News Angeblich acht Sony-Server gehackt

Sony hat doch nach dem großen PSN-Hack eine externe Sicherheitsfirma mit dem Schutz der konzerneigenen Netzwerke beauftragt.

Wenn ich Sony wär, würde ich jetzt mein Geld zurückverlangen...
 
Cyberwar... ist aber hart wenn "private Amateure" Sicherheitsvorkehrungen überwinden wo Millionen gekostet haben...
 
d0xs schrieb:

Und wenn Dir Dein Auto geklaut wird, findest Du das auch lustig/cool? :freak:
Sony's Server angreifen ist eine Sache, sie darauf hinzuweisen das ihre Security Bullshit ist geht ok, aber warum zum Teufel müssen diese asozialen Hackerkiddies immer gleich Passwörter und Account veröfentlichen??? Solche Zeitgenossen gehören ins Arbeitslager nach Sibirien!!!

Wer sowas lustig findet hat es wohl noch nie persönlich getroffen... ...eventuell vergeht Dir auch mal das lachen! Ist nicht so lustig Kreditkarten zu sperren!

@ über mir: Gilt auch für Dich...
 
Sony gehackt ... das hörte man in letzter Zeit so oft, dass man sich schon fast zu einem marktschreierischen "Wer hat noch nicht, wer will nochmal" hinreißen lassen will.

Im Ernst, sicher ist eine Firma wie Sony beliebtes Ziel, aber die müssens doch irgendwann mal lernen alles vernünftig ab zu sichern? Scheint aber nicht der Fall, denn immerhin rühmen sich die Hacker nicht damit die "unglaublich harten Sicherheitsvorkehrungen" geknackt zu haben sondern sind eher im Gegenteil, maßlos von diesen enttäuscht und ich behaupte mal, keiner setzt seine "Leistungen" bei sowas selber herab (vorausgesetzt ihre Verkündung stimmt so).
 
Eyefinity schrieb:
Und wenn Dir Dein Auto geklaut wird, findest Du das auch lustig/cool? :freak:
Sony's Server angreifen ist eine Sache, sie darauf hinzuweisen das ihre Security Bullshit ist geht ok, aber warum zum Teufel müssen diese asozialen Hackerkiddies immer gleich Passwörter und Account veröfentlichen??? Solche Zeitgenossen gehören ins Arbeitslager nach Sibirien!!!

Wer sowas lustig findet hat es wohl noch nie persönlich getroffen... ...eventuell vergeht Dir auch mal das lachen! Ist nicht so lustig Kreditkarten zu sperren!

@ über mir: Gilt auch für Dich...
/sign.

Sibirien ist noch zu human, Chinesische Kohleminen, da gehören sie hin.
 
Schade, diesmal gibts wohl keine gratis Spiele =(

Edit:

Ich glaube Sony trifft da keine oder nur wenig Schuld. Natürlich ist es ihre Aufgabe unsere Daten zu schützen und sie haben - wiedereinmal - versagt. Doch die Frage ist, ob es überhaupt möglich ist, die Daten zu 100% zu schützen - ich denke nicht. Dazu kommt noch dass Sony ein riesen Unternehmen ist und daher auch ein beliebtes Ziel.
Was wir auch nicht wissen ist wie lange die Hacker da rumgedoktort haben, um auf deren Server zu kommen - ja, sie behaupten zwar es wär easy - aber das sagen sie doch nur um ihre Überlegenheit doppelt und dreifach zu unterstreichen. Es ist ja nicht so als würde bei Sony ein xampp server mit default Einstellungen laufen - wie bei anderen großen Firmen. So gesehen behaupte ich jetzt einfach mal, dass Sony angemessene Schutzvorkehrungen getroffen hat aber man ist eben nie sicher.
 
Zuletzt bearbeitet:
Eyefinity schrieb:
Und wenn Dir Dein Auto geklaut wird, findest Du das auch lustig/cool? :freak:
Sony's Server angreifen ist eine Sache, sie darauf hinzuweisen das ihre Security Bullshit ist geht ok, aber warum zum Teufel müssen diese asozialen Hackerkiddies immer gleich Passwörter und Account veröfentlichen??? Solche Zeitgenossen gehören ins Arbeitslager nach Sibirien!!!

Wer sowas lustig findet hat es wohl noch nie persönlich getroffen... ...eventuell vergeht Dir auch mal das lachen! Ist nicht so lustig Kreditkarten zu sperren!

@ über mir: Gilt auch für Dich...

Obwohl du recht hast, wie einem sowas "gefallen" kann, frag ich mich auch, dennoch solche polemischen Pauschalisierungen wie "ins Arbeitslager nach Sibirien" müssen auch nicht sein. Was sie wirklich getan haben und wohin man sie zu schicken hat, werden im Fallesfalle Gerichte entscheiden.
Hinzu kommt imho, dass die Hacker nur die eine Seite der Medaille sind, die andere ist Sony und ihre wohl nach wie vor mangelhaften Sicherheitsmaßnahmen, wenn dem so ist, haben sie dafür mindestens ebenso einen Schuß vor den Bug verdient. Das nenn ich nämlich grob fahrlässig.

