W związku z faktem, iż wszyscy piszą o padzie PSN-a, masowo zastrzegają sobie karty i lamentują, że im jakiś haker shakuje lodówkę, chciałbym napisać parę słów o tym, co się właściwie stało, starając się jednocześnie zachować spokój, chociaż o to w zaistniałych okolicznościach przyrody trudno.
Tak, zacznijmy od tego, to słabe, że komuś udało się włamać do PSN-a. Natomiast były już włamy i do Visy, i do rozmaitych banków, i do wielkich firm. Włamania się zdarzają.
Tak, Sony wyłączyło usługę, żeby ocenić rozmiar szkód i postawić wszystko od nowa. Była to bardzo trudna i bardzo odważna decyzja, za którą firmę należy szanować, nie mieszać z błotem. Fakt, że na początku udawali, że to nie oni, jest problemem korporacyjnej komunikacji, którą na pewno naprawią zaraz po PSN-ie.
Tak, Sony przechowywało dane użytkowników w możliwym do odkodowania formacie – przy czym przez “dane” rozumiemy username, e-mail oraz hasło do PSNa. Numery kart kredytowych były zaszyfrowane i nie było przy nich podanego numeru CVV2, co od razu bardzo ogranicza możliwości ich wykorzystania do celów złodziejskich.
Tak, trzeba być obecnie złodziejem-debilem, żeby skorzystać z wykradzionego z PSN-a numeru karty, natomiast jeśli macie karty o wysokim limicie skojarzone z PSN, dobrze będzie je albo zastrzec, albo przyciąć transakcje do zera. Bo ludzie to debile.
Największy spadek: trzęsienie ziemi. Wyciek danych na razie bez większego efektu na kursie.
Tak, to wielka wpadka o epickich proporcjach, natomiast na razie nie odbiła się wyraźnie na akcjach SNE (czyli Sony Corporation), bo te oberwały trzęsieniem ziemi w Japonii, a nie jakimś tam security breachem. Na dowód obok kurs akcji SNE za ostatnie 3 miesiące.
Tak, należy poza zastrzeżeniem karty przypomnieć sobie również maila, którym rejestrowaliście się w PSN, wysilić mózg, czy przypadkiem hasło do samej skrzynki pocztowej nie jest takie samo jak do PSN-a, a następnie je zmienić. W skrzynce macie zapewne sporo maili potwierdzających hasła do rozmaitych witryn, więc w najgorszym wypadku może się to skończyć niezłą lawiną. Proces zmiany hasła warto powtórzyć dla każdej istotnej usługi, do której używaliście swojego maila jako loginu – czyli na przykład PayPala czy Amazona. Jeśli macie abonament na jakiejś pornostronie, również dobrze byłoby zmienić hasło, żeby nie dało się stamtąd wyciągnąć numeru Waszej karty kredytowej.
Tak, PSN wstanie i będzie 10 razy bardziej bezpieczny niż był oraz 5 razy bardziej bezpieczny niż Xbox Live.
Tak, na przyszłość nie należy używać karty kredytowej z wysokim limitem do transakcji online. Albo zdrapki, albo wirtualna karta, albo lolkarta z limitem 200 dolarów.
To chyba tyle. PSN ma ruszyć w przeciągu tygodnia, a pracownicy firmy, jak napisano na oficjalnym polskim blogu, “pracują na okrągły zegar”. Prawdopodobnie po to, żeby wiedzieć, która jest godzina.
Jedyny sensowny tekst jaki ostatnio czytałem w temacie awarii PSN i wycieku danych. Dziękuje i pozdrawiam.
haha, juz to widze, jak bedzie 10 razy bezpieczniejszy, zalataja obecna dziure, moze i ze dwie inne i po sprawie
Cubituss czy oni tobie za to placa? 😀 serio, nie nalezy besztac sony za to? zbieraja dane, trzymaja je w odwracalnych algorytmach, klamali na temat wlamania, grozili procesami, nachodzili ludzi z prawnikami, zachowywali sie jak pijany samuraj w doborowym towarzystwie, a ty nadal uwazasz, ze nalezy sony bronic? MIAZGA!
