Trident
TriDEnt => News => Thema gestartet von: Accipiter am 27. April 2011, 09:23:43
-
http://www.spiegel.de/netzwelt/gadgets/0,1518,759161,00.html
Autsch'n.
-
Hat der Spiegel aber sehr nett geschrieben. Die Zusammenfassung von Sony selbst klingt dramatischer:
Betroffen sind 75 Millionen PSN-Profile.
Der Einbrecher hat sicher:
- Name
- Adresse (Stadt, Bundesland, Postleitzahl)
- Land
- E-Mail Adresse
- Geburtsdatum
- PSN Online ID
- PlayStation Network Passwort
- Qriocity Login
- Qriocity Passwort
Es kann darüber hinaus möglich sein, daß durchgesickert ist:
- Profilangaben
- Kaufhistorie
- Rechnungsanschrift (Stadt, Bundesland, Postleitzahl)
- Sicherheitsfragen zu Ihrem Passwort
"Obwohl es derzeit keine Anzeichen dafür gibt, dass auf Kreditkarteninformationen widerrechtlich zugegriffen wurden, können wir diese Möglichkeit nicht gänzlich außer Betracht lassen. Falls Sie Ihre Kreditkarteninformationen im PlayStation Network oder Qriocity angegeben haben, möchten wir Sie sicherheitshalber darüber benachrichtigen, dass auf Ihre Kreditkartennummer (exklusive Ihres Sicherheitscodes) sowie auf die Gültigkeitsdauer zugegriffen werden konnte."
-
Übel ... :o
-
wtf! :o
-
konsolen eben :mrgreen:
-
das hat mit konsolen garnix zu tun - das könnte mit steam, wow, facebook, itunes und allen anderen ach so hippen systemen auch passieren. schlampige arbeit bleibt schlampige arbeit. und bei je mehr systemen man sich anmeldet, desto größer das risiko, dass es einen auch erwischt.
-
das hat mit konsolen garnix zu tun - das könnte mit steam, wow, facebook, itunes und allen anderen ach so hippen systemen auch passieren.
ist es aber nicht. es ist auf einer konsole passiert. allein das zählt. :P
-
Ich konnte meine Vanguard SoH-Charaktere nimmer finden, auf beiden Accounts... :tears:
-
ich dachte das soe netzwerk wäre nicht davon betroffen.
-
Äh die chars waren noch da, hatte falsch geschaut.
Ist PlayStation Network und Station Network nicht das selbe? Egal, seit der Kündigung des Vanguard-Accounts 2007 hab ich das nimmer benutzt.
-
Ich konnte meine Vanguard SoH-Charaktere nimmer finden, auf beiden Accounts... :tears:
du spielst noch vanguard?
-
Schau mal ein Post weiter oben...
-
Ist PlayStation Network und Station Network nicht das selbe? Egal, seit der Kündigung des Vanguard-Accounts 2007 hab ich das nimmer benutzt.
Nö, sind zwei verschiedene Dinge.
-
Ist PlayStation Network und Station Network nicht das selbe? Egal, seit der Kündigung des Vanguard-Accounts 2007 hab ich das nimmer benutzt.
a) PSN und SOE sind - wie schon gesagt - unterschiedliche Kontendienste. SOE gehört übrigens eigentlich Sony Pictures (Filme und so) und nicht Sony Computer Entertainment (PlayStation und so)
b) Die Liste deiner Chars wird vom Launcher lokal gecached, und der Cache wird nur aktualisiert wenn Du dich einmal eingeloggt hast. Wenn Du dich seit 2007 nicht mehr eingeloggt hast wird der Cache kaum aktuell sein.
c) Die Server sind seit 2007 mehrmals gemerged worden. Vermutlich gibt es den Server auf dem deine Chars ursprünglich waren gar nicht mehr.
-
http://www.gamestar.de/spiele/dc-universe-online/news/sony_online_entertainment,44494,2322627.html
-
http://www.gamestar.de/spiele/dc-universe-online/news/sony_online_entertainment,44494,2322627.html
Jetzt gibts bei SOE auch ein Problem.
-
Auch SOE verschleudert Kreditkarten und Bankkonten Daten. (http://www.spiegel.de/netzwelt/gadgets/0,1518,760256,00.html)
Mal ehrlich, wer bei Sony (& Tochterfirmen) jetzt noch etwas kauft hat es nicht besser verdient wenn sein Konto leer geräumt wird.
-
Ars Technica: Erste Betrugsopfer (http://arstechnica.com/gaming/news/2011/04/ars-readers-report-credit-card-fraud-blame-sony.ars)
-
Offenbar ist der einzig gangbare Weg für jegliche Aktionen im Internet nur noch eine Prepaid KK auf der wirklich nur das notwendigste ist.
-
paysafe card
An der tanke gekauft, bar bezahlt, keine daten.
-
paysafe card
An der tanke gekauft, bar bezahlt, keine daten.
Außer allen anderen Daten wie e-mail, Passwort, etc.
-
für paysafe selber must du NIX angeben.
Die daten fuer die (spiel)-acc, ok die werden weg sein, telnr geb ich da eh nie an, und email...unschön, aber hauptsächlich geht es doch ums eigene geld, das dir das niemand abziehn kann.
-
mir würde ja schon reichen, wenn ich meine KK nur in DL nutzen könnte.
-
Schon ein Sauhaufen. Was soll das mit der nicht mehr aktuellen Datenbank mit KK Nummer von etlichen tausend Europäern? Als ob sich die KK Nummer so oft ändern würde. Kontonummer etc. Das alles könnte noch sehr aktuell sein.
-
Als ob sich die KK Nummer so oft ändern würde. Kontonummer etc. Das alles könnte noch sehr aktuell sein.
Eine KK läuft ja nach einer Weile aus (glaube alle 3 Jahre) und dann ändert sich zwar nicht die Nummer, aber der CVCode und auch das Gültigkeitsdatum. Und eigentlich dürfen Belastungen (beim Einkauf im Netz) CVCode gar nicht mehr erfolgen (der wurde aber eh von Sony nicht gespeichert nach deren Aussage), was aber natürlich irgendwelche dubiosen Seiten/Geschäfte nicht interessiert.
Das Problem ist nicht nur Sony alleine (auch wenn man keinesfalls unter den Tisch kehren darf, dass sie wohl Lücken in ihrem System hatten), sondern auch zu einem gewissen Teil die Bequemlichkeit von uns Kunden (nicht immer alle Daten eingeben wollen, schnelle Abwicklung, etc.) und ein ganzes System (damit meine ich den ganzen Ablauf bei Kreditkarten usw.), dass Sicherheit für Schnelligkeit und Handhabbarkeit eintauscht. Darauf will keiner von uns wirklich verzichten (ich auch nicht, da nehme ich mich nicht aus).*
Edit: *Bitte nicht so verstehen, als wären die Kunden schuld an dem Diebstahl der Daten, denn das ist und bleibt die schuld derer die geklaut haben und die deren Sicherheit nicht ausreichend war. Ich möchte damit nur sagen, dass die Ursachen warum so ein Diebstahl überhaupt möglich ist (warum die Daten gespeichert wurden) auch mit bei "uns" liegt. Schuld und Ursache sind zwei unterschiedliche Dinge hier.
-
Das Problem ist nicht nur Sony alleine (auch wenn man keinesfalls unter den Tisch kehren darf, dass sie wohl Lücken in ihrem System hatten), sondern auch zu einem gewissen Teil die Bequemlichkeit von uns Kunden (nicht immer alle Daten eingeben wollen, schnelle Abwicklung, etc.) und ein ganzes System (damit meine ich den ganzen Ablauf bei Kreditkarten usw.), dass Sicherheit für Schnelligkeit und Handhabbarkeit eintauscht. Darauf will keiner von uns wirklich verzichten (ich auch nicht, da nehme ich mich nicht aus).*
Ich würde es nicht auf die Bequemlichkeit der Kunden schieben. Anstatt die Datenbank anzuzapfen hätten die Hacker auch ein Trojaner auf die Server aufspielen können, der die CC Daten "live" abfängt und weiterleitet.
Die Sache mit der Datenbank war nur einfacher bzw. weniger Risikoreich.
Gerade beim SOE-Fall muss man fragen warum sensitive Daten wie die Kreditkartendaten so lange gespeichert wurden. Eine der Kernforderungen beim Datenschutz ist es, Daten nur so lange wie notwendig zu speichern. Bei Konto- und Kreditkartendaten sollten das nie mehr als ein paar Monate ab der letzten Transaktion sein.
Nur klar keine Firma macht das freiwillig, denn Daten sind wertvoll und über die Kreditkartendaten kann man noch ein paar Verknüpfungen (mit anderen Daten) mehr herstellen (z.B. wer alles mit einer CC bezahlt).
Und die Server richtig sicher zu machen, und sei es nur die wichtigen Teile der Datenbanken zu verschlüsseln, wird aus Kostengründen gerne unterlassen.
In meinen Augen gibt es hier nichts was Sony auch nur einen Tick entlastet.
Wobei es klar ist dass es genau so gut MS, Valve oder einen Onlineretailer a la Amazon hätte erwischen können.
Aber vielleicht haben die ja mehr Geld in Sicherheit investiert und lassen nicht ihre Kunden alles ausbaden.
-
Gerade beim SOE-Fall muss man fragen warum sensitive Daten wie die Kreditkartendaten so lange gespeichert wurden. Eine der Kernforderungen beim Datenschutz ist es, Daten nur so lange wie notwendig zu speichern. Bei Konto- und Kreditkartendaten sollten das nie mehr als ein paar Monate ab der letzten Transaktion sein.
Da hast du offenbar nicht wirklich nachgedacht bevor du das geschrieben hat. Zum einen müssen rechnungsrelevante Daten in Deutschland (in anderen Industrieländern ist das ähnlich) gesetzlich vorgeschrieben bis zu 10 Jahre gespeichert werden (gut, an der Stelle könnte man sie verschlüsseln). Und zum anderen sind bei einem laufenden Abo für ein MMO bei dem eine regelmäßige Bezahlung fällig. Da ist die Speicherung gerade auch für den Kunden bequem, denn so können Abos in beliebigen Zeiträumen ohne Zutun des Kunden bezahlt werden. Die Alternative wäre, dass bei jeder fälligen Verlängerung eines Abos (oder Kauf übers PSN, etc.) die kompletten Daten neu eingegeben werden müssen. Und genau bei diesem Punkt schlägt die Bequemlichkeit von uns Usern zu, denn wir alle wollen es schnell und einfach (oder nutzt du nicht bei Amazon die gespeicherte KK zum Einkauf?).
Und die Server richtig sicher zu machen, und sei es nur die wichtigen Teile der Datenbanken zu verschlüsseln, wird aus Kostengründen gerne unterlassen.
Wir wissen alle, dass es nie eine hundertprozentige Sicherheit geben wird und aus einigen Gründen (schnelle/bequeme/regelmäßige Wiederverwendbarkeit, Zugriff durch Kundendienst, etc.) wird eine Verschlüsselung wohl teilweise einfach unpraktisch sein. Kosten spielen natürlich auch eine Rolle, denn die Unternehmen arbeiten nun mal wirtschaftlich und Sicherheit kostet (erst einmal) nur und bringt dem Unternehmen kein Geld ein. Das ist natürlich eigentlich ein Unding, aber leider ein Effekt der Marktwirtschaft. Man könnte natürlich über Regulierungen nachdenken, aber ob die zweckmäßig sind und vor allem im globalen Markt irgendeinen Effekt hätten wage ich zu bezweifeln.
