'Opnieuw kwetsbaarheid in PSN ontdekt'
Sony's PlayStation Network bevatte opnieuw een kwetsbaarheid. Wie het e-mailadres en de geboortedatum van een PSN-gebruiker kende, zou zijn of haar wachtwoord hebben kunnen wijzigen. PSN ging vorige maand na een hack offline.
De website Nyleveia meldde de nieuwste kwetsbaarheid in het PlayStation Network als eerste. Nyleveia wil niet uit de doeken doen hoe de hack werkte, maar kan wel bevestigen dat kwaadwillenden in staat waren om een wachtwoord van een PSN-account te wijzigen wanneer bekend was wat het e-mailadres en de geboortedatum van een PSN-gebruiker waren. De gebruikte reset-tokens werden niet gevalideerd, aldus Nyleveia.
Inmiddels is de website waarop PSN-wachtwoorden kunnen worden gereset, offline. Inloggen op PSN-sites is eveneens onmogelijk, al kan met de PlayStation 3 en de PSP nog wel op het PlayStation Network worden ingelogd.
Nog geen maand geleden werd het hele PlayStation Network offline gehaald, nadat hackers hadden ingebroken op PSN en persoonsgegevens van gebruikers buit wisten te maken. Afgelopen zondag pas werd de dienst weer langzaam opgestart.
Reacties (159)
In het ergste geval is dat al gebeurd, en kan je dus niet meer inloggen. Er is geen sprake van data diefstal als ik het goed begrijp 
.
.Dr is wel sprake van ergernis 
Al die gamers blij dat ze weer konden gamen en nu kunnen ze weer niks
Al die gamers blij dat ze weer konden gamen en nu kunnen ze weer niks PSN is niet offline. Je kan alleen niet via je browser op je computer inloggen. Online spelen kan wel.
Niet als iemand je wachtwoord heeft aangepast via deze kwetsbaarheid. Al denk ik dat dat nog zal meevallen op dit moment.
for each user {
for each date {
try resetpassword
}
}
Kan snel veranderen hoor als ze het niet snel offline halen
for each date {
try resetpassword
}
}
Kan snel veranderen hoor als ze het niet snel offline halen
in feite wel. Als het je lukt om zo'n query direct uit te voeren op het PSN netwerk,
behalve dan dat "for each date" nogal nutteloos is omdat je moeilijk kunt weten welke tabellen je dan allemaal aanpast
behalve dan dat "for each date" nogal nutteloos is omdat je moeilijk kunt weten welke tabellen je dan allemaal aanpast
for each user {
ALTER password=hallo123 WHERE user=user
}
Nouja, zijn voorbeeld is wel een stuk haalbaarder... als je de gemiddelde doelgroep neemt heb je maar een paar duizenden mogelijkheden te proberen.. als dat snel gaat en er geen limiet op zit kan het best snel bruteforcebaar zijn. Helemaal met een klein scriptje wat geb. datum bij gebruikersnaam automatisch probeert te zoeken met google e.d.
Behalve dan dat juist deze gegevens buit gemaakt zijn in hack. Ik heb ze niet, jij denk ik ook niet, maar de "bad guys" dus wel. Die kunnen dit truucje dus makkelijk flikken.
goeie genade, heeft dan werkelijk niemand hier gehoord van pseudo-code? NIet werkelijke code die iets illustreert?Aangezien je volgens je tweakers cv overal ervaring mee hebt weet je zelf wel dat het niet zo eenvoudig gaat als je schetst.
De inhoudelijke code klopt niet, dat klopt helemaal, maar dat is ook niet de bedoeling. Als je het lek te pakken hebt is het zo simpel. (alleen dan met een paar regels extra code, en echte code).
verdorie, zowat iedereen die ik ken gebruikt pseudo-code voor dit soort dingen. We gebruiken het op IRC zelfs vaak genoeg om grappen te maken.
[Reactie gewijzigd door arjankoole op donderdag 19 mei 2011 07:35]
Volgens mij ging de kritiek ook niet zozeer over het gebruik van pseudo-code, maar over de bewering dat omdat het in een paar regels pseudo-code te beschrijven was, de daadwerkelijke bewerking 'simpel' zou zijn.zowat iedereen die ik ken gebruikt pseudo-code voor dit soort dingen
Ik kan nog steeds niet online spelen, had in die tussentijd namelijk Fifa 11 gehaald, echter moet ik een zogenaamde 'Online Pass' invullen, die heb ik ook.
Echter krijg ik dan doodleuk de melding dat de service momenteel niet bereikbaar is wegens onderhoud, ja PSN is weer online maar toegevoegde waarde = 0, want kan nog steeds niks
.
Echter krijg ik dan doodleuk de melding dat de service momenteel niet bereikbaar is wegens onderhoud, ja PSN is weer online maar toegevoegde waarde = 0, want kan nog steeds niks
.dat komt omdat na die activatie er een klein bestandje aan je spel wordt gekoppeld. En dat bestandje komt uit de PSN store en ,je raadt het al, die is nog wel offline
Heb ik ook. Reden is simpel. Deze code gaat via de PS store. En daarom is het nog niet mogeijk met nieuw gekochte fifa on te gaan. Nog even wachten tot alles online is dan kun je je gang gaan.
Verders werken de meeste online games gewoon heel goed =)
Verders werken de meeste online games gewoon heel goed =)
Hoezo? Die hackers hebben geen wachtwoorden buitgemaakt hoor.
Ze kunnen (konden) enkel je wachtwoord wijzigen.
Ze kunnen (konden) enkel je wachtwoord wijzigen.
Dat komt voor mij op hetzelfde neer...
Ik heb toch liever dat iemand mijn wachtwoord kan wijzigen dan dat iemand mijn wachtwoord heeft. Het levert alleen frustratie op omdat je waarschijnlijk contact op moet nemen met Support.
Dit is behoorlijk schadelijk voor het imago van Sony. Dit soort dingen moet goed over nagedacht worden. Desnoods laat je een ethical hacker erop los die de zaak voor je evalueert.
Dit is behoorlijk schadelijk voor het imago van Sony. Dit soort dingen moet goed over nagedacht worden. Desnoods laat je een ethical hacker erop los die de zaak voor je evalueert.
[Reactie gewijzigd door Rob Krauts op donderdag 19 mei 2011 08:27]
denk even na...
als iemand jou paswoord wijzigt weet hij je nieuwe paswoord ook, maar jij niet
als iemand jou paswoord wijzigt weet hij je nieuwe paswoord ook, maar jij niet
En als je iemands wachtwoord kan wijzigen, kan je dus ook inloggen op zijn/haar account. Nou heb ik zelf geen PSN account, maar ik neem aan dat je, als je inlogt, je eigen gegevens kan bekijken?
wanneer iemand je wachtwoord wijzigt weet diegene echt wel waarin die dat heeft gewijzigd kortom hij heeft het wachtwoord dan ook. niet de vorige maar wel de huidige en de huidige bepaalt of je er in kan of niet.
op zich wel beter dat ze het vorige wachtwoord dan niet kunnen zien, meeste gebruikers hebben 1 wachtwoord voor alles....
op zich wel beter dat ze het vorige wachtwoord dan niet kunnen zien, meeste gebruikers hebben 1 wachtwoord voor alles....
Nou is het wel zo dat je je passwordwijziging moet bevestiging (je krijgt daar dus een mailtje over). Toevallig heb ik dat gisteren zelf gedaan...
Als je rechtstreeks in de database gegevens wijzigt krijg je echt geen bevestigingsmailtje.
Dat zou inderdaad wat vervelend zijn, maar daar hebben ze het niet over, geloof ik. Ik zie nu wel iets over resettokens staan, maar ik heb geen idee wat daarmee bedoeld wordt...
Lekker nuttig als je iemand's gegevens hebt maakt dat niks meer uit totdat dit gefixed is dan.
