» »

Sony zavoljo varnosti primoran izključiti tudi SOE, ukradene nadaljnje številke kreditnih kartic

Fortune League je ena izmed iger za Facebook, ki za delovanje potrebuje SOE.

Fortune League je ena izmed iger za Facebook, ki za delovanje potrebuje SOE.

vir: BBC
BBC - V zanimivem obratu v razvoju sage o vdoru v Sonyjev igralni sistem in začasni ukinitvi PlayStation Networka (PSN) je Sony včeraj ugasnil tudi omrežje Sony Online Entertainment (SOE), koder se igrajo igre MMOG. Čeprav je Sony na začetku zatrjeval, da tečeta PSN in SOE na ločenih podsistemih, je včeraj igralce pričakalo obvestilo, da so pri preiskavi vdora v sistem odkrili težave, zaradi katerih so morali nemudoma prekiniti delovanje storitve.

Nekaj ur pozneje je Sony potrdil, da so bile pri napadu na SOE odtujene številke kreditnih kartic uporabnikov in datumi veljavnosti, ne pa tudi varnostne kode. Teh naj bi bilo 12.700, večinoma pa gre za uporabnike iz Evrope (zlasti Avstrijce, Nemce, Nizozemce in Špance) in Japonske. Medtem pa so bili izpostavljeni ostali osebni podatki (ime, naslov, elektronska pošta, telefon, uporabniško ime in geslo) vseh 24,6 milijona uporabnikov. Potrdili so še, da je napad na SOE del istega vdora, ki je prizadel tudi PSN, in ne ločena akcija.

Igre, kot sta DC Universe in Fortune League, sta zaradi tega nedosegljivi. Toda pomembnejša od nedosegljivosti nekaj iger je ugotovitev, da ima Sony večje težave, kot želijo sprva priznati. Če so najprej s težkim srcem razkrili, da je PSN nedosegljiv zaradi vdora, in kasneje, da so bili odtujeni osebni podatki 77 milijonov uporabnikov (ali so med njimi tudi številke kreditnih kartic, zaradi nasprotujočih si izjav ni mogoče zatrdno reči), je očitno vdor prizadel celoten Sonyjev ekosistem. Sony se napako in posledice gotovo trudi odpraviti po najboljših močeh, a podjetju gre zameriti mencanje pri objavi informacij, od kdaj, kako in kaj točno je prizadeto v vdoru.

Podrobnejše informacije o stanju SOE pričakujemo tekom dneva.

22 komentarjev

opeter ::

Recimo, če si kupoval v tuji PSN "trgovini", si itak moral podati lažni naslov. Tam pa, če nisi imel veljavno UK kreditno kartico itak nisi mogel nič kupiti. Edina opcija je bila nakup kartic s PSN točkami. Jaz sem tako kupil nekaj iger na PSN Store UK.
Hrabri mišek - www.dangermouse.org
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

jlpktnst ::

opeter je izjavil:

Recimo, če si kupoval v tuji PSN "trgovini", si itak moral podati lažni naslov. Tam pa, če nisi imel veljavno UK kreditno kartico itak nisi mogel nič kupiti. Edina opcija je bila nakup kartic s PSN točkami. Jaz sem tako kupil nekaj iger na PSN Store UK.


Hudič je da so odprli slovenski psn store pare mesecev nazaj :) Ravno toliko da so me dobili ...

opeter ::

Kako se sploh izjaviš in enega PSN Store in prijaviš v drugega?
Hrabri mišek - www.dangermouse.org
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

WamPIRe- ::

Bojda narediš več računov. UK, USA, Jap,... Tako lahko primerjaš, kjer je cena igre najnižja in pač kupiš tam ;)
Asus P8P67 | IntelŸ Core i7-2600K | Kingston HyperX DDR3 8GB
Cooler Master Silent Pro Gold 700W | GTX 660 Ti
SSD OCZ Vertex4 120GB | SSD OCZ Agility3 60GB | 2x SAMSUNG F3 1TB | WD640AAKS

HardFu ::

Za popiz*it, pa ravno med prazniki, ko sem lahko malce vec igral Demon's Souls pa PSN ne dela.
http://codeable.io

3furious ::

Tu je imel Sony srečo, ukradene kartice so bile iz stare baze iz leta 2007, tako da jih je večina že potekla.
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell

BALAST ::

Kaj res vse verjamete?

kamiKaZaA ::

Največja dilema je okoli varnostne kode (CVV številke), ali so le te bile shranjene ali niso. Logično bi bilo, da niso, kajti tudi druge strani je ne sharnjujejo in je potrbno pri vsakem nakupu, pa čeprav je št. kartice shranjena, to CVV št. ponovno vpisati.

