Datenschutz

Playstation network wieder online,
Playstation network wieder gehackt.

Über zwei Wochen brauchte Sony, um seine auf unangenehme Weise festgestellten Sicherheitslücken zu schließen. Dann ging das Playstation Network wieder online, und man bat alle Nutzer, ihre Passwörter zu ändern. Dazu mussten sie ihr Geburtsdatum und ihre Emailadresse angeben.


Netzpolitik.org ist unabhängig, werbefrei und fast vollständig durch unsere Leserinnen und Leser finanziert.

Gut ist ja bekanntlich das Gegenteil von „gut gemeint“: Natürlich waren Emailadressen & Geburtsdaten der Nutzer in genau jenem Datensatz, der sich nun auch in den Händen der Angreifer befindet.

Diese Sicherheitskontrolle war also weitgehend sinnlos, denn die Angreifer können nun viele „ihrer“ über 70Mio. Passwörter bei Bedarf zurücksetzen.

Das Playstation Network ist (laut Spiegel) wieder offline (unsere Leser sagen etwas anderes), und man darf gespannt warten, was es beim nächsten Relaunch für tolle Gratis-Spiele gibt.

Update: Wie in den Kommentaren schnell angemerkt, wurde das PSN selbst nicht offline geschaltet, sondern die Web-Oberfläche zur Passwortänderung. Diese hatte auch als einzige das Sicherheitsproblem. Die Änderung des Passworts direkt am Gerät nutzt als Authentifizierung die DRM-Aktivierung des Geräts – und die ist sicher (warum wundert mich das jetzt nicht?).

Ansonsten hatte Sony wohl sogar einen CSRF-Token in den Zusammen mit der Aufforderung zur Passwortänderung verschickten Link eingebaut. Der hätte verhindern können, dass andere, als nur eigene Accounts zurücksetzen könnte, funktionierte aber nicht. Ansonsten illustriert der Ansatz aber auch sehr schön, warum es unklug ist, Emails unverschlüsselt zu senden.

Weitersagen und Unterstützen. Danke!
29 Kommentare
      1. Ich weiß nicht, was an der PS3 scheiße sein soll. Hatte bisher noch nie Probleme mit ihr und macht alles was ich brauche ohne Probleme (Bluray, Musik, Spiele). Aber liegt vllt. auch daran, dass ich das PSN nicht nutze, weil ich für online Spiele den PC habe.

      2. Warum den? Wegen der fehlenden Bluray? Den lustigen disc wechseln?
        dem Bezahal xlive account? Wirklich fantastische Features.

        Ich kann die schadenfreude nicht verstehen die in den Kommentaren oder dem Artikel durchdringt. Den selben mist kann xbox genauso passieren.

      3. Ist es aber nicht =) und von daher PSN is a awesome feature…
        Sony 2.0 now without creepy hackz0rs –wait woot? :P

        so genug der Trolls…Es is aber leider Realität das es Sony passiert ist…einem Multimillionen Unternehmen, so ein Faux pas darf keines falls zu irgendeiner zeit passieren – jede unzulässlichkeit ist somit auf die Entwickler zurückzuführen…

        (Und einer Konsole die mit einem Taschenrechner Hackbar ist vertrau ich eh nicht meine Daten an xD)

  1. Kann man sich da eigentlich ganz löschen lassen? Habe da die Tage nix gefunden.

    Muss Sony eigentlich darüber Auskunft geben welche Daten gespeichert waren/sind und auf welche Zugriff erlangt wurde?

    1. Ja, muss man. Die Datenschutzgesetze hier in Deutschland bestimmen bzw. geben vor, dass man auf Wunsch seine gespeicherte Daten jederzeit einsehen darf. Eine Lücke im Gesetz gibt es trotzdem (wie auch überall woanders). Wenn der Aufentwand zu groß ist, sodass es sich nicht lohnen würde oder irgendwas mit Geld in Verbindung gezogen wird, müssen die das nicht.