Ich würde es nicht auf die Bequemlichkeit der Kunden schieben.
In meinen Augen gibt es hier nichts was Sony auch nur einen Tick entlastet.
Für den Diebstahl (oder wie "simpel" der offenbar war) natürlich nicht, das sagte ich auch extra, denn dafür muss Sony ganz klar gerade stehen (und sich schämen). Aber für die grundlegende Ursache warum Daten gespeichert werden gibt es teilweise schon Gründe die bei uns Usern liegen. Wobei natürlich die Bequemlichkeit für den Kunden auch im zweiten Schritt dem Unternehmen entgegen kommt, da User dort aktiv werden wo es einfach und schnell geht. Würden wir nur dort einkaufen wo Daten nicht gespeichert bleiben (weil uns Sicherheit wichtiger als Bequemlichkeit ist) und wir Adresse usw. bei jedem Einkauf neu eingeben müssen, dann gäbe es für die Unternehmen auch weniger Anreiz dies zu tun (abgesehen von gesetzlichen Pflichten).
-
Um es mal kurz zu machen.
Die Daten, die laut Gesetz 10 Jahre lang vorgehalten werden müssen, haben im "normalen" (Abrechnungs- oder Datawarehouse-) System NICHTS zu suchen. Punkt. Die befinden sich in jeder ordentlichen Firma in einem separaten System der Finanzbuchhaltung, welches den gesetzlichen Vorgaben genügt. Auf das System gibt es sinnvollerweise nur einen Zugang für "Extern", nämlich den für die Finanzbehörden. Klar kann man der Fibu auch noch Trojaner unter jubeln, aber das ist mit mehr Aufwand verbunden als "nur" die ans Internet direkt angeschlossenen System zu hacken.
Wenn SOE in einer vier Jahre alten Datenbank trotzdem solche (Konto/Kreditkarten) Daten hat gibt es keine Entschuldigung.
Was aktuelle Daten angeht, so gibt es wie ich im letzten Posting geschrieben hatte, sowieso keine vollkommene Sicherheit. Da ist es für den Hacker nur einfacher wenn die aktuellen Daten bereits in einer DB vorliegen.
Deine Argumentation dass Bequemlichkeit der Kunden schuld sein soll ist ungefähr so sinnig wie Kunden, die im Einkaufzentrum bestohlen wurden, vorzuwerfen dass die Bar zahlen wollen (und sich so für den Diebstahl der Geldbörse erst anfällig machen) wo es doch auch andere Zahlungsmöglichkeiten gibt.
-
Die Daten, die laut Gesetz 10 Jahre lang vorgehalten werden müssen, haben im "normalen" (Abrechnungs- oder Datawarehouse-) System NICHTS zu suchen.
Ganz so einfach ist das wohl nicht, da die Daten ja teilweise nicht veraltet sind und von den Kunden und laufenden Abos usw. in Gebrauch sind. Wenn dann könnte man nur Teildaten auslagern und hätte dann zwei Systeme die man überwachen, prüfen usw. müsste. Ob damit die Sicherheit automatisch verbessert würde ist nicht gesagt. Wie du sagst, wäre dann dieses System angreifbar (was offenbar ja passiert ist, denn es wurde eine Datenbank mit dem Datensatz von 2007 (auch?) abgegriffen - so zumindest die letzten Meldungen).
Deine Argumentation dass Bequemlichkeit der Kunden schuld sein soll ist ungefähr so sinnig wie Kunden, die im Einkaufzentrum bestohlen wurden, vorzuwerfen dass die Bar zahlen wollen (und sich so für den Diebstahl der Geldbörse erst anfällig machen) wo es doch auch andere Zahlungsmöglichkeiten gibt.
Du hast den Unterschied zwischen Schuld und grundlegender Ursache noch immer nicht begriffen und denkst viel zu kurz. Schuld an einem Diebstahl ist der, der diesen begeht oder fahrlässig/vorsätzlich zu lässt (wo bereits dein Beispiel scheitert, da es hier nur zwei Akteure gibt und nicht einen zwischengeschalteten Dritten). In deinem Beispiel hätte ein Kunde - wenn er die Geldbörse offen in der Tasche trägt - schon eine (wenn auch nicht juristische) Mitschuld. Weniger als so eine Mitschuld ist dann eine Ursache (ein allgemeines Verhalten in diesem Falle).
Um bei deinem Beispiel zu bleiben: Schuld bestohlen zu werden in einem Einkaufszentrum ist der Kunde nicht, aber die Tatsache, dass Menschen (also die Allgemeinheit) für eine schnelle Bezahlmöglichkeit Bargeld mit sich herum trägt ist dennoch eine Ursache für die Tatsache, dass jemand überhaupt auf die Idee kommt Geldbörsen zu stehlen.
Es geht mir nicht darum wer hier die Schuld trägt, denn das ist eindeutig Sony (neben den Dieben selber natürlich), weil sie (neben miserabler Kommunikation - offenbar keine Stärke der Japaner) im Bereich der Sicherheit geschludert haben. Das war fahrlässig - ohne Zweifel. Es geht darum warum überhaupt so ein Diebstahl versucht wird, möglich wird und Daten für externen Zugriff bereit stehen. Es geht also um die grundlegenden Ursachen und da spielen wir mit unserem Verhalten auch eine Rolle (neben anderen Ursachen).