jakby okazali troche wiecej szacunku to nie byloby tego problemu
Tak naprawdę to kwestia czasu była, a że padło akurat na PSN to po prostu bywa – pewnie z powodu afery z łamaniem PS3 i sposobu w jaki sony z tematem postąpiło. Zasadniczo wiadomo – zapędzili się przy szybkim łataniu PSN po złamaniu konsoli i gdzieś kwestie bezpieczeństwa spadły na boczny tor. Może i dobrze, że się stało co się stało, bo zawsze jest szansa, że ktoś w tym korporacyjnym pędzie po $ zastanowi się nad sprawami bezpieczeństwa.
W zasadzie żal można mieć, że mimo bezwładności korporacyjnej, to informowanie rzetelne co się dzieje po 6 dniach jest trochę nie na miejscu. I tu nie ma się co dziwić, że ludziom puściły nerwy. A piskami poczuły temat i jazda….
nie piskami, tylko pismaki miało byc lol 🙂
vel –> najwyraźniej po tych 6 dniach uznano, że komunikacja nie jest właściwa i należy mówić w bardziej otwarty sposób. Wcześniej zapewne nie wiedzieli, jakie są rozmiary włamania, więc i o nich nie informowali. Niemniej zgadzam się, za długo była cisza. Co do spraw bezpieczeństwa, to pewnie masz rację, ostatni hotfix odkrył jakąś dziurę i lawina poszła.
Może i rozmiarów nie znali, ale powinni byli jednak dmuchać na zimne i poinformować użytkowników. 6 dni jednak to sporo. Ostatni fail chmury amazońskiej nie był tak szeroko krytykowany, bo info o problemach było od razu. To samo z pamiętną awarią skype sprzed paru miesięcy – bieżące informowanie bez ściemy co się dzieje było docenione przez userię.
Nie znam się na tym jaki to teoretyczny może mieć teraz wpływ na zaufanie do marki ps3 i psn, ale tym zwlekaniem mogli sobie nieco napsuć krwi. A już na pewno po tym jak się miotali dziwnie po złamaniu ps3 i w kwestii geohota, to sorry…. ale jest fail, na pewno wizerunkowy i komunikacyjny.
Kuba, zaprzestań proszę podawania cyfr z tyłka typu:
“Tak, PSN wstanie i będzie 10 razy bardziej bezpieczny niż był oraz 5 razy bardziej bezpieczny niż Xbox Live.”
Ani ja, ani ty i podejrzewam że nikt na świecie nie jest w stanie tego porównać.
To jest celowo z tyłka 😉 Ale masz rację.
ahhhh, mila memu sercu cenzura, socjalizm zwyciezyl 😀
Świetnie, na trzeźwo, napisany tekst. Taki trochę głos rozsądku w panice, którą podkręcają mainstream’owe media.
Media sa od tego aby siac panike, jak nie ma newsow to je generuja. Tak wiec nie ma co sie dziwic ze mainstreamowe media sieja panike.
O cyfrach z tylka napisal Piasek wiec je zostawie. Porusze inny temat – czy CFW i ps3 zostalo uzyte do tego ataku czy tez zostal on przeprowadzony starymi metodami ?
BO jesli atak umozliwil CFW i ps3, czyli mozliwosc podlaczenia sie konsola developerska do psn, to czemu dopiero teraz. PS3 w wersji TEST jest troche w niepowolanych rekach i jak ktos bardzo chce to raz na jakis czas taka moze na ebay kupic. Mozna na takiej ps3 zrobic to samo co na tej z CFW plus duzo wiecej bo ta przerabiana miala tylko pare funkcji konsoli developerskiej.
Na koniec, przy okazji gromadzenia danych przez sony, czemu sony wysyla przez psn takie dane jak np. model telewizora pod jakie jest podpiete ps3 ? O topologii domowej sieci, aktywnosci uzytkownika itd. nie wspomne.
