PSN Datenklau

[Necrowizard]

http://www.gamestar.de/spiele/dc-universe-online/news/sony_online_entertainment,44494,2322627.html

Jetzt gibts bei SOE auch ein Problem.

[Carfesch]

Auch SOE verschleudert Kreditkarten und Bankkonten Daten.
Mal ehrlich, wer bei Sony (& Tochterfirmen) jetzt noch etwas kauft hat es nicht besser verdient wenn sein Konto leer geräumt wird.

[Shadowcaster]

Ars Technica: Erste Betrugsopfer

[Yat]

Offenbar ist der einzig gangbare Weg für jegliche Aktionen im Internet nur noch eine Prepaid KK auf der wirklich nur das notwendigste ist.

[X]

paysafe card
An der tanke gekauft, bar bezahlt, keine daten.

[Hurz]

paysafe card
An der tanke gekauft, bar bezahlt, keine daten.

Außer allen anderen Daten wie e-mail, Passwort, etc.

[X]

für paysafe selber must du NIX angeben.
Die daten fuer die (spiel)-acc, ok die werden weg sein, telnr geb ich da eh nie an, und email...unschön, aber hauptsächlich geht es doch ums eigene geld, das dir das niemand abziehn kann.

[Rom]

mir würde ja schon reichen, wenn ich meine KK nur in DL nutzen könnte.

[Necrowizard]

Schon ein Sauhaufen. Was soll das mit der nicht mehr aktuellen Datenbank mit KK Nummer von etlichen tausend Europäern? Als ob sich die KK Nummer so oft ändern würde. Kontonummer etc. Das alles könnte noch sehr aktuell sein.

[Hurz]

Als ob sich die KK Nummer so oft ändern würde. Kontonummer etc. Das alles könnte noch sehr aktuell sein.

Eine KK läuft ja nach einer Weile aus (glaube alle 3 Jahre) und dann ändert sich zwar nicht die Nummer, aber der CVCode und auch das Gültigkeitsdatum. Und eigentlich dürfen Belastungen (beim Einkauf im Netz) CVCode gar nicht mehr erfolgen (der wurde aber eh von Sony nicht gespeichert nach deren Aussage), was aber natürlich irgendwelche dubiosen Seiten/Geschäfte nicht interessiert.

Das Problem ist nicht nur Sony alleine (auch wenn man keinesfalls unter den Tisch kehren darf, dass sie wohl Lücken in ihrem System hatten), sondern auch zu einem gewissen Teil die Bequemlichkeit von uns Kunden (nicht immer alle Daten eingeben wollen, schnelle Abwicklung, etc.) und ein ganzes System (damit meine ich den ganzen Ablauf bei Kreditkarten usw.), dass Sicherheit für Schnelligkeit und Handhabbarkeit eintauscht. Darauf will keiner von uns wirklich verzichten (ich auch nicht, da nehme ich mich nicht aus).*


Edit: *Bitte nicht so verstehen, als wären die Kunden schuld an dem Diebstahl der Daten, denn das ist und bleibt die schuld derer die geklaut haben und die deren Sicherheit nicht ausreichend war. Ich möchte damit nur sagen, dass die Ursachen warum so ein Diebstahl überhaupt möglich ist (warum die Daten gespeichert wurden) auch mit bei "uns" liegt. Schuld und Ursache sind zwei unterschiedliche Dinge hier.

[Carfesch]

Das Problem ist nicht nur Sony alleine (auch wenn man keinesfalls unter den Tisch kehren darf, dass sie wohl Lücken in ihrem System hatten), sondern auch zu einem gewissen Teil die Bequemlichkeit von uns Kunden (nicht immer alle Daten eingeben wollen, schnelle Abwicklung, etc.) und ein ganzes System (damit meine ich den ganzen Ablauf bei Kreditkarten usw.), dass Sicherheit für Schnelligkeit und Handhabbarkeit eintauscht. Darauf will keiner von uns wirklich verzichten (ich auch nicht, da nehme ich mich nicht aus).*

Ich würde es nicht auf die Bequemlichkeit der Kunden schieben. Anstatt die Datenbank anzuzapfen hätten die Hacker auch ein Trojaner auf die Server aufspielen können, der die CC Daten "live" abfängt und weiterleitet.
Die Sache mit der Datenbank war nur einfacher bzw. weniger Risikoreich.

