Sony: 10 miljoonan luottokortit ehkä varastettu
Kuten viime viikolla uutisoimme, Sonyn alkuperäisten väitteiden vastaisesti PlayStation Networkin tietomurrossa on varastettu myös luottokortteja. Ja runsaasti. Viimeviikkoisessa uutisessa kerroimme, että hax0r-piireistä vuotaneiden tietojen mukaan netin rikollispiireissä kaupataan jo kahden miljoonan eurooppalaisen käyttäjän luottokortteja.
Nyt Sony on vahvistanut, että tietomurrossa on todellakin päästy käsiksi myös asiakkaiden luottokortteihin. Yhtiön mukaan jopa kymmenen (10!) miljoonan käyttäjän luottokortit on saatettu varastaa.
Kaikkiaan PlayStation Networkin totaalisen korkkauksen yhteydessä vietiin 77 miljoonan käyttäjän tiedot, minkä johdosta palvelu on ollut nyt kiinni toista viikkoa.
Päivän kuumat uutiset todellakin kertovat, että varastettujen luottokorttien ja muiden alamaailman hyödykkeiden myyntipaikoilla käydään parhaillaan kauppaa paketista, joka sisältää 2,2 miljoonan PlayStation Network -käyttäjän luottokorttien täydelliset tiedot turvanumeroineen ja vanhenemispäivineen.
Aiemmin on jo raportoitu käyttäjien sähköpostiosoitteiden ja puhelinnumeroiden myynnistä nettihuijarien ja puhelinmyyjien käyttöön.
Ongelman ytimessähän on PlayStation Network -palvelun onneton tietoturva, jonka tasoista risukasaa ei olisi olettanut edes palkattomalta harjoittelijalta…
Kaiken taustalla on PlayStation Networkin suunnitteluprosessi. Pitkän linjan PlayStation-toimittajan tietojen mukaan koko verkkoratkaisu kasattiin alusta asti ongelmallisesti. Sonyn Japanin toimisto tilaili yleensä verkkopelejä duunaavalta Sony Online Entertainmentilta pieniä palasia yksi kerrallaan ja ilman mitään suurta visiota. Yksi palikka saattoi hoitaa kaverilistan, toinen taas vaikka viestien lähettelyn ja kolmas PSN-kaupan. Tästä johtuen koko kauppa oli pitkään pelkkä WWW-sivu, johon PlayStation 3 otti selaimellaan yhteyden. Ja tästä alkavat myös ongelmat.
PlayStation 3:n ja PlayStation Networkin välillä liikkuvia paketteja tutkineet hakkerit huomasivat jo alkukeväästä, että PlayStation 3 lähetti kauppaan kaikki luottokorttiisi liittyvät tiedot pitkässä HTTP-litaniassa. Viesti toki lähetettiin salattuna, joten matkalta sitä oli vaikea napata, mutta samaiset hakkerit epäilivät, että nämä todella arkaluontoiset HTTP-viestit päätyivät Sonyn servereillä samoihin logeihin kuin kaikki muutkin HTTP-viestisi. Mikäli näin on, kuka tahansa voisi logit nappaamalla päästä käsiksi lukemattomien luottokorttien tietoihin.
Ongelmat eivät lopu tähän, sillä toiset hakkerit ovat naureskelleet pitkään Sonyn serveriratkaisuille. PlayStation Networkin autentikointiserverit tiettävästi pyörivät wanhalla serverisoftalla, jonka tietoturva-aukot olivat yleisessä tiedossa
Sonyn verkkoratkaisujen surkeus oli käytännössä kuin avoin ovi verkossa alati liikkuville hakkereille, minkä johdosta tapahtumasarjan suurin yllätys on se, että palvelu korkattiin vasta nyt.
Lähde: Sony
Lisää aiheesta
Sonyn johto pahoitteli PlayStation Network -murtoa
Sony: Ei hätää, trophyt ja kaverilistat ovat tallella
Huhupartio: yli kahden miljoonan PSN-käyttäjän luottokorttitiedot ovat nyt kaupan
YLE: PlayStation Network -murrossa vietiin 70 000 suomalaisen luottokortit
PlayStation Networkin murto on h*lv*t*n kallis paukku
Viestintävirasto varoittaa: PlayStation Network -käyttäjien tietoja varastettu
Huhupartio: PSN:n tietoturva on kuin teini-Erkin koodaama
Sony tunnustaa: hakkerit varastivat PlayStation Networkin kaikki käyttäjätiedot