Torej, brez CVV št. je kartica neuporabna. Sedaj pa komu verjeti? Sony-ju, ki se dela deloma nevednega in ne posreduje točnih podatkov, ali forumu, kjer so objavili prodajo 2,2 milijona kartic. Dejstvo je, da noben nebo kupil kartice, brez CVV št. Hmmm:|

Glavno vprašanje sedaj: Ali tisti, ki so vdrli imajo naše CVV št. ali pa ne.

Je pa še eno dejstvo, lahko, da so pri vdoru nastavili kakšen spyware s trackeri, keylog-om,... in potem, ko se prijaviš in si naložiš denar na PSN, potem takem pa imajo definitvno vse podatke, ki jih potrebujejo. Zato jaz osebno več kartice ne uporabim na PSN in bom moral odpret UK račun in na njem kupovati s pre-paid karticami, če še sploh bom kaj kupil. In pa zaenkrat še nisem preklical kartice. Čakam na uradno poročilo o CVV številkah oz. CVC2 varnostni kodi.

8-O

Blisk ::

Kadar Sony teži, zaradi P2P nelegalnega prenašanja kopij, je cela štala.
Zdaj je čas, da uporabniki naredijo štalo Sonyu!

Lakotnik29 ::

Na sonyev sistem ravno dvomim, da so namestili trojance, ki bodo čakali, da se uporabniki ponovno prijavijo. Bo pa seveda treba resitirat popolnoma vsa gesla. Še najbolj so ga najebal itisti ,ki imajo enako geslo za PSN in tudi email. Tukaj je lahko prišlo do resnega problema. Sam imam uporaben email strogo ločen od tega, ki ga uproabljam za forume, online trgovine, MMORG in podobno.

CVV številke se ne bi smele shranjevat. Če so se je to velika neumnost in odgovornost sonyja o čemer bo odgovrjal tudi pred izdajalci kartic kot so MC, viza in podobno. Kot je meni znano je specifično predpisano, da se CVV številke preverjajo sprotno. Torej ko vpišeše kartico sistem preveri če CVV deluje in je to to. CVV tako deluje praktičn o kot pin, ki g aje potrbno vpisat pri vsaki tranzakciji.

Jaz tukaj bolj verjemem sonyju, ker če bi se res preprodajalo 2.2 miliona kreditnih kartic, bi imeli v tem trenutku 2.2 miliona ljudi, ki so jim zlorabili kartico. O dejanskih zlorabah pa ni ne duha ne sluha. glede na to da je od udora minilo že dva tedna , bi bilo logično, da bi se zlorabe zgodile, če bi se lahko. Namreč kreditne se izkoristi takoj ko je mogoče, ker se ta kozmanjša možnost, da se nadzira kreditno oziroma, da jo uporabnik blokira.

galu ::

Nikoli več ne kupim Sonyeve stvari, ki ima kakršnokoli vezo z medmrežjem.
Tako to gre.

Padawan ::

kamiKaZaA je izjavil:

Največja dilema je okoli varnostne kode (CVV številke), ali so le te bile shranjene ali niso. Logično bi bilo, da niso, kajti tudi druge strani je ne sharnjujejo in je potrbno pri vsakem nakupu, pa čeprav je št. kartice shranjena, to CVV št. ponovno vpisati.

Je pa še eno dejstvo, lahko, da so pri vdoru nastavili kakšen spyware s trackeri, keylog-om,... in potem, ko se prijaviš in si naložiš denar na PSN, potem takem pa imajo definitvno vse podatke, ki jih potrebujejo. Zato jaz osebno več kartice ne uporabim na PSN in bom moral odpret UK račun in na njem kupovati s pre-paid karticami, če še sploh bom kaj kupil. In pa zaenkrat še nisem preklical kartice. Čakam na uradno poročilo o CVV številkah oz. CVC2 varnostni kodi.

8-O

To je tehnično gledano verjetno zelo res, ampak če si kdaj nakupoval preko PSN-ja veš, da CVV številk ni potrebno potrjevati za vsak nakup posebej. Verjetno je kje nastavitev, da si tega PSN ne zapomni, pa marsikateri uporabnik tega ni prebral in spremenil (no, marsikateri == jaz, v tem primeru). Predvsem, ker v Švici ne moreš izbrati angleščine, pa sem pač izbral, kar so mi ponujali. A j**i ga zdaj. Tudi jaz čakam na več info, in tudi jaz bom (najverjetneje) delal preko pre-paid kartic.