Zu den veröffentlichten Daten, wie gesagt, wir sind uns sicher einig, sowas zu veröffentlichen ist unnötig, aber immerhin waren es "nur" PW-Hashes und wenn Sony wenigst einen Funken aus der Vergangenheit gelernt hat, waren sie idealerweise auch noch alle gesalzen, was die Hashes dann wertlos machen sollte.
 
Obs wieder SQL Injections waren, so wie im April 2011?

P.S.: Chinesische Kohleminen sind immer noch besser als südafrikanische Platinminen.
 
Eyefinity schrieb:
Wer sowas lustig findet hat es wohl noch nie persönlich getroffen... ...eventuell vergeht Dir auch mal das lachen! Ist nicht so lustig Kreditkarten zu sperren!
Lustig find ichs auch nicht, war selber vom Hack im April 2011 betroffen inkl. Kreditkarte die hinterlegt war im Store.

Jedoch ist die ganze Kreditkartensperrerei reine Panikmache. Es besteht kein Grund die gleich sperren zu lassen. Zumindest nicht für die Leute die ab und zu Ihre Abrechnung überprüfen.
Falls etwas gebucht wird, das nicht von dir kommt. Einfach anrufen und das bekannt geben. Man bekommt eine Erklärung zugeschickt, dass man das wirklich nicht war - unterschreiben und fertig. Schon verschwindet der Betrag von deiner Rechnung.

Ist mir selber zwar nicht passiert, aber meiner Schwester mal. Wir beide haben VISA. Obs bei anderen auch so einfach funktioniert weis ich allerdings nicht.
 
Eyefinity & Marv:
Ernsthaft? Sie haben doch recht! Und was sind schon gehashte Passwörter? Die (hoffentlich salted) Hashs bringen doch keinem was!
Anders ignorieren dich Unternehmen aber... Was für eine Wahl hätte denn ein Hacker?
Alle Firmen scheißen da drauf, solange es nicht populär wird.
Diese Art und Weise ist die einzige, die funktioniert.
 
Jeder, der hier schreit "Gefällt mir" oder es ganz genau weiß, was Sony alles falsch macht, dem wünsch ich mal einen Job, bei dem er für die Sicherheit eines Webservers zuständig ist. Nur einer, nicht gleich ein ganzer Cluster, wir wollen ja nicht gleich mit zuviel Arbeit kommen.

Oh und dann sollen diese Leute bitte auch Accounts erstellen mit Passwörtern, die auch die Sekretärin oder der CEO versteht. Da kommt ihr mit Passwörtern wie "hjX86zobn/(T!!fsodnf" nicht weiter, sondern die Passwörter müssen merkbar sein. Und dann schult ihr bitte diese Leute auch regelmäßig, damit sie ihre Zugänge nicht per social engineering verbreiten.

Vergesst nicht, auch die Datenbank abzusichern (auch hier: nur ein Server, kein DB Servercluster, wir fangen klein an). Den Loadbalancer, CDN und andere Server lassen wir auch mal weg, wird sonst zuviel. Überseht nicht gekündigte Mitarbeiter, deren Accounts müssen deaktiviert werden. Das IDS und die Firewalls müsst ihr auch im Auge behalten.

Sicher haltet ihr auch euer Wissen über aktuelle Angriffsmethoden aktuell. Teardrop, LAND und Man-in-the-middle-Attacken sind natürlich alte Hüte für euch.

etc pp usw...

Es ist zu leicht, über andere zu lachen, wenn man selbst keine Ahnung hat. Gerade in der IT Sicherheit könnte man Bücher schreiben über Sicherheit und dennoch nur an der Oberfläche kratzen.

Also mal bitte abwarten was wirklich geschehen ist.
 
Merle schrieb:
Anders ignorieren dich Unternehmen aber... Was für eine Wahl hätte denn ein Hacker?
Alle Firmen scheißen da drauf, solange es nicht populär wird.
Diese Art und Weise ist die einzige, die funktioniert.

Nun, du könntest dich z.B. an eine Zeitung oder ein Online-Magazin wenden. Heise haben z.B. immer Interesse an so etwas. Man muss den Kram nicht gleich wild und ungefiltert in die Welt blasen, man kann auch erst einmal häppchenweise anfixen.

@MrTengu
Der Sony-Hack im April 2011 war ne SQL Injection. Mir (der ich ja leider ein paar Server unter meiner Fuchtel hab) ist durchaus bewusst, wie schwierig Sicherheit ist, aber SQL Injections sind ein Level, dass man als leidlich professionelle Firma einfach abdecken sollte. Haaaaalllooooo, wir reden hier von "schreibe mysql_real_escape_string() um jede extern bezogene Variable". Das war keine monströse Social Engineering - Kampagne, das war eher so, als hätten Sony im Ghetto-Viertel das Auto offen gelassen und das Ausbau-Werkzeug fürs Autoradio läge auf dem Armaturenbrett.
 
