Medienberichten zufolge, etwa auf Golem, könnte das Playstation Network aktuell von einer Sicherheitslücke betroffen sein, die potentiellen Angreifern Zugriff auf die Kundendatenbanken erlauben könnte. Mittels eines sogenannten SQL-Injection-Angriffs können entsprechende Datenbankbefehle in den betroffenen Dienst eingeschleust werden. Heise.de konnte die Lücke in eigenen Versuchen nachvollziehen, weist aber darauf hin, dass nicht klar sei, welche Informationen genau die kompromittierte Datenbank enthält. Ob PSN-Konten tatsächlich bedroht sind oder waren, und falls ja, in welchen Territorien, ist aktuell unklar.
Berichten zufolge soll Sony offenbar bereits vor mehr als zwei Wochen von dem IT-Sicherheitsexperten Aria Akhavan über die Lücke informiert worden sein, sie aber bislang nicht geschlossen haben. Medienanfragen hierzu wurden zudem bislang nicht beantwortet, wie Heise weiter angibt.
GamersGlobal hat am Donnerstag und nun wieder am heutigen Montag mit Vertretern von Sony Computer Entertainment Deutschland über das Thema gesprochen, aber keine zitierfähigen Informationen erhalten. Die offizielle Stellungnahme ist bis auf weiteres, dass man den Vorfall ernst nehme und untersuche.
2011 war das Playstation Network Ziel eines massiven Hackerangriffs. Damals gelang es 77 Millionen Account-Daten zu stehlen. Darunter befanden sich nicht nur Zugriffs- und Adressdaten, sondern auch Kreditkarteninformationen vieler Betroffener (wir berichteten). Es stellte sich im Nachhinein heraus, dass die Daten unzureichend in unverschlüsselten Dateien gespeichert wurden. Infolge des Hacks blieb das PSN über einen Monat offline. Sony betonte in der Folgezeit, alles für die Sicherheit der Nutzerdaten zu tun, wie uns etwa der damalige SCEE-Chef Andrew House seinerzeit im Interview versicherte.
109 Kudos
Unabhängig. Meinungsstark.
freue mich auf die Spiele! :)
EDIT: Eben eine Mail von Sony bekommen, um mein Passwort zu ändern!? Hmmm...
Ich habe weder auf PS3 noch auf PS4 eine Mail bekommen, um das Passwort zu ändern? Phishingmail, die die News ausnutzen?
Wenn das stimmen sollte, sorry dann ist das unter aller Sau.
Na lohnt sich ja jetzt auch wieder... jetzt haben sie auch die Nutzerdaten vieler X-Box 360 Nutzer ;).
For the Players.
Sony offenbar unfähig hab ich zu erst gelesen aber passt ja auch^^
Nein, bloß nicht auf den IT-Sicherheitsexperten hören! Denken die Sony Typen, dass der die nur verarscht oder was? Bei so einer Inkompetenz wird man richtig sauer.
Versteh ich nicht. Da werden sie noch darauf hingewiesen, aber unternehmen einfach nichts und reagieren nicht einmal auf Anfragen. Ok ich weiss jetzt nicht, wie eine SQL-Injection funktioniert und wie einfach/schwer es ist so eine auszuführen, aber diese Untätigkeit von Sony finde ich als PS4-Besitzer unschön. Hoffe Sony lässt sich meine Daten nicht nochmal klauen.
Erstens ist das ziemlich normal das Firmen auf Sicherheitslücken hingewiesen werden und diese ignoriert werden.
Zweitens ist eine SQL Injection relativ einfach zu verhindern (Prepared Statements).
SQL erlaubt es Abfragen auf eine Datenbank zu machen, oder aber Daten einzufügen, ändern oder zu löschen.
Ein Beispiel:
Wir haben in der Datenbank eine Tabelle "Nutzer":
name | password | information_xy
-----|----------|---------------
a | 123456 | ...
b | xyz | ...
c | password | ...
