PSN Datenklau

[Yat]

550 GB sind utopisch.

Meine Rechnung bezog sich auf eine Tabelle mit den Userdaten mit 8 Feldern a 255 (Name, Vorname, Adresse, Land, Geburtsdatum, Emailadresse,Id, Pwd) was ca 2 kb pro Datensatz entspricht.

Das war das was ursprünglich als gestohlen angegeben worden ist.

Wenn ich das mal die 75 Millionen Sätze nehme die gestohlen worden sind komme ich auf meine ca 150MB.

Da sind allerdings noch keine Transaktionen mit dabei weil nicht klar gewesen ist ob die wirklich gestohlen worden sind.

Die Informationen zu den Haushalten in unserer Datenbank sind wesentlich detailierter als das was Sony abhanden gekommen ist und wir haben mehr auch deutlich mehr "Transaktionen" pro Haushalt in der Woche als Sony pro Jahr. Trotzdem kommen wir auch nur auf "einige hundert" GB Daten für mehrere Jahre.

Lass es also von mir aus 1 GB sein inkl der Transaktionen, aber es waren sicherlich keine 550 GB.
  
Die Frage ist doch eigentlich nur wie es sein konnte das sie überhaupt an die Daten gekommen sind und warum diese nicht gesichert gewesen sind. Denn so wie ich es aus den Berichten herausgelesen habe ist ein kompletter Dump der DB('s) abhanden gekommen und darauf sollte eigentlich vom Web aus kein Zugriff sein. Von extern darf ein unkontrollierter Zugriff auf die Datenbank grundsätzlich nicht möglich sein, das verbietet der gesunde Menschenverstand.

[Hurz]

60000 Mandanten und 67 GB an Daten (mit Dokumenten) ohne sinds noch 4,5GB macht pro Mandant pi mal daumen 75 MB / 76 KB... da kommste mit deinen 225 zeichen aber nicht weit.

4,5 GB an "Kerndaten" für 60.000 Mandanten erscheint mir ziemlich übertrieben. Das wären 78.000 Zeichen pro Mandant oder bei 50 Zeilen pro Seite und 80 Zeichen pro Zeile (11 Punkt Schrift, 1er Zeilenabstand) 19 Seiten voll mit Text. Entweder wird da deutlich mehr als die üblichen Daten gespeichert oder die Datenbank ist sehr ... dubios ... sorry.

Meine Rechnung bezog sich auf eine Tabelle mit den Userdaten mit 8 Feldern a 255 (Name, Vorname, Adresse, Land, Geburtsdatum, Emailadresse,Id, Pwd) was ca 2 kb pro Datensatz entspricht.

Wenn ich das mal die 75 Millionen Sätze nehme die gestohlen worden sind komme ich auf meine ca 150MB.

Ich denke ja auch, dass die Datenmenge eher klein ist, aber stimmt da deine Rechnung auch? Hast du da nicht den Faktor 1000 vergessen?

[Yat]

Ich denke ja auch, dass die Datenmenge eher klein ist, aber stimmt da deine Rechnung auch? Hast du da nicht den Faktor 1000 vergessen?

Also 150 Millionen kb/ 1024 / 1024...

Nein durch einmal 1024 zuviel geteilt.

Es sind keine MB mit denen ich die ganze Zeit hantiert habe sondern GB.

Landschaftsgärtner soll auch ein schöner Beruf sein habe ich gehört, vielleicht sollte ich mich beruflich neu orientieren wenn ich nichtmal das auf die Reihe bekomme.

PS: Die Peinlichkeit in meinen vorigen Post lass ich als Buße für diese Dummheit unkorrigert stehen.

[Blaukool]

Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.

Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit 

Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...

Ich habs jetzt 2 mal miterlebt das "Datenaustauschverfahren" abgenommen wurden. In beiden Fällen war der Datenausstausch, und auch die Qualität der Überprüfung, völlig in Ordnung aber die anschließende Auslegung im Werbematerial der Firmen hat es aussehen lassen als sei der Rest des Hauses auch sicher(bzw. wer den Unterschied erkennen konnte ist eh vom Fach). Und das war er beide male absolut nicht so war und auch vom TÜVIT nie so bestätigt worden wäre.
Also keine Sorge ich will nicht sagen das der TÜV seinen Job nicht tut 

[Ronnie Drew]

Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.

Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit 

Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...

Ich habs jetzt 2 mal miterlebt das "Datenaustauschverfahren" abgenommen wurden. In beiden Fällen war der Datenausstausch, und auch die Qualität der Überprüfung, völlig in Ordnung aber die anschließende Auslegung im Werbematerial der Firmen hat es aussehen lassen als sei der Rest des Hauses auch sicher(bzw. wer den Unterschied erkennen konnte ist eh vom Fach). Und das war er beide male absolut nicht so war und auch vom TÜVIT nie so bestätigt worden wäre.
Also keine Sorge ich will nicht sagen das der TÜV seinen Job nicht tut 

Falsche Werbung mit dem Prüfsiegel ist leider ein gängiges Problem. Kann man übrigens melden.

[Shadowcaster]

Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit  

Also, ich muß aber eher sagen, daß die Kunden nicht so von dem Zertifikat beeindruckt waren. Einfach auch, weil viele damit gar nix anfangen können. Ist halt keine 9000er.

Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...

Stimmt, der TÜV Süd hat uns damals gut getriezt (aber auch gut unterstützt).