Gerade beim SOE-Fall muss man fragen warum sensitive Daten wie die Kreditkartendaten so lange gespeichert wurden. Eine der Kernforderungen beim Datenschutz ist es, Daten nur so lange wie notwendig zu speichern. Bei Konto- und Kreditkartendaten sollten das nie mehr als ein paar Monate ab der letzten Transaktion sein.
Nur klar keine Firma macht das freiwillig, denn Daten sind wertvoll und über die Kreditkartendaten kann man noch ein paar Verknüpfungen (mit anderen Daten) mehr herstellen (z.B. wer alles mit einer CC bezahlt).
Und die Server richtig sicher zu machen, und sei es nur die wichtigen Teile der Datenbanken zu verschlüsseln, wird aus Kostengründen gerne unterlassen.

In meinen Augen gibt es hier nichts was Sony auch nur einen Tick entlastet.
Wobei es klar ist dass es genau so gut MS, Valve oder einen Onlineretailer a la Amazon hätte erwischen können.
Aber vielleicht haben die ja mehr Geld in Sicherheit investiert und lassen nicht ihre Kunden alles ausbaden.

[Hurz]

Gerade beim SOE-Fall muss man fragen warum sensitive Daten wie die Kreditkartendaten so lange gespeichert wurden. Eine der Kernforderungen beim Datenschutz ist es, Daten nur so lange wie notwendig zu speichern. Bei Konto- und Kreditkartendaten sollten das nie mehr als ein paar Monate ab der letzten Transaktion sein.

Da hast du offenbar nicht wirklich nachgedacht bevor du das geschrieben hat. Zum einen müssen rechnungsrelevante Daten in Deutschland (in anderen Industrieländern ist das ähnlich) gesetzlich vorgeschrieben bis zu 10 Jahre gespeichert werden (gut, an der Stelle könnte man sie verschlüsseln). Und zum anderen sind bei einem laufenden Abo für ein MMO bei dem eine regelmäßige Bezahlung fällig. Da ist die Speicherung gerade auch für den Kunden bequem, denn so können Abos in beliebigen Zeiträumen ohne Zutun des Kunden bezahlt werden. Die Alternative wäre, dass bei jeder fälligen Verlängerung eines Abos (oder Kauf übers PSN, etc.) die kompletten Daten neu eingegeben werden müssen. Und genau bei diesem Punkt schlägt die Bequemlichkeit von uns Usern zu, denn wir alle wollen es schnell und einfach (oder nutzt du nicht bei Amazon die gespeicherte KK zum Einkauf?).

Und die Server richtig sicher zu machen, und sei es nur die wichtigen Teile der Datenbanken zu verschlüsseln, wird aus Kostengründen gerne unterlassen.

Wir wissen alle, dass es nie eine hundertprozentige Sicherheit geben wird und aus einigen Gründen (schnelle/bequeme/regelmäßige Wiederverwendbarkeit, Zugriff durch Kundendienst, etc.) wird eine Verschlüsselung wohl teilweise einfach unpraktisch sein. Kosten spielen natürlich auch eine Rolle, denn die Unternehmen arbeiten nun mal wirtschaftlich und Sicherheit kostet (erst einmal) nur und bringt dem Unternehmen kein Geld ein. Das ist natürlich eigentlich ein Unding, aber leider ein Effekt der Marktwirtschaft. Man könnte natürlich über Regulierungen nachdenken, aber ob die zweckmäßig sind und vor allem im globalen Markt irgendeinen Effekt hätten wage ich zu bezweifeln.

Ich würde es nicht auf die Bequemlichkeit der Kunden schieben.

In meinen Augen gibt es hier nichts was Sony auch nur einen Tick entlastet.