... | ... | ...
Dann kann man alle Namen in der Tabelle mit einem SQL Befehl auslesen:
"SELECT name FROM Nutzer"
Wenn ein Nutzer sich nun versucht anzumelden würde der Nutzer seinen Namen und Password in ein Formular eintragen und der Server würde dann den folgenden SQL Befehl ausführen um den entsprechenden Nutzer zu finden:
"SELECT * FROM Nutzer
WHERE name = 'formular_name' AND password = 'formular_password'"
Wenn kein Ergebnis zurück kommt, ist der die Kombination aus Nutzer und Password nicht in der Datenbank vorhanden und der Anmeldeversuch ist gescheitert.
============================================
Wenn die Daten die der Nutzer in das Formular einträgt, einfach genutzt werden ohne diese zuvor zu überprüfen kann der Nutzer
eine SQL Injection ausführen. Dies bedeutet ganz einfach das der Nutzer zum Beispiel folgendes als Nutzernamen einträgt:
'; DROP DATABASE; --
Dies würde aus
"SELECT * FROM Nutzer
WHERE name = 'formular_name' AND password = 'formular_password'"
dies machen:
"SELECT * FROM Nutzer
WHERE name = ''; DROP DATABASE; -- AND password = 'formular_password'"
Welches im Endefekt zwei Befehle sind:
"SELECT * FROM Nutzer WHERE name = '';"
"DROP DATABASE; -- AND password = 'formular_password'"
Der erste ist eine Abfrage nach einem Nutzer ohne Namen, der zweite Befehl würde die ganze Datenbank löschen. Alles nach -- ist nun ein Kommentar und wird ignoriert.
Anstatt die Datenbank zu löschen, könnte der Angreifer aber auch versuchen sich als Admin an dem System einzulogen, indem er folgendes als Namen eingibt:
"admin'; --"
=> "SELECT * FROM Nutzer WHERE name = 'admin' -- AND password = 'formular_password'"
Welches einen Nutzer mit dem Namen admin zurück gibt.
==============================================
Prepared Statements sind eine einfach Möglichkeit dies zu verhindern. Man schickt der Datenbank als erstes eine Abfrage mit Platzhaltern:
"SELECT * FROM Nutzer WHERE name = ? AND password = ?"
Und schickt ihm danach die passenden Werte. Dadurch ist der Datenbank klar was Werte und was SQL code ist.
Wenn es nur so einfach wäre... Schau dir mal den aktuellen Drupal-Hack an.
Ja, der war auch selten dämlich.
Denn wenn man den Query String so bauen muss (da gebundene Parameter nicht funktionieren), sollte man schon mehr als doppelt aufpassen.
SQL-Injection heisst in der Regel einfach, das vom Benutzer irgendwo auf der Website eingegebene Daten ohne Prüfung an die Datenbank übergeben werden. Da SQL-Abfragen a) menschenlesbar und b) auch mehrere Anweisungen hintereinander, getrennt durch ein Trennzeichen, ausführen können steht dir so der komplette Teil der Datenbank offen, auf den auch die Website Zugriff hat - du musst nur die erste Abfrage beenden und dann deine eigene hinten dran hängen - ganz einfach und in aller Kürze ausgedrückt.
Alles was weiter geht ist dann eine Frage der Serverkonfiguration - je nach Datenbank bzw. der Rechte des Users, in dessen Namen die DB läuft erhältst du auf diesem Wege auch die Möglichkeit, ins Dateisystem zu schreiben oder daraus zu lesen (und auch irgendwelche Rootkits oder dergleichen auf dem Server platzieren, über die du dann Vollzugriff auf den Server hast), darf der Datenbankaccount mit dem du zugreifst eventuell mehr Datenbanken lesen kommst du natürlich auch an diese ran und kannst dir eigene Datenbanken anlegen oder Userrechte verändern (wenn man wieder jemand so schlau war, wegen Faulheit die Webanwendung über einen root-account auf die DB zugreifen zu lassen, z.B.
