Playstation network wieder online,
Playstation network wieder gehackt.

Über zwei Wochen brauchte Sony, um seine auf unangenehme Weise festgestellten Sicherheitslücken zu schließen. Dann ging das Playstation Network wieder online, und man bat alle Nutzer, ihre Passwörter zu ändern. Dazu mussten sie ihr Geburtsdatum und ihre Emailadresse angeben.

Gut ist ja bekanntlich das Gegenteil von „gut gemeint“: Natürlich waren Emailadressen & Geburtsdaten der Nutzer in genau jenem Datensatz, der sich nun auch in den Händen der Angreifer befindet.

Diese Sicherheitskontrolle war also weitgehend sinnlos, denn die Angreifer können nun viele „ihrer“ über 70Mio. Passwörter bei Bedarf zurücksetzen.

Das Playstation Network ist (laut Spiegel) wieder offline (unsere Leser sagen etwas anderes), und man darf gespannt warten, was es beim nächsten Relaunch für tolle Gratis-Spiele gibt.

Update: Wie in den Kommentaren schnell angemerkt, wurde das PSN selbst nicht offline geschaltet, sondern die Web-Oberfläche zur Passwortänderung. Diese hatte auch als einzige das Sicherheitsproblem. Die Änderung des Passworts direkt am Gerät nutzt als Authentifizierung die DRM-Aktivierung des Geräts – und die ist sicher (warum wundert mich das jetzt nicht?).

Ansonsten hatte Sony wohl sogar einen CSRF-Token in den Zusammen mit der Aufforderung zur Passwortänderung verschickten Link eingebaut. Der hätte verhindern können, dass andere, als nur eigene Accounts zurücksetzen könnte, funktionierte aber nicht. Ansonsten illustriert der Ansatz aber auch sehr schön, warum es unklug ist, Emails unverschlüsselt zu senden.

22 Kommentare
    • Taskmanager 18. Mai 2011 @ 23:56
    • Luka Pavicevic 20. Mai 2011 @ 18:24
  1. Bananenaffe 19. Mai 2011 @ 0:54
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden