News PSN-Hack: Sony in Großbritannien zu Strafzahlung verurteilt

[der Unzensierte]

Das macht nicht nur Sony so, in jeder Branche arbeiten die Konzerne gleich. Mit möglichst wenig Aufwand möglichst viel Geld verdienen ist ja irgendwie noch legitim. Aber wenn die Qualität der geleisteten Arbeit dann Sch....e ist soll der Kunde das gefälligst hinnehmen ohne zu maulen. Die bezahlen lieber eine Horde Anwälte als einen € rauszurücken.

 

[ULKi22]

Lol, als ob die PSN-User auch nur einen Cent (Penny) davon sehen werden.
Das ist eine Strafe!, keine Schadensersatz!, also wandert das Geld in die Staatskasse.
Da wollen wohl wieder ein paar Anwälte schön shoppen gehen im Harrods.

 

[DirtyOne]

Sicherheit der Kundendaten ist bei Sony anscheinend ein No Go. Da wird das Geld für das IT-Sicherheitsteam lieber für Strafzahlungen aufgewendet, anstatt für Personalkosten. Das ist bei den Beträgen sicherlich Günstiger !

Ich bin für 10 Stockhiebe auf dem Marktplatz für den ganzen Vorstand !

 

[Palomino]

Eine Sammelklage von Nutzern in den Vereinigten Staaten war laut CNet im vergangenen Jahr abgewiesen worden, da es nach Ansicht des zuständigen Richters keine perfekte Sicherheit gebe.

Ich kann die Entscheidung des Gerichtes in Amerika nicht nachvollziehen. Perfekte Sicherheit wird es nie geben, allerdings kann ich von einem Unternehmen, dass Nutzer und Bankinformationen in dieser Größenordnung verwaltet verlangen, seine Sicherheitsvorkehrungen stets auf dem aktuellsten Stand zu halten und sich aktiv um Verbesserungen zu bemühen.

Da dies offensichtlich nicht geschehen ist, ist die Strafe völlig in Ordnung. Ich ioffe sehr, dass auch höhere Instanzen dem Urteil folgen, denn damit gäbe es einen Präzedenzfall, der den Druck auf die Unternehmen erhöht, mehr als nur das Nötigste zu tun. Die Höhe der Strafzahlung ist eher ein Warnschuss, bei Wiederholungen dürften da schon ganz andere Größenordnungen verhängt werden.

 

[Haldi]

250k.Pfund... das sind sicher die Kosten die vom Untersuchungsteam verursacht wurden um diesen Fall genauer zu betrachten.

 

[time-machine]

BestQualityHS was machst du eigentlich wenn sony mal insolvent geht? Ah sony kann nicht insolvent gehen da beschte.kann dich aber eines besseren belehren sony tvs sind der letzte rotz was fährste fürn auto nen sonybaru?

Btt/ diese strafzahlung ist doch lächerlich oder? Andere firmen verklagen sich in millionenhöhe hier geht es um empfindliche kundendaten und diese scheinen im zeitalter des webs wohl nix mehr wert zu sein

 

[GameOC]

Ihr mit euren "Peanuts" ... wenn man etwas hacken möchte, ist dies auch möglich. Selbst Verteidigungsministerien, staatliche Einrichten, Unis usw. die eigentlich relativ gut abgesichert sind, werden desöfteren gehackt. Ganz zu schweigen von XBox Live, Blizzard Server usw.

Wo ein Wille ist, ist auch ein Weg.

 

[Mars2k8]

Ich finde, es hätte von einer hohen Stelle schon damals direkt eine Strafe von mindestens 1 Mio. verhängt werden müssen.
Schlimm genug, dass man im PSN immernoch nur mit KK und Guthabenkarten zahlen kann.

Der wirkliche Skandal war ja nichtmals, dass sie sich hacken ließen, sondern wie sie damit und mit den Nutzerdaten umgegangen sind. Eine Firma, die insbesondere sowas wie Kreditkartendaten nicht genügend absichert, gehört neben einem Imageschaden auch eine gehörige Strafe verpasst, alleine schon damit andere Firmen kappieren, wie wichtig der Datenschutz ist.

