PlayStation Network Breach: Fakten und Gerüchte

PlayStation Network Breach

Fakten und Gerüchte

Stefan Friedli
von Stefan Friedli
Lesezeit: 7 Minuten

Playstation Network

Der Elektronikkonzern Sony informierte gestern Benutzer seiner Onlinedienste Playstation Network (PSN) und Qriocity per E-Mail über einen elektronischen Einbruch, der gemäss Aussagen der Firma zwischen dem 17. und dem 19. April stattfand. Auf dem Spiel stehen gemäss offiziellen Informationen des Herstellers die Benutzer- und Kreditkartendaten von rund 70 Millionen Kunden.

Sonys Pressesprecher Patrick Seybold sagte gestern in einem Blogpost, man habe eine externe Sicherheitsfirma mit der Investigation und Mitigation des Angriffs beauftragt und arbeite derzeit am Neuaufbau der Umgebung, die mittlerweile seit über einer Woche ausser Betrieb steht. Er äussert sich weiter zu den kompromittierten Daten:

Although we are still investigating the details of this incident, we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers may have been obtained. (Quelle: PlayStation Blog)

Seybold äusserte sich ausserdem zur möglichen Kompromittierung von Kreditkartendaten, die von Benutzern hinterlegt wurden, um Inhalte online zu erwerben:

While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained. (Quelle: PlayStation Blog)

Die bewusst vorsichtige Formulierung hier deutet klar darauf hin, dass eine vollständige Kompromittierung der Daten stattgefunden hat, die man aber aus PR-Gründen möglichst nicht bestätigen möchte. Kurz gesagt wurden sämtliche Daten, die der Benutzer bei der Anmeldung oder danach eingegeben hat – Name, Adresse, Geburtsdatum, Benutzername und Passwort sowie Kreditkartendaten – entwendet.

Allgemein lässt Sonys Krisenkommunikation in dieser Sache stark an der Integrität des Konzerns zweifeln: Während das Ausmass des Zwischenfalls erst gestern bekannt wurde, ist das PlayStation Network bereits seit einer guten Woche offline. Bereits am 22. April bestätigte Sony einen Zwischenfall ohne jedoch auf jegliche Details einzugehen. Während Sony seitdem konstant darauf pochte die Sache zu untersuchen, fühlten sich Kunden im Dunkeln gelassen und verschafften ihrem Unmut Luft über die Kommentarfunktion des Blogs.

Obwohl Sony zumindest bestätigt hat, dass eine Kompromittierung von Daten stattgefunden hat, bleiben die genauen Hintergründe bis dato unbekannt. Verschiedene Gerüchte ranken sich derzeit um die Gründe und die Folgen des Angriffs:

Custom Firmware (CFW) erlaubt Zugriff auf Developer Network Der Reddit User Chesh, angeblich ein Mitglieder von psx-scene.com – eine Seite, die sich mit dem Hacking von PlayStations beschäftigt – erklärte, dass der Zwischenfall aufgrund einer Schwachstelle der PS3 Firmware namens REBUG zustande kam, die es einem Benutzer erlaubte auf Developer Netzwerke zuzugreifen:

Rebug was released on 3/31/11. First guides of how to use the dev network to get back on COD games on 4/3/11. Word of NGU users finding a way to pirate PSN content via the dev networks on 4/7/11 (basing this on posts I had to delete on the website. Update: Users have pointed out to me that these posts existed on NGU as of 4/2/11). PSN goes down on 4/20/11 (Quelle: Reddit)

Die Erklärung impliziert ebenfalls, dass Sony innerhalb der Dev Netzwerkbereiche gewisse Daten nicht validierte. “Gewisse Daten” umfasst in diesem Fall Kreditkarteninformationen beim Kauf von Inhalten, was innert kürzester Zeit zu einem Anstieg von Raubkopien geführt hätte. Die Erklärung erscheint insofern schlüssig, als dass der potenzielle finanzielle Verlust durch die Verwandlung des PSN in einen kostenfreien Selbstbedienungsladen für Sony hier gross genug wäre, um eine Abschaltung über einen derart langen Zeitraum zu rechtfertigen.

Ausnutzung von Schwachstellen im Perimeter des PSN Network Nicht geklärt wird hier allerdings, wie es zum Einbruch kam, der einem Angreifer Zugriff auf die obengenannten Benutzerdaten gab. Eine Reihe von Chatlogs des Channels #ps3dev auf EFNET gibt Ansatzpunkte auf mögliche Schwachstellen in den eingesetzten Systemen (ungepatchte Apache-Webserver, etc.). Konkrete Informationen sind aber bislang nicht verfügbar, auch wenn entsprechende Recherchen mit grossem Elan vorangetrieben werden.

Flächendeckende Passwort Re-Use Attacken Wir empfehlen sämtlichen PSN Benutzern, gewisse Vorsichtsmassnahmen sobald wie möglich zu treffen. Die wichtigste Massnahme dürfte es sein, einen Passwortwechsel bei Diensten durchzuführen, bei denen das selbe Passwort wie im PlayStation Network genutzt wurde. HD Moore implizierte heute morgen in einem Tweet, dass grossangelegte Password-Reuse Attacken im Gange sind:

@hdmoore (HD Moore): Rumor is the Sony PSN account database is being used to crack the associated email accounts via password reuse (and they were cleartext). @stfn42 (Stefan Friedli): Which part is the rumor? The password reuse attack attempts, the fact they used cleartext password storage or both? @hdmoore (HD Moore): Both (sony hasn’t officially said clear-text, even if its implied), various firms dealing with wide-scale password reuse attempts.

Ebenfalls empfehlen wir, Kreditkartenabrechnungen sehr genau zu betrachten und bei verdächtigen Belastungen sofort mit dem ausstellenden Institut (Viseca/Swisscard/…) Kontakt aufzunehmen.

Das Incident Response Team der scip AG betrachtet die Entwicklung in dieser Sache aktiv und wird gegebenenfalls über neue Entwicklung berichten.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

×
TIBER-EU Framework

TIBER-EU Framework

Dominik Altermatt

Vertrauen und KI

Vertrauen und KI

Marisa Tschopp

Datenverschlüsselung in der Cloud

Datenverschlüsselung in der Cloud

Tomaso Vasella

Cyber Threat Intelligence

Cyber Threat Intelligence

Marc Ruef

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv