Erneute Sicherheitslücke bei Sony

Heute überschlugen sich schon wieder die Meldungen zum Playstation Network. Nach dem 4 Wochen andauernden Ausfall des Playstation Networks und dem zweitgrößten Datendiebstahl in der Geschichte, gibt es das nächste Chaos bei Sony. Trotz externer Sicherheitsfirma und erhöhtem Sicherheitsaufwand, sowie einer Verbesserung der Server, gibt es immer noch eine Sicherheitslücke, die bis zum jetzigen Zeitpunkt nicht aufgefallen ist und erst jetzt entdeckt wurde.

So hatten es Hacker extrem einfach Passwörter von fremden Accounts über die Internetseiten von Sony zu ändern. Dazu benötigten sie lediglich die E-Mail Adresse und das Geburtsdatum, die bei der Account Registrierung angegeben wurden. Bis auf weiteres wurden alle Playstation Seiten im World Wide Web abgeschalten und befinde sich im Zustand von Wartungsarbeiten. Ein Login über den PC ist aktuell nicht möglich.

Auch die Änderung des Passworts über den PC beziehungsweise E-Mail, die bei dem erstem einloggen ins PSN erfolgen muss, wurde bis auf weiteres ausgesetzt. Nutzer, die bis zum jetzigen Zeitpunkt keine E-Mail erhalten haben, müssen sich weiter gedulden.

Ich persönlich finde das ja eine weitere reife Leistung von Sony. Die Vetrauensbasis ist von meiner Seite aus komplett zerstört. Nachdem Sony alles schleifen lassen hat und nur auf Profit aus war, kann ich dem Konzern nichts mehr abgewinnen und werde ab der nächsten Konsolengeneration auf Microsoft umsteigen. Was haltet ihr von dem aktuellen Geschehen?

Erfreulich ist es natürlich nicht, dennoch reagiere ich nicht so extrem wie du. Mein Mann hat nie irgendwas in den ingame-Shops gekauft und somit sind nur wenige Daten von ihm verfügbar gewesen. Auch das ist ärgerlich, aber beim alltäglichen Surfgang hinterlasse ich viel mehr Spuren im WWW, über die ich mir mehr Gedanken mache. Das die Hacker eine weitere Eingriffsmöglichkeit gefunden haben zeigt nur, das eben niemand unfehlbar ist. Solche Lücken gibt es sicherlich bei nicht nur einer Firma - und gerade Hacker haben nun mal das "Bedürfnis" Lücken zu finden und zu nutzen.

AOL und weitere namhafte Firmen sind schon Opfer solcher Hackerangriffe geworden, das beweist nur, das eben nicht nur die Informatiker in den jeweiligen Betrieben findiger werden, sondern eben auch die dunkle Seite der Informatik (die zu großen Teilen auch oft ausgestiegen sind aus namhaften Firmen, mit dem Wissen von diversen Lücken). Und mit fortschreiten der diversen Computersprachen (von PHP 3 auf PHP 5 gings recht fix wie ich finde) werden eben auch Aushebelungsscripte geschrieben, mit denen niemand rechnen kann. Ein Risiko besteht immer, denn die Technik ist halt nicht rückschrittlich. Egal wie sicher du dich fühlst, du bist immer angreifbar, solange ein PC mit Internetanschluss bei dir steht - siehe Google. Die Sicherheitslücke im Smartphone ist meiner Meinung nach ebenso bedenklich. Deshalb zählt immernoch der eigene Schutz der Daten und eine verantwortungsbewusste Handhabe.

Rheanna hat geschrieben:Das die Hacker eine weitere Eingriffsmöglichkeit gefunden haben zeigt nur, das eben niemand unfehlbar ist. [...] werden eben auch Aushebelungsscripte geschrieben, mit denen niemand rechnen kann.

Das stimmt auf diesen Fall bezogen überhaupt nicht und ich werde dir auch gerne erklären wieso.

Portscans von Anfang April, also noch bevor der große Hack-Angriff auf die Sony-Server durchgeführt wurde, belegen eindeutig wie groß die Sicherheitslücken waren. Da wurde doch tatsächlich auf produktiven Sony-Servern ein 2,5 Jahre alter Apache Webserver betrieben, die Krönung aber ist ein fast 5 Jahre alter OpenSSH Shell-Server mit Sicherheitslücken die so groß sind wie ein Scheunentor. Und dabei handelt es sich nur um zwei der nachträglich veröffentlichten Schwachstellen, man kann aber davon ausgehen, dass da noch mehr faul war.

Selbst nahezu einen Monat nach dem großen Hack waren auf Sonys Servern noch weitere offensichtliche Schwachstellen vorhanden. Dies kannst du gerne in einem

n-tv Artikel zum Thema nachlesen.