 

[DPXone]

Ihr mit euren "Peanuts" ... wenn man etwas hacken möchte, ist dies auch möglich. Selbst Verteidigungsministerien, staatliche Einrichten, Unis usw. die eigentlich relativ gut abgesichert sind, werden desöfteren gehackt. Ganz zu schweigen von XBox Live, Blizzard Server usw.

Wo ein Wille ist, ist auch ein Weg.

Das war nicht mal ein "richtiger" Hackerangriff.
Das war ein Ausnutzen einer Sicherheitslücke (SQL-Injection), die man auf jeden Fall verhindern hätte können.
Und das dazu die wichtigen Daten ja nicht einmal mit Salz gehasht wurden ist unter aller Sau. (eigtl. sollte so gut wie alles nur so gespeichert werden)

Ein Hackerangriff sähe da ganz anders aus. An den Firewalls vorbei (inklusive DMZ, je nachdem wo die Datenbankserver stehen) und unbemerkt Daten klauen und möglichst keine Spuren hinterlassen.
Dies war hier aber keines Falls der Fall.

Hier wars eher so als ob jemand eine Türe aus den 90er Jahren mittels Kreditkarte aufgemacht und gemütlich die Wertsachen mitgenommen hat, die man direkt vermarkten kann (~nicht gehasht sind).
Eine Panzertür mit Retinascanner, Ziffernblock, Fingerabrduckanalyse, 3D-Gesichtserkennung usw. war hier keine vorhanden.


Daaron hat es ja schon erwähnt.

Noch einmal zur Erinnerung: Hier wurde kein ultimativer High-Tech - Angriff auf Zeroday-Lücken gefahren wie bei der iranischen Atomanlage mit Stuxnet. Die Sony-Hacks liefen zu weiten Teilen über SQL Injections.... Sorry, aber SQL Injection ist sowas von BILLIG, wer von sowas erwischt wird hält auch seinen Schwengel ins Piranha-Becken. Dafür muss Strafe einfach sein, und Strafe muss weh tun.

Sogar Wiki sagt dasselbe:

[...] Es ist nicht schwer, bestehende Programme so umzubauen, dass SQL-Injections nicht mehr möglich sind. Das hauptsächliche Problem der meisten Programmierer ist fehlendes Wissen über diese Art von Angriffen. Nachfolgend einige Beispiele, um die Angriffe abzuwehren. [...]

EDIT:
Und dass Sony die Kunden viel zu spät darüber informiert hat ist eh die Härte.
Hier mal die Story in Kurzfassung:

Anfang April 2011 ruft die Hacker-Gruppe Anonymous zum Sony-Angriff auf – als Rache für das gerichtliche Vorgehen gegen George Hotz. Man droht damit, das Playstation Network lahmzulegen und attackiert die Server mit DDoS-Attacken. Nur wenige Tage später, am 16. und 17. April starten größer angelegte Angriffe auf die Server. Sony bemerkt diese erst am 19. April, gibt die Information aber nicht an die Öffentlichkeit weiter. Einen Tag später fährt das Unternehmen das Playstation Network runter. Der offizielle Grund: Wartungsarbeiten. Ein Hack ist nur Spekulation, die Gerüchte verdichten sich aber innerhalb der nächsten Tage. Erst am 23. April 2011 wird es amtlich. Patrick Seybold, Director of Corporate Communications bei Sony, gibt bekannt, dass ein externer Angriff für die Downtime des PSN verantwortlich ist. Über die Ausmaße lässt er die User jedoch im Dunkeln. Einen Tag später dementiert Anonymous Meldungen, nach denen sie für den Hack verantwortlich seien.
Erst am 26. April gibt Sony offiziell den Hacker-Angriff zu. Außerdem bestätigt der Konzern, dass neben dem PSN auch der Dienst Qriocity betroffen ist. Insgesamt haben sich die Hacker Zugriff zu 77 Millionen Kundendaten verschafft. Neben personenbezogenen Daten wurden auch Passwörter entwendet. Außerdem räumte Sony ein, dass Kreditkartendaten betroffen sein könnten. Der Konzern betont aber, dass diese verschlüsselt seien.