Das ist - muss ich fairerweise zugeben - jetzt das Worst-Case-Szenario, dass schon einiges an Ignoranz beim Setup des Webservers verlangt - was nicht heisst, dass es nicht häufiger vorkommt als einem lieb ist. So eine bekannte Lücke bestehen zu lassen, wenn sie mal öffentlich bekannt ist - das ist indes einfach nur Dummheit und pure Ignoranz, weil dann kann sie wirklich jedes übel riechende Scriptkiddie, das gern Hacker wäre, ausnutzen.
Ein Angriff per SQL-Injection sollte für jemanden, der weiß was er tut, ne relativ einfache Sache sein. Wenn man weiß, an welcher Stelle Eingaben ungeprüft an die Datenbank weitergeleitet werden (in diesem Fall handelt es sich um Parameter in einer URL), schickt man einfach beliebige Anfragen an die Datenbank und holt sich das raus, was man gerne haben möchte. Es stellt sich natürlich die Frage, welche Datenbank man da genau abfragt und welche Daten dort gespeichert sind.
Das ärgerliche ist einfach, dass solche Angriffe in der Regel relativ einfach zu verhindern sind. Man darf halt Eingaben nicht ungeprüft an eine Datenbank weiterleiten. Das kann bei sehr komplexen Systemen lästig sein und viel Zeit in Anspruch nehmen (muss es aber auch nicht), aber eigentlich darf einem sowas heutzutage nichmehr passieren. Erst recht nicht, wenn man schonmal so krasse Probleme hatte, weil einem jemand die Datenbank leergeräumt hat.
Sony, kommt aus dem Schneckenhaus und sagt euren Kunden was Sache ist, ist wohl nicht zuviel verlangt, oder, Sony? Jemand da?
Läuft momentan echt nicht gut für Sonys Ansehen in informierten Gamerkreisen...
Hab da keine Kreditkartendaten hinterlegt, wenn überhaupt lade ich Guthaben per Guthabenkarte drauf. Mach ich auch bei Nintendo so, da kann nicht viel bei schiefgehen :)
Halt scheiße wenn man alles mit Kreditkarte zahlt *schulterzuck*
Ein kurzer Anruf, Karte gesperrt, Geld erstattet, falls schon was gebucht wurde. "Schulterzuck"
Bisher auch immer per Guthabenkarte bei Sony`s PSN und Microsoft XBL eingekauft. Meine KK-Daten will ich Sony und MS nicht geben und an dieser Einstellung wird sich auch in Zukunft nichts ändern.
Ich hatte bis zum ersten Leck auch meine KK bei Sony. Die Karten wurden dann von der Bank gesperrt und getauscht. Danach hatte ich beschlossen Sony bekommt keine Daten mehr von mir, war wohl die richtige Entscheidung.
Microsoft hat meine Daten auch, komischerweise macht mir das wenig Kopfzerbrechen. Aber ich melde mich wenn die NSA oder das FBI mal damit einkauft ^^ ;)
Könnte eventuell dazu führen, dass jetzt mehr Leute eine XBox One kaufen. Muss nicht unbedingt viel sicherer sein aber Leute, die sich nicht so auskennen und so etwas lesen, schwenken dann leichter um. Ungeschickt von Sony.
Zumal es nicht das erste mal ist.
Bisher scheint es aber keine großen Kreise zu ziehen, im Gegensatz zu dem DRM/Überwachungsskandal von MS vor einem Jahr.
Naja, die Seiten für Spieler halten sich relativ bedeckt zu dem Thema... spielt sicher auch eine Rolle, dass man bei einem Konzern wie Sony nicht unbedingt ungeprüft Behauptungen verbreiten will, wenn man mit denen noch künftig zusammenarbeitet...