Mit anderen Worten sollte man nicht nur auf Sony deuten und sagen "die sind schuld und damit gut" und damit jede Verantwortung (im weitesten Sinne - nicht (!) auf diesen Einzelfall bezogen) von sich schieben, sondern einen Schritt zurück machen und überlegen wo möglich (Mit-)Ursachen liegen. Und da wird man auch bei sich selber fündig und das ist "unser" (der "des" Konsumenten) Wille schnell, einfach, bequem und möglichst ohne Umstände und sofort Dinge kaufen/bestellen zu können. Unser Verhalten also ist auch mitursächlich dafür, dass Daten so vorgehalten werden wie sie es werden (damit beim Aufrufen der Account-Seite sofort alle Daten sichtbar sind, geändert werden können, etc.).
Wie gesagt nimmt das Sony nicht in Schutz oder aus der Verantwortung für diesen Einzelfall, aber es könnte Anlass dazu sein auch mal einen (soweit möglich) objektiven Blick auf das eigene Verhalten zu werfen und zu überlegen ob nicht unser Verhalten auch dazu beigetragen hat für die Ursachenbildung. Wie gesagt, wir könnten alle uns so verhalten, dass wir jedesmal alle Daten neu eingeben ... bei jedem Einkauf bei Amazon und Co ... bequem wäre anders.
-
Und eigentlich dürfen Belastungen (beim Einkauf im Netz) CVCode gar nicht mehr erfolgen
Genau. Wie oft hast Du schon mal Deinen CV-Code bei Amazon eingegeben? Ich genau noch nie in meinem Leben. Und ich hab erst im Januar eine neue Kreditkarte eingegeben.
Das Problem ist nicht nur Sony alleine (auch wenn man keinesfalls unter den Tisch kehren darf, dass sie wohl Lücken in ihrem System hatten), sondern auch zu einem gewissen Teil die Bequemlichkeit von uns Kunden (nicht immer alle Daten eingeben wollen, schnelle Abwicklung, etc.) und ein ganzes System (damit meine ich den ganzen Ablauf bei Kreditkarten usw.), dass Sicherheit für Schnelligkeit und Handhabbarkeit eintauscht. Darauf will keiner von uns wirklich verzichten (ich auch nicht, da nehme ich mich nicht aus).*
Bequemlichkeit und Sicherheit schließen sich nicht aus. Man kann für den Kunden alles super bequem darstellen und kann die Daten trotzdem sicher ablegen. Kreditkartennummern u.ä. in irgendwelchen Datenbanken unverschlüsselt abzulegen war in den 90ern vielleicht noch ganz schick - im Jahre 2011 ist das ein Witz. Aber ganz ehrlich - auch wenn ich selbst mit SOE von dem Ding betroffen bin (glücklicherweise bin ich da aber schon seit vielen Jahren kein Kunde mehr und die Kreditkartendaten längst nicht mehr gültig), ich bin froh, dass es auch mal einen Großen erwischt hat und nicht nur immer so kleine Onlineshop-Klitschen. Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz. Und das ist auch nötig. Wenn ich mir so meine letzten Projekte (allesamt bei namhaften deutschen Unternehmen) ansehe, kann ich sagen, dass es dort nicht nur Licht, sondern auch ganz viel Schatten gibt. Für die einen sind starke Authentisierung, Transparent Data Encryption und ein funktionierendes Monitoring- und Zugriffskontrollsystem an der Tagesordnung, anderen sind diese Sachen (noch) zuwider. Aber wie gesagt: Sony ändert alles.
-
Wenn ich mir so meine letzten Projekte (allesamt bei namhaften deutschen Unternehmen) ansehe, kann ich sagen, dass es dort nicht nur Licht, sondern auch ganz viel Schatten gibt. Für die einen sind starke Authentisierung, Transparent Data Encryption und ein funktionierendes Monitoring- und Zugriffskontrollsystem an der Tagesordnung, anderen sind diese Sachen (noch) zuwider.
Ich hab in den letzten 6 Jahren ein einziges Unternehmen gesehen das die Datensicherheit ernst genommen hat. Krönung ist eines das alle seine Services (auch Exkasso und Stammdaten) ohne SSL, Zertifikate oder auch nur Basic-Auth betreibt. Und der ESB war (wenn man wuste wo man sucht) aus dem Internet zugänglich...
-
Und eigentlich dürfen Belastungen (beim Einkauf im Netz) CVCode gar nicht mehr erfolgen
Genau. Wie oft hast Du schon mal Deinen CV-Code bei Amazon eingegeben? Ich genau noch nie in meinem Leben. Und ich hab erst im Januar eine neue Kreditkarte eingegeben.
Das Problem ist nicht nur Sony alleine (auch wenn man keinesfalls unter den Tisch kehren darf, dass sie wohl Lücken in ihrem System hatten), sondern auch zu einem gewissen Teil die Bequemlichkeit von uns Kunden (nicht immer alle Daten eingeben wollen, schnelle Abwicklung, etc.) und ein ganzes System (damit meine ich den ganzen Ablauf bei Kreditkarten usw.), dass Sicherheit für Schnelligkeit und Handhabbarkeit eintauscht. Darauf will keiner von uns wirklich verzichten (ich auch nicht, da nehme ich mich nicht aus).*
Bequemlichkeit und Sicherheit schließen sich nicht aus. Man kann für den Kunden alles super bequem darstellen und kann die Daten trotzdem sicher ablegen. Kreditkartennummern u.ä. in irgendwelchen Datenbanken unverschlüsselt abzulegen war in den 90ern vielleicht noch ganz schick - im Jahre 2011 ist das ein Witz. Aber ganz ehrlich - auch wenn ich selbst mit SOE von dem Ding betroffen bin (glücklicherweise bin ich da aber schon seit vielen Jahren kein Kunde mehr und die Kreditkartendaten längst nicht mehr gültig), ich bin froh, dass es auch mal einen Großen erwischt hat und nicht nur immer so kleine Onlineshop-Klitschen. Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz. Und das ist auch nötig. Wenn ich mir so meine letzten Projekte (allesamt bei namhaften deutschen Unternehmen) ansehe, kann ich sagen, dass es dort nicht nur Licht, sondern auch ganz viel Schatten gibt. Für die einen sind starke Authentisierung, Transparent Data Encryption und ein funktionierendes Monitoring- und Zugriffskontrollsystem an der Tagesordnung, anderen sind diese Sachen (noch) zuwider. Aber wie gesagt: Sony ändert alles.