-> vel
Ale o czym mieli informowac? “Sluchajcie, chyba ktos sie do nas wlamal, nie wiemy jeszcze co i jak, ale moze powymieniajcie swoje karty kredytowe, a my w miedzyczasie sprawdzimy, czy ktos ich numery w ogole posiadl?”
Nie wiemy tak naprawde jak tam bylo i moze sie nigdy nie dowiemy, Sony na pewno dostalo po tylku, teraz jakies rekompensaty pewnie wymysla (typu darmowa gra dla kazdego). Moim zdaniem bledem jest ze te numery kart Sony w ogole posiada. Powinne byc zapisane co najwyzej lokalnie, zaszyfrowane na dysku twardym konsoli (dla wygody placenia). A agent rozliczeniowy (Visa, Mastercard itp.) po prostu powinien przejmowac te dane przy zakupie, nadawac numer transakcji potem z pomoca tego numeru komunikowac sie z dostawca (czyli Sony) w razie np. reklamacji. Sony po uzyskaniu tego numeru transakcji powinno miec obowiazek wykasowania numerow kart kredytowych z wlasnych systemow.
Gdyby na rynku było dziesięć różnych konsol do wyboru, Sony mogłoby mieć problem, ale są dwie (Wii to inna bajka), więc może spać spokojnie. Nie straci klientów.
Dokladnie moje odczucia. Sony niestety tak ma, ze nigdy nie komentuje plotek (nie wazne, ze psp go juz kazdy portal mial obfotografowany i przetestowany, do premiery Sony nie powiedzialo dokladnie nic), oraz niespecjalnie lubi mowic czegokolwiek, za co mozna by ich zlapac i zaskarzyc, wiec wychodzi tak, jak wychodzi. Bardziej mnie wkurza, ze sam atak mial miejsce jakies 3-4 dni przed wylaczeniem uslugi, a to juz troche za dlugo.
I podejrzewam, ze dds anonimowych pomogl crackerom w ich wlasnym ataku, podpieli sie i przy tym calym generowanym ruchu moglo byc im latwiej w uzyskaniu dostepu. Tak czy siak, karty zmieniac nie zamierzam, ani jej blokowac, haslo mialem inne niz do innych serwisow z ktorych korzystam, a jezeli tak sie dziwniw stanie ze ktos mi sciagnie kase z kk, to reklamacja w visa i szybko bedzie to wyrownane. Wtedy ew. pomysle nad zmiana karty, ale to sprawa mojego banku bardziej.
I cholera mam nadzieje, ze :
Q: Has Sony identified the party or parties responsible for the PlayStation Network hack and subsequent theft of personal information?
A: We are currently conducting a thorough investigation of the situation and are working closely with a recognized technology security firm and law enforcement in order to find those responsible for this criminal act no matter where in the world they might be located.
sony znajdzie tych gosci i uwali ich na lata. Geo spotulnial, przeprosil, i Sony potraktowala go lekko, ale tych panow chetnie widzialbym w kamieniolomach, niech sie naucza, co oznacza pracowac.
A co do samej operacji placenia KK, numer pin powinien byc zawsze wymagany, znaczaco skrocilo by to kradzieze.
@angh NUTS!
Przeraża mnie skala tego włamania (no jak mi kumpel przychodzi i opowiada, że na TVN o mojej konsoli mówią to już dużo), ale to nie jest wystarczające do utraty zaufania do firmy. Zabezpieczenia może mieli… ile to Cubi wyliczyłeś? 2x gorsze od MS? 😉 Nie ważne. Nawet jak by mieli 2x lepsze to włam można zrobić. Nie było to celowe z ich strony, zajęli się tym tak szybko jak się dało i nadal pracują. Kontrowersyjne jest to, że dali tak późno znać co się dzieje. Z jednej strony nie chcieli wszczynać paniki a z drugiej to jest jednak 6 dni. Dużo. Wystarczy, żeby zacząć przechwycone dane wykorzystywać.