Für den Diebstahl (oder wie "simpel" der offenbar war) natürlich nicht, das sagte ich auch extra, denn dafür muss Sony ganz klar gerade stehen (und sich schämen). Aber für die grundlegende Ursache warum Daten gespeichert werden gibt es teilweise schon Gründe die bei uns Usern liegen. Wobei natürlich die Bequemlichkeit für den Kunden auch im zweiten Schritt dem Unternehmen entgegen kommt, da User dort aktiv werden wo es einfach und schnell geht. Würden wir nur dort einkaufen wo Daten nicht gespeichert bleiben (weil uns Sicherheit wichtiger als Bequemlichkeit ist) und wir Adresse usw. bei jedem Einkauf neu eingeben müssen, dann gäbe es für die Unternehmen auch weniger Anreiz dies zu tun (abgesehen von gesetzlichen Pflichten).

[Carfesch]

Um es mal kurz zu machen.
Die Daten, die laut Gesetz 10 Jahre lang vorgehalten werden müssen, haben im "normalen" (Abrechnungs- oder Datawarehouse-) System NICHTS zu suchen. Punkt. Die befinden sich in jeder ordentlichen Firma in einem separaten System der Finanzbuchhaltung, welches den gesetzlichen Vorgaben genügt. Auf das System gibt es sinnvollerweise nur einen Zugang für "Extern", nämlich den für die Finanzbehörden. Klar kann man der Fibu auch noch Trojaner unter jubeln, aber das ist mit mehr Aufwand verbunden als "nur" die ans Internet direkt angeschlossenen System zu hacken.

Wenn SOE in einer vier Jahre alten Datenbank trotzdem solche (Konto/Kreditkarten) Daten hat gibt es keine Entschuldigung.

Was aktuelle Daten angeht, so gibt es wie ich im letzten Posting geschrieben hatte, sowieso keine vollkommene Sicherheit. Da ist es für den Hacker nur einfacher wenn die aktuellen Daten bereits in einer DB vorliegen.

Deine Argumentation dass Bequemlichkeit der Kunden schuld sein soll ist ungefähr so sinnig wie Kunden, die im Einkaufzentrum bestohlen wurden, vorzuwerfen dass die Bar zahlen wollen (und sich so für den Diebstahl der Geldbörse erst anfällig machen) wo es doch auch andere Zahlungsmöglichkeiten gibt.

[Hurz]

Die Daten, die laut Gesetz 10 Jahre lang vorgehalten werden müssen, haben im "normalen" (Abrechnungs- oder Datawarehouse-) System NICHTS zu suchen.

Ganz so einfach ist das wohl nicht, da die Daten ja teilweise nicht veraltet sind und von den Kunden und laufenden Abos usw. in Gebrauch sind. Wenn dann könnte man nur Teildaten auslagern und hätte dann zwei Systeme die man überwachen, prüfen usw. müsste. Ob damit die Sicherheit automatisch verbessert würde ist nicht gesagt. Wie du sagst, wäre dann dieses System angreifbar (was offenbar ja passiert ist, denn es wurde eine Datenbank mit dem Datensatz von 2007 (auch?) abgegriffen - so zumindest die letzten Meldungen).

Deine Argumentation dass Bequemlichkeit der Kunden schuld sein soll ist ungefähr so sinnig wie Kunden, die im Einkaufzentrum bestohlen wurden, vorzuwerfen dass die Bar zahlen wollen (und sich so für den Diebstahl der Geldbörse erst anfällig machen) wo es doch auch andere Zahlungsmöglichkeiten gibt.

Du hast den Unterschied zwischen Schuld und grundlegender Ursache noch immer nicht begriffen und denkst viel zu kurz. Schuld an einem Diebstahl ist der, der diesen begeht oder fahrlässig/vorsätzlich zu lässt (wo bereits dein Beispiel scheitert, da es hier nur zwei Akteure gibt und nicht einen zwischengeschalteten Dritten). In deinem Beispiel hätte ein Kunde - wenn er die Geldbörse offen in der Tasche trägt - schon eine (wenn auch nicht juristische) Mitschuld. Weniger als so eine Mitschuld ist dann eine Ursache (ein allgemeines Verhalten in diesem Falle).

Um bei deinem Beispiel zu bleiben: Schuld bestohlen zu werden in einem Einkaufszentrum ist der Kunde nicht, aber die Tatsache, dass Menschen (also die Allgemeinheit) für eine schnelle Bezahlmöglichkeit Bargeld mit sich herum trägt ist dennoch eine Ursache für die Tatsache, dass jemand überhaupt auf die Idee kommt Geldbörsen zu stehlen.