@ Daaron
Offenbar wars ja nicht ungefiltert und wild, sondern immerhin so gemacht, das die Datensätze zwar eindeutig zuzuordnen waren, aber eben geringe Brauchbarkeit hatten.

@ MrTengu
Sicherheit ist bestimmt kein einfaches Thema, da gebe ich dir recht. Aber wenn man wie Sony hochsensible Dinge wie Kreditkartendaten dauerhaft bei sich speichern möchte, sollte ein gewisser Standard eingehalten werden - und zwar so, dass nicht jede Kiddie-Gruppe mal eben so durch kommt. Diese Demonstration an mangelhafter Sicherheit zieht Sony die Hosen runter, und das ist leider das einzige, was solche Konzerne dazu bewegt, überhaupt etwas zu unternehmen. *Like*
 
Es ist zu leicht, über andere zu lachen, wenn man selbst keine Ahnung hat. Gerade in der IT Sicherheit könnte man Bücher schreiben über Sicherheit und dennoch nur an der Oberfläche kratzen.
Hier gehts doch nicht darum, dass hier einer aus CB beschließt, n Webserver aufzumachen und - oh Wunder - dieser ist unsicher.
Es geht um ein milliardenschweres Unternehmen! Wenn ich allein an die Telekom denke, wäre es wohl schwerer, an wichtige Cluster zu kommen. Und SONY ist ja nun nicht wirklich kleiner.
 
Ich find das garnicht so schlimm, dass Passwörter online gehen...

Das ruft den ganzen leuten wieder in den sinn, dass diese cloudscheiße nix ist...

Mittlerweile sollen wir doch überall unsere daten hinterlegen...

Das blöde ist - das diese unternehmen gerne die daten hätten, aber nicht wissen, wie man damit umgehen soll....

Facebook, Google und MS... diese Firmen machen sehr viel geld aufgrund unserer daten... aber bei denen trägt die keiner raus.

Sony, Samsung und andere... das sind firmen, die auch unsere daten haben wollen - sei es für ein update seines Android oder sonstiges...
Diese daten sind aber nie sonderlich sicher gelagert... weil es eben nicht ihr kapital ist.

Also sollen die ruhig daten raustragen, damit mal entlich jemand merkt, dass die "Cloud" nichts ist, was für dem Kunden von Vorteil ist...
 
Daaron schrieb:
@MrTengu
Der Sony-Hack im April 2011 war ne SQL Injection. Mir (der ich ja leider ein paar Server unter meiner Fuchtel hab) ist durchaus bewusst, wie schwierig Sicherheit ist, aber SQL Injections sind ein Level, dass man als leidlich professionelle Firma einfach abdecken sollte. Haaaaalllooooo, wir reden hier von "schreibe mysql_real_escape_string() um jede extern bezogene Variable". Das war keine monströse Social Engineering - Kampagne, das war eher so, als hätten Sony im Ghetto-Viertel das Auto offen gelassen und das Ausbau-Werkzeug fürs Autoradio läge auf dem Armaturenbrett.

Ja, keine Frage. SQL Injection ist praktisch die 1. Klasse in der SQL Schule. Bei den betroffenen Servern handelte es sich allerdings um alte Server. Vermutlich hat die einfach keiner mehr beachtet.

Das kenne ich auch von uns. Irgendjemand schreibt mal ein Script ohne wirklich Bescheid zu wissen (Azubi z.B.) das funktioniert, also wirds behalten. Und irgendwann weiß keiner mehr genau, was wo wie läuft. Abschalten oder ändern wirds auch niemand, weil keiner weiß was dadurch alles in Mitleidenschaft gezogen wird.

The42 schrieb:
@ MrTengu
Sicherheit ist bestimmt kein einfaches Thema, da gebe ich dir recht. Aber wenn man wie Sony hochsensible Dinge wie Kreditkartendaten dauerhaft bei sich speichern möchte, sollte ein gewisser Standard eingehalten werden - und zwar so, dass nicht jede Kiddie-Gruppe mal eben so durch kommt. Diese Demonstration an mangelhafter Sicherheit zieht Sony die Hosen runter, und das ist leider das einzige, was solche Konzerne dazu bewegt, überhaupt etwas zu unternehmen. *Like*

Ebenso Zustimmung. Hochsensible Daten müssen mit höchsten Standards gesichert werden. Da darf es nicht an Dingen wie "keine Arbeitszeit für zusätzliche Sicherheitsstufen da" scheitern (die Praxis sieht meist anders aus).

Ist denn bekannt, ob die Gruppe vorher an Sony herangetreten ist und auf das Sicherheitsloch aufmerksam gemacht hat?
 
Zurück
Oben