Quelle: http://www.buffed.de/Sony-Firma-157...gruende-und-Fakten-zum-Hacker-Angriff-824471/

 

[Valix]

PSN-Hack: Sony in Großbritannien zu Strafzahlung verurteilt

Nein Sony muss nicht strafezahlen sondern die Hacker.
Sony muss man in Schutz nehmen.
Wenn Sony nicht zahlen will machen sie alles richtig ich würde auch nix zahlen.
Die Hacker muss man bestrafen, bitte doch nicht Sony.

Im algemeinen ist Sony beliebter erfolgreicher hersteller kunden verlieren die nicht und erst recht nicht mich, ich bleibe stur und kann nur diesen hersteller sehr gut finden, kaufe weiterhin die sehr guten geräte warum auch nicht weil die geräte klasse sind.

genau deiner meinung Sony wurde schon vorher extrem angegriffen keiner hat ihnen geholfen und die haben sich schon vorher beklagt nur juckt des keinen

Schadenfreude ist halt immer noch die schönste Freude

hacker und Raubkopierer haben sich gefreut und die zahlenden user und Sony beliben drauf sitzten

 

[U-L-T-R-A]

Da ich im Ergeschoss wohne, und meine Scheibe einfach mit einem Backstein zu zertrümmern ist, hab ich das Fenster lieber offen gelassen. So macht mir ein Dieb wenigstens nicht das Fenster Kaputt.
Meine Wertsachen hab ich dann gleich neben das offene Fenster gelegt - nicht daß ein Dieb mir beim durchsuchen der Wohnung noch was kaputt macht

 

[Daaron]

Selbst Verteidigungsministerien, staatliche Einrichten, Unis usw. die eigentlich relativ gut abgesichert sind, werden desöfteren gehackt. Ganz zu schweigen von XBox Live, Blizzard Server usw.

Liest du eigentlich, was andere, z.B. ich, hier schreiben? Der PSN-Hack, und viele andere "Hacks" der letzten 2-3 Jahre, liefen über absolut peinliche Sicherheitslücken. Eine SQL Injection oder ein XSS-Angriff sind nichts, bei dem man ein sechstelliges Budget verbrät, um es zu vermeiden. SQL-Injections vermeidet man schon dadurch, dass man als Programmierer einfach mal das Handbuch seiner Datenbank-Bibliothek gelesen hat.
Unter PHP und MySQL, ohne den Einsatz von PDO & Prepared Statements, kann man fast alle Varianten von SQL Injections komplett blocken, indem man einfach nur um jeden vom User eingegeben Parameter die Funktion mysql_real_escape_string() setzt. EIN VERDAMMTER BEFEHL PRO PARAMETER! Das ist NICHTS. Und schon sind Injections quasi komplett zahnlos.

genau deiner meinung Sony wurde schon vorher extrem angegriffen keiner hat ihnen geholfen und die haben sich schon vorher beklagt nur juckt des keinen

Sony wurden vorher gehackt und sie wurden hinterher gehackt (diese dämliche Musikseite von denen z.b.)... und jedes Mal waren es peinlichste Sicherheitslücken, die ein Entwickler im 1. Lehrjahr bemerkt hätte.

Nochmal: ist ein richtiger Hack, wie z.B. der Angriff auf einen Militärserver, noch eine Operation, die komplexer als der Tunnelraub in Berlin vor ein paar Tagen ist, so sind die "Hacks" bei Sony, Mr. Spex, Gamigo,... eher damit zu vergleichen, dass jemand mal testweise den Türknauf gedreht hat und bemerkt, dass das Haus nicht abgeschlossen ist. Außerdem stand der Code für den Tresor auf nem Post-It an der Wand daneben.
DAS ist die Wahrheit über Sony. Und genau deshalb sind 250k ein Witz. 250M wären sinniger.

 

[Vivster]

Werden dann auch ausgeraubte Banken verklagt?
Das müsste ja eigentlich deutlich schlimmer gewertet werden, da hier nicht nur Daten verschwinden sondern direkt das Geld des Kunden.

Ich finde die Klage lächerlich. Gibt es überhaupt gesetzliche Regelungen wie Private Unternehmen die Daten ihrer Kunden schützen müssen?

 

[Daaron]

Geld kann man ERSETZEN. Persönlichkeitsrechte und persönliche Daten hingegen nicht...