      Löschen lassen glaub ich geht nicht. Genauso wie bei XBOX Live. Man kann jedoch sein Account ‚ungültig‘ machen, in dem man all seine Daten auf irgendwelchen Mist abändert und alles löscht, was man löschen kann. Zum Beispiel die Einzugsermächtigung vom Konto oder Kreditkarte.

  2. Also dass das Playstation Network wieder offline sein soll, kann ich nicht bestätigen…

    Genauso ist es falsch, dass jeder User Geburtsdatum und E-Mailadresse zur Passwortänderung angeben musste. Dies war nur für diejenigen Nutzer der Fall, welche das Passwort über das Web und nicht über die Konsole ändern wollten. Das ändert natürlich nichts an der Sicherheitslücke, ist aber ein Fehler im Artikel…

  3. „Sony hat nun auch Informationen zum Entschädigungspaket veröffentlicht, das all jene erhalten die am 20. April bereits einen PSN-Account hatten und das Innerhalb von 30 Tagen ab dem Beginn des Programms eingelöst werden kann. Im PlayStation Store können sich Besitzer einer PlayStation 3 mit PSN-Account zwei der folgenden Spiele aussuchen:

    LittleBigPlanet
    Infamous*
    Wipeout HD/Fury
    Ratchet and Clank: Quest for Booty
    Dead Nation*

    *In Deutschland durch Super Stardust HD und Hustle Kings ersetzt.

    Besitzer eines Accounts für die PSP können sich zwei der folgenden Spiele aussuchen:

    LittleBigPlanet PSP
    ModNation PSP
    Pursuit Force*
    Killzone Liberation*

    *In Deutschland durch Everybody’s Golf 2 und Buzz Junior Jungle Party.

    Zusätzlich erhalten alle ohne Mitgliedschaft für PlayStation Plus eine 30-tägige kostenlose Mitgliedschaft. Wer bereits Mitglied ist, erhält sogar 60 Tage kostenlose Mitgliedschaft. Abonnenten von Music Unlimited erhalten ebenfalls 30 Tage kostenlose Mitgliedschaft. Weitere Details sind im offiziellen PSN-Blog nachzulesen.“
    via http://www.computerbase.de/news/consumer-electronics/konsolen/sony/2011/mai/neustart-des-playstation-networks-eingeleitet/#update1

    1. Verstehe ich nicht ganz also Was wird jetzt durch Sup Stardust HD und Hustle kings ersetzt bedeutet das in deuschland können wir nicht z.B Infamous und Dead Nation Ausfählen ?

  4. Nunja, zusätzlich zu E-Mail und Benutzernamen braucht man (ich gestern) natürlich auch Zugang zum E-Mail Account. Wer das selbe Passwort für den PSN Zugang UND den E-Mail Account benutzt, und das nach dem Rummel der letzten 4 Wochen nicht geändert hat, …. .

  5. Das Network ist nicht down, nurder Store ist noch nicht erreichbar, dieser wurde aber auch noch nicht aufgeschaltet. Ausserdem musste ich beim ändern des Passwortes KEINE Mail-Adresse angeben!

    Ansonsten natürlich eine traurige Geschichte, da macht man sich als PS3-Nutzer schon seine Gedanken :(

  6. Es ist falsch, dass man an der Konsole sein Geburtsdatum zur Änderung des Passwortes angeben muss. Zumal die Änderung des Passwortes erst nach einem Firmwareupdate an der Konsole möglich war, somit geht die Meldung leider in eine falsche Richtung.
    Allerdings ist die PSN-Webseite von dem Problem betroffen und man hat dort die Reißleine gezogen.

    Mir kommt dieser Beitrag wie ein polemischer Auftritt zu mutwilligen Kolportierung vor. Das ist gefährliches Halbwissen, welches mit ein, zwei Googlesuchen hätte richtig formuliert werden können…

  7. ich finde das nicht so lustig da ich endlich in den scheiss store will und meine dynasty warriors klamotten laden will xD wisst ihr wie schlimm es ist wenn ein Mädchen nur eine Klamotte bei den Leuten aussuchen kann? T_T

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.