Sony PlayStation Network gekraakt via oud lek

Het PlayStation Network van Sony is gekraakt via een bekende kwetsbaarheid, biecht het bedrijf nu op. Van 77 miljoen klanten is privédata gestolen. Zij krijgen een goedmakertje aangeboden.

Sony-cio Shinji Hasejima vertelt dat de cyberinbrekers zijn binnengekomen via een bekend lek in de webapplicatieserver die het Japanse bedrijf gebruikt voor het PlayStation Network (PSN). Hij onthult niet welke software, en versie, dat dan is. Sony zegt dat geheim te houden omdat anders andere gebruikers kwetsbaar kunnen zijn. De privédata van ruim 77 miljoen PSN-klanten is gestolen, waaronder mogelijk ook creditcardgegevens.

PSN-infiltratie

De hackers hebben eigen software uitgevoerd op de applicatieserver, die achter de eigenlijke webserver en twee firewalls staat, verklaart de cio op een persconferentie. De aanvankelijke aanval was vermomd als een aanschaf van content op PSN. Daardoor sloegen de securitysystemen van Sony geen alarm.

Via de kwetsbaarheid in de applicatieserver is software geïnjecteerd die zich toegang heeft verschaft tot de databaseserver. Die stond weer achter een derde firewall, legt de Sony-cio uit. “Het was een erg geavanceerde techniek die gebruikt is om toegang te krijgen tot onze systemen”, zegt Hasejima. Hij biecht nog op dat Sony zelf niet op de hoogte was van de kwetsbaarheid.

Het bedrijf stelt nu wel een chief security officer (cs) aan. Verder voert het diverse aanpassingen door in zijn infrastructuur. Daaronder bevinden zich ook geautomatiseerde monitoring-systemen, die ongebruikelijke activiteiten moeten detecteren en daarvoor moeten waarschuwen. Dit suggereert dat de bewaking van de online-diensten en achterliggende systemen tot op heden – al dan niet deels – handmatig gebeurde.

‘Slechts 10 miljoen’

Topmensen van Sony vertellen ook dat er bij de cyberinbraak hooguit van 10 miljoen klanten creditcarddata is buitgemaakt. Het gekraakte bedrijf benadrukt dat de creditcarddata is versleuteld, maar geeft geen details over de sterkte van de gebruikte encryptie. De dieven kunnen die gegevens proberen te ontcijferen, met een brute force-aanval waarvoor genoeg goedkope middelen voorhanden zijn.

De overige gebruikersinformatie die is gestolen, was niet versleuteld. Dit omvat: NAW-gegevens (naam, adres, woonplaats), land, e-mailadres, geboortedatum, gebruikersnamen en wachtwoorden voor PSN en Sony’s muziekdienst Qruicity. Het is mogelijk om daarmee phishing-aanvallen te ondernemen, maar ook om bij andere online-diensten identiteitsfraude te plegen.

Compensatie

Getroffen gebruikers krijgen van Sony compensatie. Het bedrijf belooft om kosten te vergoeden voor het aanvragen van nieuwe creditcards. Verder krijgen klanten een maand lang gratis toegang tot de PSN Plus-dienst en een maand gratis toegang tot streaming muziekdienst Qriocity.

PSN Plus is de upsell van de reguliere PlayStation-dienst, en geeft gebruikers onder meer kortingen op aankopen en toegang tot bèta’s van games. Al betalende gebruikers krijgen een maand extra. Daarnaast komt Sony nog met gratis downloads, hoewel nog onbekend is of dat volledige en recente (triple A-)games zijn of bijvoorbeeld proeflevels, of oudere dan wel kleine, goedkopere (indie-)games.

Overeind krabbelen

Sony heeft na het ontdekken van de vergaande cyberinbraak zijn online-diensten zelf geheel offline gehaald. De buitenwereld is echter pas een week later geïnformeerd over wat er eigenlijk aan de hand was. Een deel van de offline gehaalde diensten komt in de loop van deze week weer online. Gebruikers krijgen bij hun eerste bezoek meteen het verzoek om de wachtwoorden voor hun accounts te wijzigen.

Sony's stilzwijgen over de cyberinbraak en de afhandeling nu levert het bedrijf veel kritiek op, onder meer met deze cartoon.

Bron: Webwereld.nl

Deel dit artikel
Voeg toe aan favorieten