Richtig Lustig/traurig wirds, wenn man sich Software/Systeme anschaut, die im Gesundheitswesen eingesetzt werden. Dank fehlender OnlineSchnittstellen wird da gern auf anonymous ftp und andere Unmöglichkeiten zurückgegriffen. Und natürlich ist die Software TÜV zertifiziert...
-
Nen TÜV Zertifikat für Datensicherheit bekommt man ungefähr 1000 mal einfacher als ne TÜV Plakette am Auto...
-
Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz.
Interessante Sichtweise. Gefällt mir. Mal schauen, ob sich das tatsächlich so entwickelt.
-
Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz.
Interessante Sichtweise. Gefällt mir. Mal schauen, ob sich das tatsächlich so entwickelt.
Glaube ich weniger...
Bei Fukushima war den meisten Leuten klar was das bedeutet, bei dem Sony-Desaster ist es nicht mal einem Bruchteil der Betroffenen klar.
Und es hat sich nur wegen der permanenten Medienberieselung (vielleicht) etwas geändert bezüglich der Atomkraft. Das mit Sony ist selbst in "Fach-"Medien nur wenig präsent, auf SPON, SZ-Online und Co. gab es zwei, drei Artikel die nur kurz zu sehen waren und vermutlich nur Interessierten aufgefallen sind.
-
Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz.
Ich kann deinen grenzenlosen Optimismus nicht teilen. Der SOE Customer Support wusste noch nicht mal ob die Mail, die jeder Station-Account bekommen hat echt ist.
Heutzutage wird halt Software vom billigsten Anbieter entwickelt, und der stellt halt Inder oder Praktikanten ein und hält sich bei der Umsetzung strikt ans Pflichten/Lastenheft. Und jetzt ratet mal was da nie drinsteht. Hinten raus kommt dann meist in Software gegossene Scheiße.
Das wird vielleicht etwas besser wenn die Kreditkartenfirmen anfangen Datenschlampen in Grund und Boden auf Schadenersatz zu verklagen, aber halt auch nur da wo man mit Kreditkarten hantiert. Sobald es "nur" um persönliche Daten geht wird es für Firmen wohl weiterhin billiger sein einen PR-Feuerlöscher bereit zu halten sobald es mal brennt.
-
Schön wärs, ich sehe es allerdings nicht so.
Momentan entwickeln Apple und Google grade an Mobile Payment Systemen. Wenn man das ganze mit den Personenprofilen und Bewegungsprofilen koppelt steckt da viel zuviel Potenzial drin um Kohle zu verdienen als da man sich das von irgendwelchen Gesetzen kaputt machen lassen würde.
Sieht man ja ganz gut an der Reaktion der Politk auf das Sony Desaster, denn da tut sich garnichts.
Es müsste schon weit mehr passieren als ein paar "veröffentlichte" Personendaten um da Bewegung reinzubringen.
Die einzige Dimension die ich mir vorstellen könnte wären Kundendaten einer großen Bank inkl Kontobewegungen. Denn das würde die Leute aufrütteln, über ein paar Personendaten redet in Zeiten von Facebook, LinkedIn und Twitter doch kein Schwein mehr.
-
Nen TÜV Zertifikat für Datensicherheit bekommt man ungefähr 1000 mal einfacher als ne TÜV Plakette am Auto...
Ohoh, das würde ich nicht sagen. Das ist ein Riesenaufwand, ne ISO27001, resp. BS7799 zu kriegen.
-
Nen TÜV Zertifikat für Datensicherheit bekommt man ungefähr 1000 mal einfacher als ne TÜV Plakette am Auto...
Ohoh, das würde ich nicht sagen. Das ist ein Riesenaufwand, ne ISO27001, resp. BS7799 zu kriegen.
Jup, die Kollegen sitzen nebenan, die ISO 27001, SaferShopping etc. betreuen.
Wir haben hier u.a. mehrere Hacker, die für uns arbeiten. Und ich war schonmal bei einem Audit bei einem Kunden dabei. Da wird so ziemlich alles geprüft, wir standen sogar im Altpapiercontainer und haben geschaut, ob die alles schön brav shreddern. Und natürlich wird auf verschiedenste Art und Weise versucht, die Firmenwebsite/datenbank zu hacken, mit ausführlichem Bericht, etc. pp.
Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.
Und manche Firmen denken schlicht an bestimmten Stellen nicht weit genug, oder pfuschen herum, nachdem sie zertifiziert wurden und sagen einem nicht Bescheid...
-
was ich perdu nicht begreife... 80 Mio Playstationkunden + 30 Mio. SOE kunden... das machen doch Gigabyteweise Daten aus. WArum zum Geier merkt kein schwein, wenn mal eben so ein paar tonnen Daten nach draußen gehen. Oder haben sich die Netzwerker gedacht ... coool, da macht jmd nen DB-Backup übers indernet... was es heute alles gibt! Teufelskerle die DBler...