Hier muss ein Exempel statuiert werden, und es muss RICHTIG weh tun. Denn nur dann überlegen es sich solche Saftsäcke wie Sony 2x, bevor sie bei der Sicherheitskontrolle elementare Grundregeln mutwillig verletzen. Von Fahrlässigkeit kann man bei vielen Angriffen gar nicht mehr sprechen, die Fehler sind so eklatant, dass man schon davon ausgehen muss, dass hier mutwillig gehandelt wurde um n paar Cent Entwicklungskosten zu sparen. Vor allem wurden mutwillig dringend nötige Sicherheitstests offensichtlich nicht gemacht. Ein kurzer Penetrationtest hätte die Lücken sicherlich aufgedeckt.
Also entweder wurde das Geld für Sicherheitsüberprüfungen mutwillig eingespart, oder aber die Testergebnisse dieser Überprüfungen mutwillig ignoriert. Fahrlässig ist da nichts mehr.

Wer auf dem Level mit Kundendaten arbeitet, der ist auch zu einer gewissen Sorgfalt verpflichtet.

 

[Der Puritaner]

Natürlich ist Cyberkriminalität ist kein Kavaliersdelikt und sollte auch dementsprechend hart bestraft werden, jedoch jede Firma die ohne spezieller Sicherheits Programme einem Hacker erst ermöglicht auf egal wie viele Kreditkarten- und Login-Details sollte genauso zur Rechenschaft gezogen und Hart bestraft werden wie der Hacker selbst.

Das es keine perfekte Sicherheit in Serversystemen gibt ist wohl klar, aber da diverse Unternehmen Sicherheit wohl nicht besonders ernst zu nehmen scheinen sollte da mal ein Exempel statuiert werden, Sony wird sich da wohl locker mal 250.000 Pfund leisten können die verdienen an den Spielen sowieso dumm und dämlich.

 

[terraconz]

Also irgendwie verstehe ich das nicht, man verurteilt Sony weil sie Opfer eines Verbrechens wurden?
Oder geht es da um den Fahrlässigkeits Vorwurf? Wobei in der IT mit dem Begriff fahrlässig eh sehr vorsichtig umgegangen werden muss.

 

[Daaron]

Ja, es geht hierbei nur um die Tatsache, dass Sony elementar simple Sicherheitsregeln missachtet haben. Die Art, wie Sony angegriffen wurde, ist so primitiv als würdest du mit einem Stück verbogenem Draht oder einem Zimmermannshammer einen Banktresor öffnen.
Im Prinzip lagen all die schönen Kundendaten, inklusive Kreditkartendaten und natürlich den nicht zu ersetzenden Personendaten, einfach nur so offen rum.

Tja, und SOWAS geht einfach gar nicht. Firmen, die sich sowas leisten, müssen gefälligst dafür bluten und nochmal bluten. Denn nur, wenn es den FIRMEN weh tut werden die Kunden in Zukunft besser geschützt.
Verknack Sony zu 25 Mio. statt der lausigen 250k, und jede populäre Webseite mit wertvollen Kundendaten wird einen internen Sicherheitscheck machen.

 

[fatony]

Lächerliche 250.000 Pfund, das sind grade mal 0,0039 cent pro Nutzer... das zahlt Sony (wenn auch angeschlagen) aus der Portokasse. Und ob sie es dann wirklich zahlen müssen, werden wir in 1-2 Jahren sehen.

haha xD nur 250000 Pfund da ist es ja besser sich für gar keine sicherheitsmaßnahmen zu kümmern und weiterhin jede periode so einen, für sony, lächerlichen betrag zu zahlen XD

anscheinend haben welche nicht verstanden, dass eine strafe "aua aua" machen sollte ^^

 

[U-L-T-R-A]

anscheinend haben welche nicht verstanden, dass eine strafe "aua aua" machen sollte ^^

Ich wär ja für gemeinnützige Arbeiten

 

[Daaron]

Vorschlag wird unterstützt...
Alle Vorstände und sonstigen leitenden Angestellten dürfen erst mal n paar Wochen Hundehaufen in Parks aufsammeln oder Urinkellner im Altenheim spielen.