Du sagst es mit dem Wort "ungeprüft". Sicherheitslücken bei Sony und Co. sind vermutlich nach iPhone-Berichterstattungen der Klickbringer für Tech-Sites, die Chance lässt sich da niemand entgehen. Wir wissen aktuell nicht, ob es Sicherheitslücken gibt, wie schwer diese sind oder was geklaut worden sein könnte oder bereits ist. Vielleicht will da auch nur ein IT-Sicherheitsexperte berühmt werden, lässt sich nicht ausschließen.
Wir können auch mangels näherer Infos vonseiten des Sicherheitsexperten (und ehrlich gesagt auch mangels technischen Wissens) nicht nachvollziehen, ob es diese Lücke wirklich gibt, und was in der Datenbank abgelegt ist. Dafür sind die zitierten Sites sicherlich die bessere Wahl.
Dass Sony bislang nur ein Blabla-Statement rausgibt, finde ich enttäuschend, aber der Grund dafür muss nicht zwangsläufig sein, dass man das Problem nicht ernst nimmt oder etwas zu vertuschen versucht.
Deshalb habe ich das Wort da eingefügt. Ich finde es grundsätzlich begrüßenswert, wenn Medien egal welcher Art nicht unreflektiert Behauptungen als absolute Wahrheit verkaufen. Auch der Hinweis auf Zusammenarbeit war kein Vorwurf.
Habe ich auch nicht so empfunden.
Umgekehrt ist die Entscheidung auch schwierig, nicht darüber zu berichten beziehungsweise, wie wir das jetzt getan haben, 2,5 Werktage mit der News zu warten (die es als Vorschlag seit Donnerstagmittag gibt), in der Hoffnung, solidere Infos zu bekommen.
"SQL-Injection-Angriffs"
So wurden die Daten damals auch abgeriffen.
2011 Hacker Offers Insight On Sony PSN Breach
http://www.infosecisland.com/blogview/13864-Hacker-Offers-Insight-On-Sony-PSN-Breach.html
2011 Hackers Attack Sony Pictures with Single SQL Injection
http://www.thewhir.com/web-hosting-news/hackers-attack-sony-pictures-with-single-sql-injection
Hallo.
Dann meld ich mich auch mal zu Wort. Die Lücke existiert und wurde oft genug bestaetigt (siehe heise/golem). Ich kann nicht nachvollziehen wie man dazu kommt zu sagen, dass es an Informationen mangelt wenn man die Person die Kenntnis darüber hat nicht kontaktiert. Meinen namen kann man googlen und findet dann zig seiten auf denen auch u.a. mein Facebook profil steht.
Gerne zeige ich auch noch einen PoC - jedoch werde ich dann bestimmte Teile schwaerzen um die Gefahr zu vermeiden, dass Daten geklaut werden, denn Stand Mo. 3. November 2014 13:08 ist die Lücke weiterhin offen.
Mit freundlichen Grüßen
Aria Akhavan
Youtubevideo und raus ins Netz damit. Wo ist das Problem? Dann kann es jeder zu 100% nachvollziehen, sony hat keine ausreden mehr und die Sache wär transparent.
Eben das genau bitte nicht. Mit unter macht er sich dann selbst strafbar.
Aber viel schlimmer sind dann die Kollateralschäden.
Was willst du den erreichen? Das Sony die Lücke fixt? Ja gut. Aber inwiefern hilft es nun Sony beim fixen der Lücke, wenn da nun noch zig andere Leute Daten raustragen?
Woher weißt du das Sony längst nicht dabei ist? Evtl. haben die noch viel mehr Lücken gefunden. Evtl. sogar ein Stich ins Wespennest?
Wir als Außenstehende können absolut nicht beurteilen was da gerade los ist.
Und jeder der ein bisschen moralisches/ethisches Empfinden hat wird deswegen nicht gleich zur "Full-Disclosure" greifen. Die bietet sich dann wenn Sony tatschlich nichts unternimmt und auch keinen Kontakt zum Finder sucht.