-
was ich perdu nicht begreife... 80 Mio Playstationkunden + 30 Mio. SOE kunden... das machen doch Gigabyteweise Daten aus. WArum zum Geier merkt kein schwein, wenn mal eben so ein paar tonnen Daten nach draußen gehen.
So riesig ist die Datenmenge da nicht und bei dem was da tagtäglich über die Leitungen geht, dürfte das schlicht und ergreifend untergehen. Ich meine wie viele Zeichen hat so ein Datensatz pro User maximal und wie groß ist der damit - 1kB vielleicht? Außerdem passiert das ja nicht auf einmal sondern über eine gewisse Zeitspanne (glaube zwei oder drei Tage waren es - das ist eher das was ich sehr dubios finde, dass es so lange nicht entdeckt blieb) und dann verteilt sich das recht gut.
-
Wenn ich mich nicht verrechnet habe komme ich auf ca 150 MB bei extrem verschwenderischen 255 Bereite für jede Spalten des Datensatzes.
Mit realistischen Spaltengrößen und Indexes drauf ists vielleicht um die 100 MB groß.
Vorausgesetzt ich habe mich nicht irgendwo verrechnet
-
also da rechne ich eher mit mehr. nehmen wir mal an 5k pro user (es wurden ja wohl auch transaktionsdaten ausgelesen etc also 1 zu n) sind das immerhin 550 GB... naja also ich weiß nicht.
@ yat, sry, aber das glaube ich nicht, der krempel steht ja nicht in einer Tab sondern in dutzenden.
wenn ich das mal mit meiner DB vergleiche:
60000 Mandanten und 67 GB an Daten (mit Dokumenten) ohne sinds noch 4,5GB macht pro Mandant pi mal daumen 75 MB / 76 KB... da kommste mit deinen 225 zeichen aber nicht weit.
-
Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.
Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit :deal:
-
Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.
Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit :deal:
Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...
-
550 GB sind utopisch.
Meine Rechnung bezog sich auf eine Tabelle mit den Userdaten mit 8 Feldern a 255 (Name, Vorname, Adresse, Land, Geburtsdatum, Emailadresse,Id, Pwd) was ca 2 kb pro Datensatz entspricht.
Das war das was ursprünglich als gestohlen angegeben worden ist.
Wenn ich das mal die 75 Millionen Sätze nehme die gestohlen worden sind komme ich auf meine ca 150MB.
Da sind allerdings noch keine Transaktionen mit dabei weil nicht klar gewesen ist ob die wirklich gestohlen worden sind.
Die Informationen zu den Haushalten in unserer Datenbank sind wesentlich detailierter als das was Sony abhanden gekommen ist und wir haben mehr auch deutlich mehr "Transaktionen" pro Haushalt in der Woche als Sony pro Jahr. Trotzdem kommen wir auch nur auf "einige hundert" GB Daten für mehrere Jahre.
Lass es also von mir aus 1 GB sein inkl der Transaktionen, aber es waren sicherlich keine 550 GB.
Die Frage ist doch eigentlich nur wie es sein konnte das sie überhaupt an die Daten gekommen sind und warum diese nicht gesichert gewesen sind. Denn so wie ich es aus den Berichten herausgelesen habe ist ein kompletter Dump der DB('s) abhanden gekommen und darauf sollte eigentlich vom Web aus kein Zugriff sein. Von extern darf ein unkontrollierter Zugriff auf die Datenbank grundsätzlich nicht möglich sein, das verbietet der gesunde Menschenverstand.
-
60000 Mandanten und 67 GB an Daten (mit Dokumenten) ohne sinds noch 4,5GB macht pro Mandant pi mal daumen 75 MB / 76 KB... da kommste mit deinen 225 zeichen aber nicht weit.
4,5 GB an "Kerndaten" für 60.000 Mandanten erscheint mir ziemlich übertrieben. Das wären 78.000 Zeichen pro Mandant oder bei 50 Zeilen pro Seite und 80 Zeichen pro Zeile (11 Punkt Schrift, 1er Zeilenabstand) 19 Seiten voll mit Text. Entweder wird da deutlich mehr als die üblichen Daten gespeichert oder die Datenbank ist sehr ... dubios ... sorry.
Meine Rechnung bezog sich auf eine Tabelle mit den Userdaten mit 8 Feldern a 255 (Name, Vorname, Adresse, Land, Geburtsdatum, Emailadresse,Id, Pwd) was ca 2 kb pro Datensatz entspricht.
Wenn ich das mal die 75 Millionen Sätze nehme die gestohlen worden sind komme ich auf meine ca 150MB.
Ich denke ja auch, dass die Datenmenge eher klein ist, aber stimmt da deine Rechnung auch? Hast du da nicht den Faktor 1000 vergessen?
-
Ich denke ja auch, dass die Datenmenge eher klein ist, aber stimmt da deine Rechnung auch? Hast du da nicht den Faktor 1000 vergessen?
Also 150 Millionen kb/ 1024 / 1024... :doh:
Nein durch einmal 1024 zuviel geteilt. :blue:
Es sind keine MB mit denen ich die ganze Zeit hantiert habe sondern GB.
Landschaftsgärtner soll auch ein schöner Beruf sein habe ich gehört, vielleicht sollte ich mich beruflich neu orientieren wenn ich nichtmal das auf die Reihe bekomme.
PS: Die Peinlichkeit in meinen vorigen Post lass ich als Buße für diese Dummheit unkorrigert stehen.
-
Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.
Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit :deal:
Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...