Sony gaat je na deze blunder vast nog een gratis spel geven uit de oude doos, dus maak je niet druk je wordt "gecompenseerd"
PSN is natuurlijk gratis en XBOX LIVE kost een paar centjes, dan gaan sommige mensen zeiken omdat ze al een maand niet online kunnen vanwege de hack. Nou wees blij dat je gratis mag spelen!
je betaalt er echt wel voor via de aankoopprijs van games hoor...
Sony doet echt niets gratis...
Sony doet echt niets gratis...
Nou dan betalen xbox 360 gamers dus dubbel want de prijzen van games zijn identiek.
Komt steeds meer bij 
Dit was natuurlijk te verwachten. Elke hacker/cracker etc gaat nu schieten op Sony om PSN weer offline te krijgen. Al is dit natuurlijk wel een heel specifiek geval, van hoeveel gebruikers weet je de geboortedatum nu...
De originale hackers: van iedereen waarschijnlijk 
Klopt, dit heeft Sony ook bevestigd, de hackers hadden enkele dagen volledige toegang tot hun user servers, en in die tijd kan je makkelijk alles kopieren.
Zat dat niet bij de gegevens die de crackers gestolen hadden?
Nu met hyves/facebook en al die andere sociale media? Ik gok dat ik zo van tig mensen hun e-mail/geboortedatum combinatie kan vinden.
De vraag is alleen of de geboortedatum op Facebook/Hyves/andere social media gelijk is aan die op PS Network. Want niet iedereen is even eerlijk over zijn geboortedatum.
Klopt. Echter zal iemand die stelselmatig de "verkeerde" gegevens opgeeft vaak geneigd zijn dezelfde datum te gebruiken.De vraag is alleen of de geboortedatum op Facebook/Hyves/andere social media gelijk is aan die op PS Network. Want niet iedereen is even eerlijk over zijn geboortedatum.
Dat hoeft natuurlijk maar voor een beperkt aantal mensen de waarheid te zijn om dit te misbruiken. Er zullen hier op de tweakers forums best wel wat mensen over hun PS hebben gesproken. Daarvan zullen er vast wel enkele zijn waarbij de gebruikersnaam ook gebruikt wordt bij PS en die een geboortedatum hebben ingevuld op hun profiel.
Hetzelfde geld overigens voor Hyves, Facebook e.d. (Staat bij interesses vast wel eens Playstation).
Misschien gaat het maar om een klein aantal gebruikers die op deze manier hun PS account kwijt zijn.
De geboortedatum van GeoHot staat op wikipedia. Om maar een voorbeeld te noemen.
Straks moeten we voor iedere site een unieke gebruikersnaam gaan verzinnen om dit te voorkomen.
Edit: Lees email adres waar gebruikersnaam staat.
Hetzelfde geld overigens voor Hyves, Facebook e.d. (Staat bij interesses vast wel eens Playstation).
Misschien gaat het maar om een klein aantal gebruikers die op deze manier hun PS account kwijt zijn.
De geboortedatum van GeoHot staat op wikipedia. Om maar een voorbeeld te noemen.
Straks moeten we voor iedere site een unieke gebruikersnaam gaan verzinnen om dit te voorkomen.
Edit: Lees email adres waar gebruikersnaam staat.
[Reactie gewijzigd door ajakkes op woensdag 18 mei 2011 16:48]
Maar het grootste gedeelte wel.
Als jij even Facebook afspeurt, zal het bij waarschijnlijk bij 8/10 van de PS3 gebruikers gewoon kloppen. Altans bij mij wel
.
Als jij even Facebook afspeurt, zal het bij waarschijnlijk bij 8/10 van de PS3 gebruikers gewoon kloppen. Altans bij mij wel
.
Zelfs hier op tweakers.net staat je geboortedatum...
Identificatie op basis van geboortedatum, moedersnaam, geboortestad, elke geheime vraag, ... zijn IDIOOT.
Identificatie op basis van geboortedatum, moedersnaam, geboortestad, elke geheime vraag, ... zijn IDIOOT.
