winfuture.de

[SiLæncer]

Nach dem Einbruch in Sonys Playstaton Network (PSN) und dem Diebstahl zahlreicher Kunden-Datensätze muss sich Sony massive Kritik an seiner Sicherheitspolitik gefallen lassen. In einer offiziellen Anhörung zu diesem Vorfall warf der Sicherheitsforscher Professor Dr. Eugene H. Spa?ord von der Purdue University Sony Nachlässigkeit vor und machte Vorschläge zur Verhinderung ähnlicher Angriffe.

Die Anhörung fand am vergangenen Mittwoch vor dem zuständigen Ausschuss des US-Kongresses statt. Sony selbst schickte keinen Vertreter. Man hatte zwar Kooperation mit den Ermittlern zugesichert, entschuldigte sich aber mit der Begründung, man sei derzeit noch mit eigenen, internen Ermittlungen beschäftigt, von der Anhörung. Dafür wurden andere Experten gehört. Unter anderem machte der IT-Sicherheitsexperte Dr. Eugene Spa?ord eine umfangreiche Aussage zur Sicherheit sensibler Kundendaten im PSN. Seine Schlussfolgerungen waren wenig schmeichelhaft für Sony.

Spafford hat nach eigenen Angaben über 30 Jahre im Bereich der IT- und Daten-Sicherheit gearbeitet. Momentan lehrt er an der Purdue University und steht dem dortigen "Center for Education and Research in Information Assurance and Security" (CERIAS) vor. Daneben beriet er mehrere amerikanische Regierungsbehörden, darunter das FBI, die Air Force und die NSA, in Sicherheitsfragen. Vor diesem Hintergrund wurde Spafford als Experte für IT-Sicherheit zu der Anhörung über die Vorgänge um das PSN geladen.

Allgemein, so Spafford in seiner Aussage, seien Datenverluste sowohl in der öffentlichen Wahrnehmung als auch real ein wachsendes Problem. Immer mehr Unternehmen würden vertrauliche Kundendaten sammeln. Diese seien jedoch oft nur unzureichend abgesichert. Somit käme es durch Unachtsamkeit oder kriminelle Aktivitäten immer wieder zu unautorisierten Zugriffen auf sensible Daten. An dieser Stelle gab der Professor für die Anwesenden einen kurzen Überblick über gängige Taktiken Cyberkrimineller. Auch über Möglichkeiten, aus den erbeuteten Daten Profit zu schlagen, ging Spafford ein. Er nannte unter anderem Identitätsdiebstahl, Stalking, gezielte Social-Engineering-Angriffe ("Spear Phishing"), Erpressung und Betrug als mögliche Probleme.

Spafford nannte außerdem verschiedene Strategien, die seiner Meinung nach Verluste wichtiger Kundendaten in Zukunft eindämmen könnten. So sollten Unternehmen gesetzlich verpflichtet werden, Datenschutz-Vorfälle zu melden und die Betroffenen gegebenenfalls zu entschädigen. Unternehmen, die mit sensiblen Kundendaten hantieren, sollen eine Reihe zusätzlicher Datenschutz-Regeln umsetzen sowie Vorgaben in Bezug auf Sicherheits-Standards - beispielsweise die Aktualität von verwendeter Software - einhalten. Auch in den Bereichen IT-Forensik, Sicherheits-Audits, Sicherheitsforschung und Ausbildung von Fachkräften müsse investiert werden. All diese Vorschriften, so Spafford, müssten für private Unternehmen ebenso wie für staatliche Behörden gelten.

Neben diesen allgemeinen Ausführungen machte Spafford auch konkrete Aussagen zur Sicherheitspolitik Sonys. Diese werfen kein gutes Licht auf das Unternehmen. "Auf einigen der Sicherheits-Mailing-Lists die ich lese, gab es Diskussionen, dass Personen, die im Sicherheitsbereich arbeiten und am Sony-Netzwerk teilnehmen… herausgefunden hatten, dass die Server auf… sehr alten Versionen der Apache-Software gehostet wurden, die nicht gepatcht waren und keine Firewall installiert hatten," berichtete der Sicherheitsexperte, "Diese waren potentiell anfällig, und sie hatten sie in einem öffentlichen Forem gemeldet, das von Sony-Mitarbeitern betreut wurde, aber keine Antwort und keine Veränderung oder Aktualisierung der Software beobachtet." Diese Vorkommnisse seien etwa zwei bis drei Monate vor dem nun erfolgten Einbruch gewesen, so Spafford. In einer schriftlichen Stellungnahme erklärte Spafford, er wisse nicht genau, welche Sicherheitsmaßnahmen Sony im PSN verwendet habe. Es habe aber vertrauenswürdige Berichte gegeben, dass diese angesichts der großen Mengen dort gespeicherter sensibler Kundendaten unzureichend und äußerst veraltet seien. Sony sei über dieses Probem informiert gewesen, habe aber nicht zeitnah reagiert.