Ich habs jetzt 2 mal miterlebt das "Datenaustauschverfahren" abgenommen wurden. In beiden Fällen war der Datenausstausch, und auch die Qualität der Überprüfung, völlig in Ordnung aber die anschließende Auslegung im Werbematerial der Firmen hat es aussehen lassen als sei der Rest des Hauses auch sicher(bzw. wer den Unterschied erkennen konnte ist eh vom Fach). Und das war er beide male absolut nicht so war und auch vom TÜVIT nie so bestätigt worden wäre.
Also keine Sorge ich will nicht sagen das der TÜV seinen Job nicht tut :wink1:
-
Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.
Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit :deal:
Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...
Ich habs jetzt 2 mal miterlebt das "Datenaustauschverfahren" abgenommen wurden. In beiden Fällen war der Datenausstausch, und auch die Qualität der Überprüfung, völlig in Ordnung aber die anschließende Auslegung im Werbematerial der Firmen hat es aussehen lassen als sei der Rest des Hauses auch sicher(bzw. wer den Unterschied erkennen konnte ist eh vom Fach). Und das war er beide male absolut nicht so war und auch vom TÜVIT nie so bestätigt worden wäre.
Also keine Sorge ich will nicht sagen das der TÜV seinen Job nicht tut :wink1:
Falsche Werbung mit dem Prüfsiegel ist leider ein gängiges Problem. Kann man übrigens melden.
-
Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit :deal:
Also, ich muß aber eher sagen, daß die Kunden nicht so von dem Zertifikat beeindruckt waren. Einfach auch, weil viele damit gar nix anfangen können. Ist halt keine 9000er.
Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...
Stimmt, der TÜV Süd hat uns damals gut getriezt (aber auch gut unterstützt).
Ich habs jetzt 2 mal miterlebt das "Datenaustauschverfahren" abgenommen wurden. In beiden Fällen war der Datenausstausch, und auch die Qualität der Überprüfung, völlig in Ordnung aber die anschließende Auslegung im Werbematerial der Firmen hat es aussehen lassen als sei der Rest des Hauses auch sicher(bzw. wer den Unterschied erkennen konnte ist eh vom Fach). Und das war er beide male absolut nicht so war und auch vom TÜVIT nie so bestätigt worden wäre.
Also keine Sorge ich will nicht sagen das der TÜV seinen Job nicht tut :wink1:
Falsche Werbung mit dem Prüfsiegel ist leider ein gängiges Problem. Kann man übrigens melden.
Es kommt ja immer auf den "Scope" an. Natürlich kann man auch seine Grünbereiche zertifizieren lassen und dann "alles sicher" ins Werbematerial aufnehmen. Aber was ich eher festgestellt habe ist, daß aus einem "wir sind zertifiziert" im Kopf des Kunden daraus wird, daß alle Umfänge zertifiziert sind.
-
also doch 150 GB :D das sieht mir doch schon realistischer aus.
@ Hurz, was soll an meiner DB dubios sein? Sind halt Echtdaten^^
-
also doch 150 GB :D das sieht mir doch schon realistischer aus.
Ist aber auch wohl eher die obere Grenze und weit von deiner Schätzung entfernt. Und 150 GB an Daten abzufragen (es wird ja wohl nicht die DB kopiert, sondern nur abgefragt wie es z.B. die Webmasken auch machen und dann der Inhalt gespeichert) über einen Zeitraum von sagen wir 48 Stunden ist nichts was wirklich erst einmal auffällt. Was auffallen sollte ist, dass von einer Stelle aus kontinuierlich ein Datenfluss erfolgt, der systematisch Anfragen an die DB stellt.
@ Hurz, was soll an meiner DB dubios sein? Sind halt Echtdaten^^
Wenn die DB nur die Eckdaten enthält (Name, Anschrift, Geburtsdatum, etc.), dann sind 78k pro User etwas viel oder aber es wird mehr als das gespeichert, was aber ja dann über das Maß hinaus geht welches beim PSN / SOE Diebstahl geklaut wurde.
-
na wenn das mit dem Dump stimmt habe sie ja ALLES. Aber wer sichert heute noch über Dumps? Höchstens ein paar Haasenfüsse die es so machen wie vor 20 Jahren...
-
Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.
Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit :deal:
Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...
Ich habs jetzt 2 mal miterlebt das "Datenaustauschverfahren" abgenommen wurden. In beiden Fällen war der Datenausstausch, und auch die Qualität der Überprüfung, völlig in Ordnung aber die anschließende Auslegung im Werbematerial der Firmen hat es aussehen lassen als sei der Rest des Hauses auch sicher(bzw. wer den Unterschied erkennen konnte ist eh vom Fach). Und das war er beide male absolut nicht so war und auch vom TÜVIT nie so bestätigt worden wäre.
Also keine Sorge ich will nicht sagen das der TÜV seinen Job nicht tut :wink1:
Falsche Werbung mit dem Prüfsiegel ist leider ein gängiges Problem. Kann man übrigens melden.
Dann nehmt euch demnächst mal Software im Gesundheitsbereich vor. Bzw. unter die Lupe.
..siehe interner Thre (http://www.trident-online.de/smf/index.php/topic,5635.0.html)ad...
-
na wenn das mit dem Dump stimmt habe sie ja ALLES. Aber wer sichert heute noch über Dumps? Höchstens ein paar Haasenfüsse die es so machen wie vor 20 Jahren...
Dazu empfehle ich Dir folgendes Video vom EVE-Fanfest:
http://www.youtube.com/watch?v=a8E1LL0L0Hk&feature=player_embedded (http://www.youtube.com/watch?v=a8E1LL0L0Hk&feature=player_embedded)
Stichwort Dumps und Iterative Dumps
-
http://www.wired.com/gamelife/2011/05/sony-playstation-network-anonymous/
-
http://www.wired.com/gamelife/2011/05/sony-playstation-network-anonymous/
So ein Glück... Es war eine "very carefully planned, very professional, highly sophisticated criminal cyberattack.” :uglydance1: Ich dachte schon, Sony hätte Sicherheitslecks oder so, aber da kann man wohl nichts machen.