[Reactie gewijzigd door Randmr op woensdag 18 mei 2011 20:29]
In ieder geval de originele hackers van 77 miljoen gebruikers.
Misschien, maar dit zijn wel belangrijke cases die ze van te voren bedacht hadden kunnen hebben.
Dit zegt weer genoeg of de kennis/kwaliteitsbewaking bij Sony. OF het is niet verbeterd, OF de persoon die er nu verantwoordelijk voor is, is niet goed voorgelicht/heeft niet genoeg kennis van het systeem.
Dit zegt weer genoeg of de kennis/kwaliteitsbewaking bij Sony. OF het is niet verbeterd, OF de persoon die er nu verantwoordelijk voor is, is niet goed voorgelicht/heeft niet genoeg kennis van het systeem.
The hackers themselfs maybe?
Die kunnen ook na een reset weer bij de gegevens dan..
Die kunnen ook na een reset weer bij de gegevens dan..
Ik zie dit echter niet als een probleem. Zo word Sony gedwongen om correct om te gaan met de account gegevens van anderen, zeker na wat er de afgelopen weken heeft gespeeld omtrent PSN. Sony kan zich gewoon geen blunder meer veroorloven.
jmijnster @ hotmail.nl / com
22 oktober 1981
Het is dus echt wel een issue..
22 oktober 1981
Het is dus echt wel een issue..
[Reactie gewijzigd door densoN op woensdag 18 mei 2011 16:44]
Lees ook even door over die validatietoken, daar zat de zwakte.
Een password reset opvragen op basis van deze gegevens is vrij normaal, net zo als de zwakte van alle accounts nog steeds 1 simpele basis is.. je email.
Als iemand toegang krijgt tot je email, is bijna niets meer tegen te houden.
Een password reset opvragen op basis van deze gegevens is vrij normaal, net zo als de zwakte van alle accounts nog steeds 1 simpele basis is.. je email.
Als iemand toegang krijgt tot je email, is bijna niets meer tegen te houden.
Ik snap je reactie niet helemaal, men kan het wachtwoord wijzigen door alleen een e-mailadres + DOB in te vullen. De eigenaar krijgt weliswaar een e-mail dat het wachtwoord is gewijzigd maar dan zit de kwaadwillende al op de desbetreffende account.
Je geboortedatum is geen geheim, die zou iedereen mogen weten, net als je e-mailadres, telefoonnummer, aantal vingers aan je linkerhand, etc. Het is dus een slecht plan om die gegevens te gebruiken om te valideren dat jij bent wie jij bent.... van hoeveel gebruikers weet je de geboortedatum nu?
Evenzogoed word je bij blizzard (o.a. world of warcraft) verplicht een 'geheime vraag' te kiezen en te beantwoorden en heb je alleen de keuze uit zaken die niet geheim zijn en al mijn kennissen weten; merk van mijn eerste auto, naam van de basisschool waar ik op zat, naam van mijn eerste huisdier, allemaal zaken die je niet als als controlevraag wil gebruiken.
waarom kan men met email en geboortedatum wachtwoorden aanpassen??
overal op internet is het al normaal dat je minimaal het oude ww ook moet opgeven wil je een nieuwe maken
overal op internet is het al normaal dat je minimaal het oude ww ook moet opgeven wil je een nieuwe maken
Klopt, Dat is de validatie token. Alleen de check of die token goed of fout is, is altijd goed!
Terwijl zo'n check nooit altijd goed mag zijn. Ik denk bijna zeker dat er een bug zit waardoor de check niet juist wordt uitgevoerd. maar door de code als TRUE wordt gezien. Lullig, en niet professioneel. bijvoorbeeld: Miljoen keer true, code; "ja ja 1 true is genoeg hoor". terwijl er slechts 1 TRUE mag zijn.
Btw, Als je als PS owner benauwt voelt kan je toch gewoon je email adres wijzigen?