Es geht mir nicht darum wer hier die Schuld trägt, denn das ist eindeutig Sony (neben den Dieben selber natürlich), weil sie (neben miserabler Kommunikation - offenbar keine Stärke der Japaner) im Bereich der Sicherheit geschludert haben. Das war fahrlässig - ohne Zweifel. Es geht darum warum überhaupt so ein Diebstahl versucht wird, möglich wird und Daten für externen Zugriff bereit stehen. Es geht also um die grundlegenden Ursachen und da spielen wir mit unserem Verhalten auch eine Rolle (neben anderen Ursachen).

Mit anderen Worten sollte man nicht nur auf Sony deuten und sagen "die sind schuld und damit gut" und damit jede Verantwortung (im weitesten Sinne - nicht (!) auf diesen Einzelfall bezogen) von sich schieben, sondern einen Schritt zurück machen und überlegen wo möglich (Mit-)Ursachen liegen. Und da wird man auch bei sich selber fündig und das ist "unser" (der "des" Konsumenten) Wille schnell, einfach, bequem und möglichst ohne Umstände und sofort Dinge kaufen/bestellen zu können. Unser Verhalten also ist auch mitursächlich dafür, dass Daten so vorgehalten werden wie sie es werden (damit beim Aufrufen der Account-Seite sofort alle Daten sichtbar sind, geändert werden können, etc.).


Wie gesagt nimmt das Sony nicht in Schutz oder aus der Verantwortung für diesen Einzelfall, aber es könnte Anlass dazu sein auch mal einen (soweit möglich) objektiven Blick auf das eigene Verhalten zu werfen und zu überlegen ob nicht unser Verhalten auch dazu beigetragen hat für die Ursachenbildung. Wie gesagt, wir könnten alle uns so verhalten, dass wir jedesmal alle Daten neu eingeben ... bei jedem Einkauf bei Amazon und Co ... bequem wäre anders.

[Itchy]

Und eigentlich dürfen Belastungen (beim Einkauf im Netz) CVCode gar nicht mehr erfolgen

Genau. Wie oft hast Du schon mal Deinen CV-Code bei Amazon eingegeben? Ich genau noch nie in meinem Leben. Und ich hab erst im Januar eine neue Kreditkarte eingegeben.

Das Problem ist nicht nur Sony alleine (auch wenn man keinesfalls unter den Tisch kehren darf, dass sie wohl Lücken in ihrem System hatten), sondern auch zu einem gewissen Teil die Bequemlichkeit von uns Kunden (nicht immer alle Daten eingeben wollen, schnelle Abwicklung, etc.) und ein ganzes System (damit meine ich den ganzen Ablauf bei Kreditkarten usw.), dass Sicherheit für Schnelligkeit und Handhabbarkeit eintauscht. Darauf will keiner von uns wirklich verzichten (ich auch nicht, da nehme ich mich nicht aus).*

Bequemlichkeit und Sicherheit schließen sich nicht aus. Man kann für den Kunden alles super bequem darstellen und kann die Daten trotzdem sicher ablegen. Kreditkartennummern u.ä. in irgendwelchen Datenbanken unverschlüsselt abzulegen war in den 90ern vielleicht noch ganz schick - im Jahre 2011 ist das ein Witz. Aber ganz ehrlich - auch wenn ich selbst mit SOE von dem Ding betroffen bin (glücklicherweise bin ich da aber schon seit vielen Jahren kein Kunde mehr und die Kreditkartendaten längst nicht mehr gültig), ich bin froh, dass es auch mal einen Großen erwischt hat und nicht nur immer so kleine Onlineshop-Klitschen. Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz. Und das ist auch nötig. Wenn ich mir so meine letzten Projekte (allesamt bei namhaften deutschen Unternehmen) ansehe, kann ich sagen, dass es dort nicht nur Licht, sondern auch ganz viel Schatten gibt. Für die einen sind starke Authentisierung, Transparent Data Encryption und ein funktionierendes Monitoring- und Zugriffskontrollsystem an der Tagesordnung, anderen sind diese Sachen (noch) zuwider. Aber wie gesagt: Sony ändert alles.