Aber ein paar Tage... Große Konzerne brauchen in der Regel 1-3 Wochen um bei sowas zu reagieren. Wenn hier schon nach 3 Tagen nach Selbstjustiz gerufen wird.. Man man man..
Die Lücke ist seit mittlerweile mehr als 2 Wochen bekannt und gemeldet, von nach 3 Tagen ist also nicht die Rede. Ansonsten stimme ich dir zu, da alle Details publik machen ist keine Lösung, allerdings stellt sich bei der momentanen offensichtlichen totstell-Politik von Sony schon die Frage, wie man als Kunde eine Reaktion auf sowas beschleunigen kann.
naja also das wort selbstjustitz passt in diesem zusammenhang mal überhaupt nicht. wenn sony das problem bekannt ist und sie wirklich interesse am schutz der user haben dann gäb es nur eine möglichkeit: server down und erst wieder hochfahren nachdem das problem gefixt ist. was hier läuft ist doch offensichtlich, man hofft darauf das man das problem im geheimen kämmerlein regeln kann und riskiert lieber die datensicherheit der user statt sich hinzustellen und offiziell nen fehler einzugestehen bzw. die server runterzufahren.
Server down wenn eine Sicherheitslücke bekannt ist?
Muahahar. Gut, dann könnte ich alle meiner 2.000 Server abschalten.
Da sind nämlich immer irgendwo Sicherheitspatches ausstehend...
also entweder du kennst dich mit dem thema aus (was du ja mit der angabe "deiner" 2.000 server behauptest) oder du kennst dich damit nicht aus dann entscheide dich aber auch für eine seite und argumentier auch so! es besteht ein riesen unterschied zwischen regulären sicherheitspatches (die bei solchen serverfarmen zur routiene gehören) und einer sicherheitslücke in diesem ausmass die auch noch im netz kursiert. natürlich ist es für ein so grosses unternehmen schwierig ein paar tage die server zu schliessen da es dann tausende leute gibt die ihre hassmails schreiben weil die dienste nicht verfühgbar sind. auf der anderen seite will ich nicht wissen was los ist wenn erneute gestohlene PS-datensätze im netz auftauchen. für mich wär die entscheidung klar!
Da stimme ich zu. Ich kann auch nicht tagesaktuell alles hinterher patchen aber wenn ich Kundendaten im Internet hängen habe und mich jemand warnt, dann ist die Datenbank wenige Sekunden nachdem ich das nachvollzogen habe (oder nachdem ich jemanden dafür bezahlt habe es nachzuvollziehen) Offline.
Alles andere ist in meinen Augen grob fahrlässig.
Von wegen "ein paar Tage", der "Finder" hat das schon vor 2 Wochen gemeldet. Und ja Sony hat bis jetzt nichts getan und auch offensichtlich keinen Kontakt zum Finder gesucht. Und auch nicht zu heise oder golem.
Stattdessen schweigen sie es tot und fixen es nicht mal. Ist schlicht nicht zu glauben.
Wenn du der zitierte Aria Akhavan bist, schick uns doch bitte eine E-Mail an unsere Admin-Adresse.
Es ist wirklich einfach unfassbar wie lernresistent Sony ist und damit ist es jetzt auch mit meiner Gutmütigkeit endgültig vorbei. Der erste PSN-Hack war schon eine Katastrophe, aber daraus nicht zu lernen und wieder eine so extrem bekannte Sicherheitslücke wie offen für SQL injections zu sein, zu haben, ist einfach nur grottig. Noch viel grottiger ist dann allerdings wie sie damit in der Öffentlichkeit umgehen. Die Hinweise ignorieren, keine auch nur ansatzweise brauchbaren Stellungnahmen und nach 2 Wochen die Lücke immer noch nicht zu fixen. Unfassbar!