Samo v paypal še naj vderejo :D

Padawan.

kamiKaZaA ::

Padawan je izjavil:

kamiKaZaA je izjavil:



8-O

To je tehnično gledano verjetno zelo res, ampak če si kdaj nakupoval preko PSN-ja veš, da CVV številk ni potrebno potrjevati za vsak nakup posebej. Verjetno je kje nastavitev, da si tega PSN ne zapomni, pa marsikateri uporabnik tega ni prebral in spremenil (no, marsikateri == jaz, v tem primeru).
Samo v paypal še naj vderejo :D

Padawan.


To me najbolj skrbi. Kajti res je, da sem pozabil, če sem moral vpisati pri ponovnem nakazilu CVV ali pa je bilo vse avtomatizirano. Dejstvo pa je, kot sam trdiš in tudi logično, če ni bilo ponovnega zahtevka za CVV številko, potem ni druge kot, da je shranjena 8-O In, če je to res, potem je Sony naredil največjo napako v zgodovini online nakupovanja. Kot sem že v prvem komentarju napisal, CVV nebi smeli shranjevat, kajti večina strani jih ne in dosedaj kjer koli sem delal nakup, če me spomin ne vara, sem vedno znova vpisoval CVV, št. kartice pa je bila shranjena. Izjema so e-stave :D, kjer sem vedno znova vse vpisoval. Je pa res, da nalagam denar na stavnice z višjimi kvotami, torej skoraj nikoli ne na e-stave 8-)

Če to potrdijo, (shranjena CVV) potem pa res moraš preklicati kartico in si dati delat novo.

Sicer pa sem še pozabil dopisat. Če kolikor toliko razumem poslovanje s plačilnimi karticami preko spleta (MasterCard, Visa, Diners, American,..., spletna stran vidi tvojo št. kartice, pri samem nakupu, pa se preslika na neko varno povezavo, v tem primeru strežnik MasterCard-a, kjer ti vpišeš CVV št. in potem dobi prodajalec povratno informacijo, da se podatki (št. kartice in CVV, ter še dobi podatke lastnika kartice) ujemajo in tako se potem opravi nakup. Torej niti sam prodajalec naj nebi videl tvoje CVV št., da nebi prišlo do zlorab.

Kot ta primer:
Odprem internetno trgovino, kjer prodajam žvečilne. Se prijavijo uporabniki, ki potem kupujejo moje izdelke, jaz imam posledično vpogled v vse podatke, ime, priimek,... št. kartice, CVV,... in potem odprem neko drugo trgovino, kjer prodajam neke storitve in si s temi vsemi št. kartic izpraznim vsem svojim strankam račune, zaprem dol firmo in molim, da me ne dobijo.

Torej ravno zaradi, takih banalnih primerov menim, da noben nima vpogleda v CVV številko in da se vse to opravlja v neki preslikani strani, torej povezava na strežnik od izdajatelja kartic.

No to si jaz mislim, lahko pa da res nimam pojma, kako plačila delujejo, zato, ta moj zadnji komentar vzemite z rezervo in za točnost bi morali povprašati nekoga, ki se na te reči res spozna

Zgodovina sprememb…

Gregor P ::

Ali ne shranjuje te CVV št. npr. tudi Amazon oz. ali se ne uporablja ta št. zgolj za preverbo kartice, za nadaljnje transakcije z istim podjetjem, pa jo več ne potrebuješ (kar bi pomenilo, da se v bistvu ne shrani, če jo potrebuješ zgolj prvič)?
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

Sokrates ::

Kolikor vem se za Viso vse transakcije itd preslikajo na Holandijo, ker ima tam verjetno Visa EU sedež in potemtakem tudi varnostne serverje itd za ostale je pa tudi verjetno nekaj podobnega.
LP
Baracuda

RockyS ::

Včerajšni email iz Sonya

Customers outside the United States should be advised that we further discovered evidence that information from an outdated database from 2007 containing approximately 12,700 non-US customer credit or debit card numbers and expiration dates (but not credit card security codes)


There is no evidence that our main credit card database was compromised. It is in a completely separate and secured environment.