Terwijl zo'n check nooit altijd goed mag zijn. Ik denk bijna zeker dat er een bug zit waardoor de check niet juist wordt uitgevoerd. maar door de code als TRUE wordt gezien. Lullig, en niet professioneel. bijvoorbeeld: Miljoen keer true, code; "ja ja 1 true is genoeg hoor". terwijl er slechts 1 TRUE mag zijn.
Btw, Als je als PS owner benauwt voelt kan je toch gewoon je email adres wijzigen?
uhh, zo moeilijk is dat niet hoor, kijk maar eens rustig rond op de forums van sony en je kunt vaak via wat googlen iemands emailadres en geboortedatum achterhalen..
Een nieuwe documentaire op discovery channel:Hoe psn een stille dood lijdde!
Stille dood? Nogal een luidruchtige dood, als je het mij vraagt
Dikke onzin, over enkele weken (als er niets ernstigs meer gebeurd) is iedereen dit al lang weer vergeten..
En dit is denk ik niet het einde. Denk dat er nog meer aanvallen komen.
Pfoe ja de hackertjes zullen PSN nu wel eens even aan de tand voelen wss . Omdat het kan 
.
Overal zitten leaks in maar PSN lijkt wel een gatenkaas:P
. Omdat het kan .Overal zitten leaks in maar PSN lijkt wel een gatenkaas:P
daar gaan we weer. sony is de laatste tijd een zeer gewild target.
Wat dacht je van Google en Microsoft; die zijn continue een target. (Facebook waarschijnlijk ook).
Zoek op google naar een emailadres.. Hoeveel je te weten komt over mensen, dat is absurt. Dus tja, redelijk gemakkelijk kan je een mailadres hieraan koppelen hoor.
Ik heb het geprobeerd en bij mij kwam er maar een link uit waar geen geboorte datum bij stond maar het is zeker mogenlijk.
Zegt meneer waarvan zijn geboortedatum en naam hier gewoon bij zijn profiel staat..
Wat een onzin, heb het net zelf geprobeerd vond helemaal niks.
Alleen met het opgeven van mijn volledige naam vond ik mijn hyves pagina, die trouwens compleet is afgeschermt
Alleen met het opgeven van mijn volledige naam vond ik mijn hyves pagina, die trouwens compleet is afgeschermt
Sony zal eerst eens goed onderzoek moeten doen naar nog meer kwetsbaarheden, voordat ze psn etc weer online zetten. Nou begrijp ik wel dat ze graag zo snel mogelijk alles weer online willen hebben. Maar als het wel snel, maar niet goed gebeurd hebben de psn gebruikers er nog niks aan.
Aan de ene kant ontzettend jammer dat er uberhaupt mensen zijn die dit willen, maar aan de andere kant ook wel weer iets waar we allemaal veel van kunnen leren, Sony voorop.
Laat de 'hackers' nu eerst maar even alle gaten opzoeken en publiceren, zodat Sony in een keer alles kan fixen. Dat is nog altijd stukken beter dan achteraf steeds weer opnieuw problemen hebben. Natuurlijk ontstaan er ook nieuwe gaten in de loop van de tijd, maar ik denk dat dit Sony wel even met de neus op de feiten heeft gedrukt.
Ik verwacht dat alles eind Mei wel weer vol operatief is, netjes alle gaten (tot nu toe ontdekt zijn) gedicht en gamen maar weer. Ik laat m'n CC gegevens echter niet meer bij Sony achter..
Laat de 'hackers' nu eerst maar even alle gaten opzoeken en publiceren, zodat Sony in een keer alles kan fixen. Dat is nog altijd stukken beter dan achteraf steeds weer opnieuw problemen hebben. Natuurlijk ontstaan er ook nieuwe gaten in de loop van de tijd, maar ik denk dat dit Sony wel even met de neus op de feiten heeft gedrukt.
Ik verwacht dat alles eind Mei wel weer vol operatief is, netjes alle gaten (tot nu toe ontdekt zijn) gedicht en gamen maar weer. Ik laat m'n CC gegevens echter niet meer bij Sony achter..
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