Zusammen mit den Riesen-Problemen von Firmware 2.0 steht damit für mich fest, dass ich - anders als geplant - auch in den nächsten Jahren keine PS4 holen werde, bei der ich ja zwangsläufig einen PSN-Account bräuchte und den auch bezahlen müsste, um überhaupt Multiplayer spielen zu können und damit offensichtlich automatisch meine Daten der ganzen Welt direkt zur Verfügung stellen würde. Nee, Sony, wirklich nicht, irgendwann ist's auch mal gut.
Da mich die Xbox nicht interessiert, bleibt's dann halt bei PC und vielleicht WiiU.
Sony hat da eine lange Tradition im mangelhaften Umgang mit dem Kunden. Das ist der Grund, warum mir mittlerweile generell keine Sony Produkte mehr ins Haus kommen. Erinnert sich noch jemand an das mitgelieferte Rootkit in Sony Audio-CDs? Ich schon viele Jahre her, war aber für mich der erste Anlass den Kopf zu schütteln. Mist bauen und bloß nichts drüber sagen. Da kamen dann noch ein paar mehr, bis der große PSN Hack dann die Dimensionen gesprengt hat.
Die Daten waren schon eine Woche "außer Haus", da gab es überhaupt mal die erste Warnung, dass da was sein könnte. Jedes System kann geknackt werden, aber dann will ich wenigstens informiert werden. Tja, und die Details waren auch nur noch peinlich.
Jetzt haben wir wieder eine Meldung, die einfach zu gut ins Muster passt. So gut, dass man fast mit einer Verschwörung rechnen muss. Kann nicht sein, dass jemand so lernresistent ist. Tja, wohl doch.
Wieder mal.... Und die Lemminge machens einfach mit.....
Wieder mal.... Und ein unqualifizierter Kommentar mehr.
Vorausgesetzt ich verstehe Kanonengießers Kommentar richtig: So unqualifiziert ist der gar nicht. Darin steckt schon ein Brocken Wahrheit, wenn auch leicht überspitzt ausgedrückt.
Ja, ich frag mich auch, was das mit Lemmingen zu tun haben soll. Eine fundierte Äußerung diesbezüglich werden wir von ihm wohl nicht bekommen.
Damit kennst du dich ja bestens aus ;)
Werd jetzt nicht frech.
Ganz ehrlich, bei einer SQL Injection in der es um Kundendaten geht, sollte Sony den entsprechenden Teil zeitweise down nehmen und den fixen. Anders gehts nicht. Aber die gehen so mies mit euren Daten um, dass die Lücke einfach noch da ist und kein einziger fix da ist. Wäre ich ein user der private Daten dort hätte, wäre meine Klage mittlerweile auch nicht weit. Jedes Kind mit SQLmap kann hier mit dem richtigen Parameter die DB ziehen und evtl sogar schlimmeres. Responsible Disclosure - schön und gut - nur bis zu welchem Punkt sollen wir das tolerieren? Mehr als ein halbes Monat hatten die Zeit und es kam nichts. Denkt mal scharf darueber nach. Apropos - KK jetzt zu löschen bringt euch auch nichts mehr, die DB kann mittlerweile Weltweit im Umlauf sein.
Mit freundlichen Grüßen
Aria Akhavan
Und wie in der Vergangenheit scheint Sony wieder so lange die Klappe zu halten, bis die Presse ihnen Antworten vorgekaut abnötigt. Ich verstehe nicht wie man so wenig aus der eigenen Geschichte lernen kann. Nun ja, Du kannst eh nicht mehr machen als Deine Informationen mit gesundem Menschenverstand so zu dosieren, dass sich der Druck auf Sony und die Gefahr für den Kunden die Waage halten. Viel Glück dabei.
Ich danke dir, aber die werden es nie verstehen befürchte ich.
Den Eindruck kann man gewinnen. Genau wie den das die Daten einmal an einen Onlinedienstleister herausgegeben praktisch unschützbar sind.