Torej CVV so shranjevali. 8-O

techfreak :) ::

Kje to piše?

gendale ::

haha, sramota za sony
seznam zanč moderatorjev in razlogov da so zanč
http://pastebin.com/QiWny5dV
gor je mavrik apple uporabniček (mali možgani in mali penis)

Gregor P ::

Torej če sem sedaj prav razumel, se ta CVV koda ne shranjuje
Since the CSC may not be stored by the merchant for any length of time (after the original transaction in which the CSC was quoted and then authorized and completed), a merchant who needs to regularly bill a card for a regular subscription would not be able to provide the code after the initial transaction.

It is not mandatory for a merchant to require the security code for making a transaction, hence the card is still prone to fraud even if only its number is known to phishers.

... torej se jo zgolj uporabi prvič, da se preveri istovetnost lastnika kartice in za nadaljne transakcije ni več potrebna (konec koncev imaš odprt tvoj račun pri podjetju in gredo vsi nadaljni nakupi preko tega računa; torej že vedo, da je kartica tvoja) ...
Supplying the CSC code in a transaction is intended to verify that the customer has the card in their possession. Knowledge of the code proves that the customer has seen the card, or has seen a record made by somebody who saw the card.


... sem prav razumel?:8)
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

RockyS ::

techfreak :) je izjavil:

Kje to piše?


V tistem boldanem texu, kjer piše da CVV kod niso ukradli. Stvar mora obstajat, da obstaja možnost da jo nekdo ukrade. Torej?

Gregor P je izjavil:

Torej če sem sedaj prav razumel, se ta CVV koda ne shranjuje
Since the CSC may not be stored by the merchant for any length of time (after the original transaction in which the CSC was quoted and then authorized and completed), a merchant who needs to regularly bill a card for a regular subscription would not be able to provide the code after the initial transaction.

It is not mandatory for a merchant to require the security code for making a transaction, hence the card is still prone to fraud even if only its number is known to phishers.

... torej se jo zgolj uporabi prvič, da se preveri istovetnost lastnika kartice in za nadaljne transakcije ni več potrebna (konec koncev imaš odprt tvoj račun pri podjetju in gredo vsi nadaljni nakupi preko tega računa; torej že vedo, da je kartica tvoja) ...
Supplying the CSC code in a transaction is intended to verify that the customer has the card in their possession. Knowledge of the code proves that the customer has seen the card, or has seen a record made by somebody who saw the card.


... sem prav razumel?:8)


Za prvi del nevem, ampak boldano mi ne gre v glavo... če mi zdaj Kevin Mitnick pošlje številko,datum in CVV je to vse kar rabim da opravim transakcijo, pa kartice nimam v posesti, niti nimajo dokaza da je resnično moja.

Gregor P ::

... saj zato pa lahko pride do prevare, če nekomu nespametno posreduješ prav vse tvoje podatke, vključno s to kodo (kar mimogrede tudi piše na tej wiki strani) ... in pa zakaj (verodostojna) podjetja to isto kodo ne smejo shranjevati (k temu se tudi pogodbeno zavežejo) ...
The main failure in computers is usually located between keyboard and chair.
You read what you believe and you believe what you read ...
Nisam čit'o, ali osudjujem (nisem bral, a obsojam).

Zgodovina sprememb…

  • spremenil: Gregor P ()

3furious ::

Na enem od SOE strežnikov so našli datoteko z imenom "Anonymous" in besedilom "We are Legion."

Drugače pa je na PS Blogu bil objavljen Sonyjev odgovor Ameriški vladi (House of Representatives)
Celotno pismo je tu.
"Journalism is printing what someone else does not want printed.
Everything else is public relations." George Orwell


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sony ni pričal pred Kongresom, uradno mnenje IP

Oddelek: Novice / Varnost
132415 (1148) 3furious
»

Sony PlayStation Network nazaj prihodnji teden, številke kreditnih kartic so bile šif

Oddelek: Novice / Zasebnost
496308 (4968) opeter
»

Sony PSN nazaj ta teden, verjetno odtujene številke kreditnih kartic

Oddelek: Novice / Varnost
133583 (2743) Lakotnik29
»

PlayStation Network še vedno izključen, vložena tožba zoper Sony

Oddelek: Novice / Varnost
304326 (2551) XsenO
»

Izguba osebnih podatkov s PlayStation Network je realnost

Oddelek: Novice / Omrežja / internet
355322 (2600) 3furious

Več podobnih tem