Sony selbst nahm zu diesen Vorwürfen bislang nicht Stellung. Derweil ist nach wie vor unklar, wer für den Einbruch verantwortlich ist. Das Internet-Kollektiv Anonymous wird von einigen Seiten immer wieder beschuldigt, für den Einbruch verantwortlich zu sein, da man vor dem Vorfall mit Sony im Streit lag und zudem eine Datei namens "Anoymous" auf einem der kompromittierten Systeme gefunden wurde. Beweiskraft haben diese Umstände natürlich nicht, und Anonymous streitet eine Beteiligung nach wie vor ab. Ebenso ist unklar, was mit den entwendeten Daten geschehen ist und wofür diese womöglich genutzt werden. Möglicherweise betroffene Kunden haben also nach wie vor keinerlei Gewissheit, was mit ihren Daten geschehen ist.

Derweil plant Sony eigenen Angaben zufolge, das PSN in Kürze wieder ans Netz zu bringen. Man führe derzeit einige finale Tests durch, teilte Sony in seinem Playstation Blog mit. "Dies ist ein wichtiger Schritt im Zuge der Wiederherstellung der Angebote von PlayStation Network und Qriocity", heißt es in dem Beitrag. Admins und Sicherheitsexperten hätten rund um die Uhr daran gearbeitet, Schwachstellen zu beheben und die Dienste wieder verfügbar zu machen.Zunächst sollen das Online-Gaming für die Playstation 3 und die Playstation Portable sowie der Musik-Dienst von Qriocity wieder verfügbar sein. Der Playstation Store und weitere Qriocity-Dienste werden erst im Laufe des Monats wieder benutzbar sein. Völlig unklar ist derzeit noch, wann die Dienste von Sony Online Entertainment (SOE) wieder angeboten werden können.

Ob Sonys angeblich runderneuerte Sicherheitsmaßnahmen standhalten, könnte sich unter Umständen schon bald zeigen. Das US-Magazin CNet behauptet, Sicherheitsexperten hätten in Chatrooms mitbekommen, dass eine Gruppe von Cyberkriminellen erneute Angriffe auf die Sony-Dienste ankündigte. Man behauptete, noch immer Zugriff auf einige Server zu haben. Sobald diese wieder online seien, werde man erneut zuschlagen. Sollte ihre Attacke erfolgreich sein, würden sie alle zugänglichen Informationen kopieren und im Internet veröffentlichen, sollen die betreffenden Personen angekündigt haben. Der Wahrheitsgehalt dieser Aussagen lässt sich allerdings kaum überprüfen.

[ Invalid YouTube link ]

Quelle : www.gulli.com

[SiLæncer]

Einige der beim Einbruch in Sonys "Playstation Network" (PSN) entwendeten Daten waren offenbar kurzzeitig im Internet verfügbar. Das teilte eine Sony-Sprecherin am heutigen Samstag mit. Mittlerweile konnte das Unternehmen nach eigenen Angaben die betroffenen Datensätze wieder aus dem Netz entfernen.

Insgesamt wurden durch den Angriff auf das PSN sowie das Online-Spiele-Angebot "Sony Online Entertainment" die Daten von rund 100.000 Sony-Kunden kompromittiert. Veröffentlicht wurde allerdings nur ein Bruchteil dieser Menge, nämlich rund 2500 Datensätze. Teilweise waren Namen und Adressen von Betroffenen in den Datensätzen enthalten. Die Daten stammten nach Angaben der Sony-Sprecherin aus einer 2001 angelegten Datenbanken und wurden mittlerweile auf Veranlassung des Konzerns wieder aus dem Netz entfernt. Angesichts der Natur des Internet ist es allerdings nicht auszuschließen, dass die Daten vor der Löschung kopiert wurden und somit doch in falsche Hände gelangten.

Außerdem erklärte Sony, die Reaktivierung des PSN werde sich erneut verzögern. Am vergangenen Sonntag hatte Sony angekündigt, der Dienst werde innerhalb einer Woche wieder angeboten. Auch in den letzten Tagen hatte es geheißen, der Neustart stehe kurz bevor und man führe lediglich noch einige letzte Tests durch. Das erweist sich jedoch nun als zu optimistische Schätzung. Ob angebliche Drohungen, direkt nach der Reaktivierung einen erneuten Angriff durchzuführen, bei der Verzögerung eine Rolle spielen, kann nur spekuliert werden. Sicherheitsexperten hatten vor einigen Tagen behauptet, in Chatrooms entsprechende Ankündigungen mitgelesen zu haben. Ob es sich allerdings um leere Drohungen handelt oder ob die potentiellen Angreifer tatsächlich, wie von ihnen behauptet, noch immer gültige Zugangsdaten für PSN-Server besitzen, ist unklar.

Quelle : www.gulli.com