[ignordlatrola]
A co Wy na to: TomTom udostępniał policji prędkość swoich użytkowników – http://www.dobreprogramy.pl/TomTom-udostepnial-policji-predkosc-swoich-uzytkownikow,Aktualnosc,24692.html To już na bezczelnego. Wydali mniej lub bardziej poufne dane policji, która je na dodatek bezlitośnie wykorzystała. Źle wróżę firmie TomTom.
[b]bbcode test[/b]
“nie było przy nich podanego numeru CVV2”
to akurat mały problem, numer jest 3 cyfrowy, a żaden sklep nie blokuje karty po nieudanej próbie, a z tego co mi wiadomo, większość umożliwia nieograniczoną liczbę prób.
Tak więc wystarczy sama znajomość numeru karty, nazwiska właściciela i daty ważności, CVV2 można sobie “zgadnąć” -co to jest 1000 kombinacji jak jedziesz skryptem.
Lolkarty wydają się być sensownym rozwiązaniem.
Serio żaden sklep nie blokuje karty po x nieudanych próbach? Choćby czasowo? Mi się wydaje, że raz udało mi się zablokować sobie transakcje na 4 godziny, bo wpisywałem nie ten CVV2, który trzeba – na bank udało mi się to zrobić przy przedłużaniu konta w WoWie, ale nie wiem czy przy jakimś sklepie też tego nie było.
Co do daty ważności, to pragnę zwrócić uwagę, iż zgadnąć ją jest wielokrotnie łatwiej niż CVV2.
Blokuja, poza tym visa dzwoni po kilku probach.Problem w tym, ze cvv nie jest wymagana w niektorych sklepach.
http://webhosting.pl/Baza.z.numerami.kart.kredytowych.uzytkownikow.Sony.PSN.wystawiona.na.sprzedaz.Kto.da.wiecej
ooooo… jaki mi przykro! serio bardzo sie smuce, buahaha
Mialem podpieta karte, a jakze.
Trzymalem sie dzielnie przez te pare dni, co chwile sprawdzajac czy “ruble” nie wyciekaja 😉
Ale dzis zwyciezyl zdrowy rozsadek – zastrzeglem, po cholere sie meczyc, w ING wiedzieli o co chodzi, zamowienie zamiennika nie kosztowalo mnie nic.
Hasla w inne miejsca na szczescie inne, ale tez nieraz mam ostro przeprawe przy logowaniu w miejsca, do ktorych od dawna nie zagladalem.
Ogolnie nauczka na przyszlosc, za 20zl wyrobie sobie tzw. wirtualna – przedplacona kredytowke, a plastik zostawie do powazniejszych zakupow.
aha, czyli jak używam karty z wysokim limitem do transakcji online to tak naprawdę moja wina i sam się proszę o kradzież, fixed. Trzymanie w bazie danych haseł w postaci plain text – za to powinna być “elektroniczna” kara śmierci przyznawana. Liczę, że kary i odszkodowania które będzie musiało zapłacić SONY będą niebotyczne. Bo włam to jedno, trzymanie danych niezaszyfrowanych to drugie.
Mała korekta, ceny akcji spadają. To że nie było tego tak widać to zasługa zapowiedzi 2 nowych tabletów od Sony. Niektórzy twierdzą że celowo zwlekano z ogłoszeniem włamu aby nie popsuć zapowiedzi tabletów.
Ja wiem czy to przez tablety.
“Sony Tablet? delivers an entertainment experience where users can enjoy cloud-based services on-the-go at any time.”
Ja bym tam takiego tableta nie kupowal, jak dziala on-the-go at any time psn wi juz chyba kazdy ;-).
Dorzucę swoje 3 grosze – dzisiaj Edge donosi, że ludzie zaczęli wymieniać PS3 na Xboxy 360 i jest to coraz bardziej zauważalny trend oraz spada sprzedaż na PS3. Także przy całej mojej sympatii dla Sony, mają trochę niewesoło.
http://www.next-gen.biz/news/psn-outage-begins-to-hit-retail
Aha, dzisiaj przeczytałem o Chromebook od Google, ale jak w filmiku mi pokazali, że wszystko ma być przechowywane w chmurze to ja dziękuję, postoję. Problemy PSN to zimny prysznic na głowy wielu.