Logg fra hackingen av PS3-systemet i februar avslørte trolig svært slepphendt sikkerhet fra Sonys side. Merk: Kortinformasjonen er et eksempel.

Annonse


Sender Sony kortinfo i klartekst?

En eldre logg av det som skal være samtalene hackerne imellom mens de gyver løs på Sonys sikkerhetsmekanismer sprer seg kjapt på nett.

Sonys mareritt vokser

Det som må være en av, om ikke den styggeste VISA-hacker-saken, rulles nå opp og kan vise seg å bli et PR-mareritt Sony til nå kun har sett en liten del av.

Ufattelige 77 millioner PSN-kontoer er på avveie og med det også trolig titalls millioner sensitiv kredittkort-informasjon.

En katastrofe

Sonys håndtering av saken sett fra et PR-synspunkt har vært en katastrofe da selskapet ikke informerte sine brukere før etter en god stund etter at de var klar over problemet.

Annonse


For å gjøre saken enda styggere, viser det seg nå trolig at Visa-informasjon mellom din Playstation og Sonys servere sendes i klartekst.

Gammel logg avslører

Dette om vi skal tro en chat-logg som nå sprer seg som ild i tørt gress på nett. IRC-chat-loggen skal være mellom hackerne mens de snoket i PS3-systemet, en sak som endte i forlik mellom Sony i California og George Hotz.

Informasjonen, om den stemmer, får det til å gå kaldt nedover ryggen til alle som noensinne har tastet kortdetaljene sine inn på en slik tjeneste.

Kredittkorttinfo i klartekst?

Nå ser det altså ut som at Sony virkelig får svi får elendig sikkerhet.

I denne loggen kan man blant annet lese:

[12:35:56] cuz its way too easy todo scamming at this point

[12:36:00] for example:

[12:37:05] creditCard.paymentMethodId=VISA&creditCa rd.holderName=Max&creditCard.cardNumber= 4558254723658741&creditCard.expireYear=2 012&creditCard.expireMonth=2&creditCard. securityCode=214&creditCard.address.addr ess1=example street%2024%20&creditCard.address.city=c ity1%20&creditCard.address.province=abc% 20&creditCard.address.postalCode=12345%2 0

Flere rettsaker trolig på vei

Medfører dette riktighet er det ikke vanskelig å skjønne at Sony her ikke bare har systemer som er lette å komme seg inn i, men de kan også få problemer med sikkerhetsorganer som krever at sensitiv bankinformasjon som dette selvsagt krypteres skikkelig.

Ifølge denne oppdaterte Q&Aen fra Sony er ikke sikkerhetskoden (tre sifre, ofte kalt CVC eller CSC) lekket da selskapet hevder de ikke spør om denne når man registrerer (men hva om man har betalt for noe?) seg på PSN eller Qriocity og at denne infoen derfor ikke er lagret noengang.

Videre hevder Sony at VISA-kortinfoen er kryptert, noe som motstrider hackernes påstand fra februar. Sony nekter likevel ikke for at all annen informasjon som navn, passord og VISA-kortnummer kan ha kommet på avveie.

Den gang Arstechnica undersøkte hacker-informasjonen for å få den bekreftet svarte aldri Sony. Nå har selskapet enda mer de må svare for.

Les også: Sony lover å ha PSN tilbake i løpet av en uke.

Kilde:
http://173.255.232.215/logs/efnet/ps3dev/2011-02-16
Arstechnica

Annonse