Ich habs jetzt 2 mal miterlebt das "Datenaustauschverfahren" abgenommen wurden. In beiden Fällen war der Datenausstausch, und auch die Qualität der Überprüfung, völlig in Ordnung aber die anschließende Auslegung im Werbematerial der Firmen hat es aussehen lassen als sei der Rest des Hauses auch sicher(bzw. wer den Unterschied erkennen konnte ist eh vom Fach). Und das war er beide male absolut nicht so war und auch vom TÜVIT nie so bestätigt worden wäre.
Also keine Sorge ich will nicht sagen das der TÜV seinen Job nicht tut 

Falsche Werbung mit dem Prüfsiegel ist leider ein gängiges Problem. Kann man übrigens melden.

Es kommt ja immer auf den "Scope" an. Natürlich kann man auch seine Grünbereiche zertifizieren lassen und dann "alles sicher" ins Werbematerial aufnehmen. Aber was ich eher festgestellt habe ist, daß aus einem "wir sind zertifiziert" im Kopf des Kunden daraus wird, daß alle Umfänge zertifiziert sind.

[Rom]

also doch 150 GB das sieht mir doch schon realistischer aus.

@ Hurz, was soll an meiner DB dubios sein? Sind halt Echtdaten^^

[Hurz]

also doch 150 GB das sieht mir doch schon realistischer aus.

Ist aber auch wohl eher die obere Grenze und weit von deiner Schätzung entfernt. Und 150 GB an Daten abzufragen (es wird ja wohl nicht die DB kopiert, sondern nur abgefragt wie es z.B. die Webmasken auch machen und dann der Inhalt gespeichert) über einen Zeitraum von sagen wir 48 Stunden ist nichts was wirklich erst einmal auffällt. Was auffallen sollte ist, dass von einer Stelle aus kontinuierlich ein Datenfluss erfolgt, der systematisch Anfragen an die DB stellt.

@ Hurz, was soll an meiner DB dubios sein? Sind halt Echtdaten^^

Wenn die DB nur die Eckdaten enthält (Name, Anschrift, Geburtsdatum, etc.), dann sind 78k pro User etwas viel oder aber es wird mehr als das gespeichert, was aber ja dann über das Maß hinaus geht welches beim PSN / SOE Diebstahl geklaut wurde.

[Rom]

na wenn das mit dem Dump stimmt habe sie ja ALLES. Aber wer sichert heute noch über Dumps? Höchstens ein paar Haasenfüsse die es so machen wie vor 20 Jahren...

[dgalien]

Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.

Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit 

Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...

Ich habs jetzt 2 mal miterlebt das "Datenaustauschverfahren" abgenommen wurden. In beiden Fällen war der Datenausstausch, und auch die Qualität der Überprüfung, völlig in Ordnung aber die anschließende Auslegung im Werbematerial der Firmen hat es aussehen lassen als sei der Rest des Hauses auch sicher(bzw. wer den Unterschied erkennen konnte ist eh vom Fach). Und das war er beide male absolut nicht so war und auch vom TÜVIT nie so bestätigt worden wäre.
Also keine Sorge ich will nicht sagen das der TÜV seinen Job nicht tut 

Falsche Werbung mit dem Prüfsiegel ist leider ein gängiges Problem. Kann man übrigens melden.

Dann nehmt euch demnächst mal Software im Gesundheitsbereich vor. Bzw. unter die Lupe.

..siehe interner Thread...

[dgalien]

na wenn das mit dem Dump stimmt habe sie ja ALLES. Aber wer sichert heute noch über Dumps? Höchstens ein paar Haasenfüsse die es so machen wie vor 20 Jahren...

Dazu empfehle ich Dir folgendes Video vom EVE-Fanfest:
http://www.youtube.com/watch?v=a8E1LL0L0Hk&feature=player_embedded

Stichwort Dumps und Iterative Dumps

[Neranja]

http://www.wired.com/gamelife/2011/05/sony-playstation-network-anonymous/

[Sky]

http://www.wired.com/gamelife/2011/05/sony-playstation-network-anonymous/

So ein Glück... Es war eine  "very carefully planned, very professional, highly sophisticated criminal cyberattack.”  Ich dachte schon, Sony hätte Sicherheitslecks oder so, aber da kann man wohl nichts machen.

[Itchy]

Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...

Ja, das glaube ich Dir aufs Wort. Deswegen habe ich mir jetzt einen vom TÜV Süd zertifizierten Online-Shop herausgesucht und habe in 5 Minuten (!) eine SQL-Injection gefunden. Hat mich jetzt zwar selber überrascht und soll nicht heißen, dass das Zertifikat vom TÜV Müll ist, aber die gefühlte Sicherheit ist da wahrscheinlich doch größer als die tatsächliche.

[Hurz]

Deswegen habe ich mir jetzt einen vom TÜV Süd zertifizierten Online-Shop herausgesuch...

Nur aus Neugier: hast du auch beim TÜV Süd vorher dir verifizieren lassen ob der Online-Shop wirklich offiziell zertifiziert wurde und wann wurde das Zertifikat ausgestellt (und seit wann ist die Lücke bekannt)?*


Dazu gleich eine Frage: Wird das Zertifikat nur einmal erteilt oder muss das immer aufgefrischt werden? Welche Änderungen an der Seite und am Backend deckt es ab und ab wann müsste es neu beantragt werden (also ab welchem Grad der Änderung/Update von Software, etc.)?