Sony Online Entertainment ebenfalls angegriffen

Es reisst für Sony nicht ab. Ges­tern muss­te der Kon­zern zuge­ben, dass auch in die Ser­ver von Sony Online Enter­tain­ment ein­ge­bro­chen wor­den ist, dort wur­den noch­mals ca. 26 Mil­lio­nen Kun­den­da­ten abge­grif­fen. Das ist ins­be­son­de­re eine schlech­te Nach­richt für Fans von MMOs, denn über SOE wer­den bei­spiels­wei­se Spie­le wie EVERQUEST oder PIRATES OF THE BURNING SEA abge­wi­ckelt. Sony stellt für die­se MMOs eine Kon­to­ver­wal­tungs- und Log­in-Infra­struk­tur bereit.

Das bedeu­tet im Klar­text: man kann sich so lan­ge nicht in die­se Spie­le ein­log­gen und sie ver­trags­ge­mäß nut­zen, bis die von Sony beauf­trag­te Sicher­heits­fir­ma ihre Arbeit been­det hat und die Ser­ver wie­der frei­ge­ge­ben werden.

Damit gehö­re ich dann eben­falls »end­lich« zu den Betrof­fe­nen, denn auch ich habe mich via SOE für MMOs ange­mel­det (in klu­ger Vor­aus­sicht mit so wenig preis­ge­ge­be­nen Daten wie nur mög­lich) und mei­ne Daten sind damit im Umlauf. Glück­li­cher­wei­se waren mei­ne Anga­ben zur Adres­se falsch. Inter­es­sie­ren wür­de mich aller­dings, wie mich Sony dafür ent­schä­di­gen möch­te, dass ich die Spie­le nicht nut­zen kann.

Erneut muss man Sony zudem eine mise­ra­ble Infor­ma­ti­ons­po­li­tik vor­wer­fen, denn eben­so wie man sich beim Play­sta­ti­on Net­work eine Woche Zeit ließ, die Kun­den zu infor­mie­ren, war­te­te man auch in Sachen SOE erst­mal ab, statt wie es erfor­der­lich gewe­sen wäre, die Kun­den sofort über den Daten­klau zu informieren.

Auf der SOE-Sei­te schreibt man (Her­vor­he­bung von mir):

Sony nimmt Daten­schutz sehr ernst und wird wei­ter dar­an arbei­ten, zusätz­li­che Maß­nah­men ins Leben zu rufen, die Ihre per­sön­li­chen Daten schüt­zen. Unse­ren Kun­den eine qua­li­ta­tiv hoch­wer­ti­ge und siche­re Umge­bung zu bie­ten ist unse­re höchs­te Prio­ri­tät. Bit­te kon­tak­tie­ren Sie uns bei wei­te­ren Fra­gen unter +49 180 500 7774 (Mon­tag bis Frei­tag zwi­schen 16:00 bis 20:30 Uhr und 21:30 und 24 Uhr).

Soso, man nimmt Daten­schutz sehr ernst. Gestat­tet, dass ich lache. Kun­den­schutz offen­sicht­lich nicht, denn die genann­te Hot­line-Num­mer ist kos­ten­pflich­tig, ohne dass die Kos­ten genannt wer­den, wie es in Deutsch­land per Gesetz vor­ge­schrie­ben ist (übri­gens möch­te Sony dafür von den betrof­fe­nen Anru­fern offen­sicht­lich noch­mal 14 Cent pro Minu­te abzo­cken, unver­schäm­ter kann´s kaum noch wer­den). Wird dadurch nicht wirk­lich bes­ser, Sony…

[Edit:] Zum The­ma: Digi­ta­le Gesell­schaft – »Ver­stö­ße gegen Daten­schutz müs­sen weh tun!« 

Sony-Logo: Copy­right Sony, Jol­ly Roger: Public Domain

Playstation-Network: Angreifer klaut Kundendaten

Als ich ges­tern vom Super-GAU sprach, war das nicht über­trie­ben. Sony hat heu­te im Play­sta­ti­on Blog end­lich die Kat­ze aus dem Sack gelas­sen, dass unbe­kann­te Angrei­fer ins Play­sta­ti­on-Net­work ein­ge­drun­gen sind und dort die Daten von unge­fähr 70 Mil­lio­nen Kun­den geklaut haben. Ob auch Kre­dit­kar­ten­da­ten dar­un­ter sind, dar­über »ist man sich nicht sicher«, aber allein die­se vor­sich­ti­ge For­mu­lie­rung zeigt deut­lich, dass dem so sein dürf­te. Unter den geklau­ten Daten befin­den sich auch Name, Anschrift,  Geburts­da­tum, Kauf­his­to­rie sowie Log-in und Pass­wort und offen­bar auch die Sicher­heits­fra­ge, die eine Pass­wort­wie­der­her­stel­lung ermög­licht, wenn man es ver­ges­sen hat.

Das ist arg, man muss sich vor allem fra­gen, war­um die Daten offen­sicht­lich nicht in einer ver­schlüs­sel­ten Form vor­la­gen, bzw. war­um eine vor­han­de­ne Ver­schlüs­se­lung schein­bar so leicht durch einen (oder meh­re­re) Angrei­fer aus­ge­he­belt wer­den konnte?

Sony emp­fiehlt nun sei­nen Kun­den, ihre Kon­ten sorg­sam zu über­wa­chen – na toll… Es bleibt zu prü­fen, ob bei uner­laub­ten Zugrif­fen auf­grund der mög­li­cher­wei­se min­der­wer­ti­gen Sicher­heits­maß­nah­men des Kon­zerns hier Scha­dens­er­satz­for­de­run­gen sei­tens der Kun­den mög­lich sind. Ich gehe davon aus, dass dem so sein dürf­te. Wohl dem, der mit Pre­paid­kar­ten agiert hat.

Erneut zeigt sich nach dem Root­kit-Desas­ter, dass der Mega­kon­zern es mit dem Daten­schutz und den Kun­den­rech­ten nicht all­zu ernst zu neh­men scheint. Man fokus­siert sei­ne Auf­merk­sam­keit wohl lie­ber dar­auf, mit aller Macht und nicht eben gerin­gem finan­zi­el­len Auf­wand Per­so­nen zu ver­fol­gen, die ein ent­fern­tes Fea­ture der Play­sta­ti­on wie­der­her­stel­len wol­len. Das Geld wäre in die Sicher­heit des PSN offen­sich­lich bes­ser inves­tiert gewe­sen, gel­le Sony?

Wann das PSN den Kun­den wie­der zur Ver­fü­gung ste­hen wird ist unge­wiss, denn dar­über schweigt man sich nach wie vor aus.

Bild: PS3, aus der Wiki­pe­dia – mit einem Loch (Public Domain) ange­rei­chert von mir