-
Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...
Ja, das glaube ich Dir aufs Wort. Deswegen habe ich mir jetzt einen vom TÜV Süd zertifizierten Online-Shop herausgesucht und habe in 5 Minuten (!) eine SQL-Injection gefunden. Hat mich jetzt zwar selber überrascht und soll nicht heißen, dass das Zertifikat vom TÜV Müll ist, aber die gefühlte Sicherheit ist da wahrscheinlich doch größer als die tatsächliche.
-
Deswegen habe ich mir jetzt einen vom TÜV Süd zertifizierten Online-Shop herausgesuch...
Nur aus Neugier: hast du auch beim TÜV Süd vorher dir verifizieren lassen ob der Online-Shop wirklich offiziell zertifiziert wurde und wann wurde das Zertifikat ausgestellt (und seit wann ist die Lücke bekannt)?*
Dazu gleich eine Frage: Wird das Zertifikat nur einmal erteilt oder muss das immer aufgefrischt werden? Welche Änderungen an der Seite und am Backend deckt es ab und ab wann müsste es neu beantragt werden (also ab welchem Grad der Änderung/Update von Software, etc.)?
-
Problem ist, dass die Zertifizierungen 1x/Jahr gemacht werden, wenn die also zwischendurch irgendwas machen und nicht von sich aus beim Zertifizierer wegen ner Zwischenprüfung oder so anfragen (kost ja alles Geld), kriegt man das frühestens im nächsten Jahr mit.
Wie der Fall "Libri"-Onlinebuchhandel (ging mal durch die Medien) ja damals gezeigt hat, wo die kurz nach der Zertifizierung eine ungesicherte Lieferabfrage eingebaut hatten und jeder durch Eingabe einer beliebigen Nummer dann die Buchbestellungen anderer Leute sich anschauen konnte.
Und Itchy, Butter bei die Fische, welche Firma? Kannst mir gerne auch per PM schreiben, dann geb ich das weiter.
-
Deswegen habe ich mir jetzt einen vom TÜV Süd zertifizierten Online-Shop herausgesuch...
Nur aus Neugier: hast du auch beim TÜV Süd vorher dir verifizieren lassen ob der Online-Shop wirklich offiziell zertifiziert wurde und wann wurde das Zertifikat ausgestellt (und seit wann ist die Lücke bekannt)?*
Ich bin über die TÜV Seite auf den Shop gekommen, dort findet man eine Liste der zertifizierten Shops. Die Lücke ist wahrscheinlich genau nur mir bekannt und sonst niemanden. Das ist so wie ich das sehe keine Standard-Software, sondern da hat jemand Müll entwickelt.
Problem ist, dass die Zertifizierungen 1x/Jahr gemacht werden, wenn die also zwischendurch irgendwas machen und nicht von sich aus beim Zertifizierer wegen ner Zwischenprüfung oder so anfragen (kost ja alles Geld), kriegt man das frühestens im nächsten Jahr mit.
Wie der Fall "Libri"-Onlinebuchhandel (ging mal durch die Medien) ja damals gezeigt hat, wo die kurz nach der Zertifizierung eine ungesicherte Lieferabfrage eingebaut hatten und jeder durch Eingabe einer beliebigen Nummer dann die Buchbestellungen anderer Leute sich anschauen konnte.
Das weiß ich ja alles, deswegen zeige ich ja nicht mit dem Finger auf den TÜV und zweifel dessen Arbeit an. Wenn ich einen Penetrationstest oder ein Audit durchführe, dann kann ich auch nur eine Momentaufnahme abgeben und Anspruch auf Vollständigkeit hab ich auch nicht. Genauso wenig wie die TÜV Plakette am Auto garantiert, dass die nächsten 2 Jahre nichts passiert, kann eine Zertifizierung für irgendetwas bürgen, außer dass zum Zeitpunkt der Zertifizierung die Anforderungen erfüllt wurden.
Und Itchy, Butter bei die Fische, welche Firma? Kannst mir gerne auch per PM schreiben, dann geb ich das weiter.
Sorry, auch auf die Gefahr hin, als Großmaul dazustehen: erstens ist so ein kurzer Pentest ohne Auftrag auch ohne die Intention, Schaden anzurichten juristisch im besten Falle eine Grauzone. Zweitens sind das Dienstleistungen, für die ich (bzw. mein Arbeitgeber) gerne Geld sehen würden.
-
itchy ist nen hacker :o
-
Gibt keinen besseren Job :)
-
Da wäre ich mir nicht so sicher...
-
was bist du blaukool? Pron-tester?
-
Ich hab nicht gesagt das mein Job besser ist ich hab nur gesagt das ich glaube das es besseres gibt... Und wenn du mir die Hoffnung jetzt nimmst dann muss ich dir weh tun :wink1:
-
Frauenarzt :evil3:
-
http://www.spiegel.de/netzwelt/web/0,1518,766349,00.html
Trolololol...
-
<quote>Hilfreich sei außerdem gewesen, dass Passwörter, E-Mail-Adressen und Wohnadressen von Nutzern der Website nicht verschlüsselt abgespeichert worden waren.</quote>
:wall:
Passwörter unverschlüsselt ablegen... ne... neeee....
-
Passwörter unverschlüsselt ablegen... ne... neeee....
Wieso? Scheint doch Firmenpolitik zu sein das so zu machen.
-
Die sollten sich echt Comical Ali als neuen Pressesprecher einstellen...