Ja und was ist zuletzt passiert? Sony erlaubt sich den größten Fauxpas überhaupt. Obwohl sie sehr gut wissen, dass große Teile der entwendeten Kundendaten unverschlüsselt gespeichert waren, können die Sony-Techniker ihr Gehirn scheinbar nicht hochfahren und verwenden. Wer auch immer nun im Besitz der Millionen von Kundendaten ist, kann (beziehungsweise konnte) theoretisch alle Accounts hijacken, denn zur Passwortänderung reichte bereits die Kenntnis der EMail-Adresse und das Geburtsdatum eines Accounts. Bei beiden Daten handelt es sich um Informationen, die unverschlüsselt gespeichert sind. Das wäre ja alles kein Problem, wenn man die Änderung des Passwortes wenigstens per EMail bestätigen muss - aber denkste, bei Sony braucht man sowas nicht!

Ich bin nach dieser Reihe von Chaos-Meldungen über Sony mehr und mehr der Meinung, dass man die Samthandschuhe ausziehen soll, um die Sache so richtig anzupacken. Bisher hat lediglich die japanische Regierung vernünftig gehandelt, indem sie die Wiederaufnahme des PSN-Betriebs ausgesetzt haben, bis die System- und Accountsicherheit bestätigt werden kann - und es hat sich als richtiger Schritt erwiesen. Zwar ist, wie du schon richtig angedeutet hast, kein System unhackbar, allerdings muss man vom Betreiber erwarten können, dass er mit Hilfe der mehreren zugezogenen Sicherheitsfirmen ein Netzwerk hinbekommt, bei dem ein Einbruchsversuch wenigstens entdeckt wird. Na und was ist geschehen? Gar nichts, denn ein Nutzer musste das erst an Sony melden, bevor die überhaupt etwas gemerkt haben. Für mich bleibt also nur das Fazit, dass Sony aus ihren Fehlern aber auch gar nichts gelernt hat.

Übrigens sind es Kunden wie du, denen Unternehmen wie Sony auf der Nase herumtanzen wie es ihnen beliebt. Millionen von Kunden werden hier gerade verarscht und das schlimmste ist, dass du das gar nicht zu merken scheinst. Zwar erwarte ich beim Kauf eines Unterhaltungsgerätes wie der Playstation 3 nicht die höchsten möglichen Sicherheitsvorkehrungen, aber es hat sich im Laufe der Wochen gezeigt, dass es ein durchschnittlicher Informatikstudent nicht hätte schlechter machen können. Wie du für so eine Leistung auch noch Geduld und Verständnis aufbringen kannst, das verstehst wohl nur du. Ich meine das auch überhaupt nicht böse oder gar persönlich, hoffentlich nimmst du mir meine zugegebenermaßen etwas radikale Aussage daher nicht übel.

Übrigens sind es Kunden wie du, denen Unternehmen wie Sony auf der Nase herumtanzen wie es ihnen beliebt. Millionen von Kunden werden hier gerade verarscht und das schlimmste ist, dass du das gar nicht zu merken scheinst.

"Auf der Nase herumtanzen" ist meiner Ansicht nach etwas ganz anderes. Aber gut. Und nein, ich nehme dir das nicht böse, jeder hat seine Meinung. Natürlich ist es für all die Betroffenen ärgerlich, deren Daten nun in betrügerischen Händen liegen, dennoch bin ich der Meinung, dass es vermutlich bei vielen großen Firmen-Netzwerken schlecht bestellt ist um die Datensicherheit. Das nun ein Exempel an Sony statuiert wird, wird vielleicht auch andere Firmen animieren, ihr Sicherheitsnetzwerk zu überprüfen oder gar von Spezialisten "hacken" zu lassen, um zu sehen, wie weit man bei ihnen kommt.

Das hilft natürlich allen Betroffenen herzlich wenig, dennoch wurde es Zeit einige Menschen wachzurütteln, vielleicht nicht ihr halbes Leben im Netz preis zu geben. Das veraltete Software/Server/Scripte verwendet wurden, da gebe ich dir recht, ist ein Unding. Ist mir bisher nicht zugetragen worden. Für mich ist die PS3 nicht wichtig, mein Mann spielt seine paar Spiele (wie er es auch früher auf der PS2 getan hat) und wäre bei uns kein WLAN, dann wäre er bis heute nicht einmal damit online gewesen.

Erneute Sicherheitslücke bei Sony

Ähnliche Themen

Weitere interessante Themen

Neue aber noch unbeantwortete Themen

Aktuell 6 beste Themenschreiber der Woche