Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 159 reacties, 48.611 views •

Sony's PlayStation Network bevatte opnieuw een kwetsbaarheid. Wie het e-mailadres en de geboortedatum van een PSN-gebruiker kende, zou zijn of haar wachtwoord hebben kunnen wijzigen. PSN ging vorige maand na een hack offline.

Playstation NetworkDe website Nyleveia meldde de nieuwste kwetsbaarheid in het PlayStation Network als eerste. Nyleveia wil niet uit de doeken doen hoe de hack werkte, maar kan wel bevestigen dat kwaadwillenden in staat waren om een wachtwoord van een PSN-account te wijzigen wanneer bekend was wat het e-mailadres en de geboortedatum van een PSN-gebruiker waren. De gebruikte reset-tokens werden niet gevalideerd, aldus Nyleveia.

Inmiddels is de website waarop PSN-wachtwoorden kunnen worden gereset, offline. Inloggen op PSN-sites is eveneens onmogelijk, al kan met de PlayStation 3 en de PSP nog wel op het PlayStation Network worden ingelogd.

Nog geen maand geleden werd het hele PlayStation Network offline gehaald, nadat hackers hadden ingebroken op PSN en persoonsgegevens van gebruikers buit wisten te maken. Afgelopen zondag pas werd de dienst weer langzaam opgestart.

Gerelateerde content

Alle gerelateerde content (35)

Reacties (159)

Reactiefilter:-11590139+173+23+30
Moderatie-faq Wijzig weergave
1 2 3 ... 6
Update van Sony: http://bit.ly/lkJzJR

Volgens Sony hadden ze zelf de URL token exploit ontdekt en vervolgens de sites offline gehaald...
Uhm je kon je wachtwoord altijd alleen maar aanpassen door je mail adres en geboortedatum in te voeren.

Vervolgens krijg je een mail toegestuurd met een link en via deze link kun je dan je wachtwoord aanpassen.

Dus wat is hier dan de hack als ik vragen mag?
Waarschijnlijk zet je eerst het account op "requires validation" status en wordt er een email gestuurd. Vervolgens heeft de hacker alleen niet de link om deze te activeren, deze heeft immers geen toegang tot het email adres. Alleen worden de tokens niet goed gecontroleerd en kan de hacker dus met een andere url die hij zelf opbouwt het account activeren en vervolgens op een pagina het wachtwoord wijzigen.
Een nieuwe documentaire op discovery channel:Hoe psn een stille dood lijdde!
Dikke onzin, over enkele weken (als er niets ernstigs meer gebeurd) is iedereen dit al lang weer vergeten..
Stille dood? Nogal een luidruchtige dood, als je het mij vraagt
Dit was natuurlijk te verwachten. Elke hacker/cracker etc gaat nu schieten op Sony om PSN weer offline te krijgen. Al is dit natuurlijk wel een heel specifiek geval, van hoeveel gebruikers weet je de geboortedatum nu...
Nu met hyves/facebook en al die andere sociale media? Ik gok dat ik zo van tig mensen hun e-mail/geboortedatum combinatie kan vinden.
De vraag is alleen of de geboortedatum op Facebook/Hyves/andere social media gelijk is aan die op PS Network. Want niet iedereen is even eerlijk over zijn geboortedatum.
De vraag is alleen of de geboortedatum op Facebook/Hyves/andere social media gelijk is aan die op PS Network. Want niet iedereen is even eerlijk over zijn geboortedatum.
Klopt. Echter zal iemand die stelselmatig de "verkeerde" gegevens opgeeft vaak geneigd zijn dezelfde datum te gebruiken.
Dat hoeft natuurlijk maar voor een beperkt aantal mensen de waarheid te zijn om dit te misbruiken. Er zullen hier op de tweakers forums best wel wat mensen over hun PS hebben gesproken. Daarvan zullen er vast wel enkele zijn waarbij de gebruikersnaam ook gebruikt wordt bij PS en die een geboortedatum hebben ingevuld op hun profiel.

Hetzelfde geld overigens voor Hyves, Facebook e.d. (Staat bij interesses vast wel eens Playstation).
Misschien gaat het maar om een klein aantal gebruikers die op deze manier hun PS account kwijt zijn.

De geboortedatum van GeoHot staat op wikipedia. Om maar een voorbeeld te noemen.

Straks moeten we voor iedere site een unieke gebruikersnaam gaan verzinnen om dit te voorkomen. 8)7

Edit: Lees email adres waar gebruikersnaam staat.

[Reactie gewijzigd door ajakkes op 18 mei 2011 16:48]

Maar het grootste gedeelte wel.
Als jij even Facebook afspeurt, zal het bij waarschijnlijk bij 8/10 van de PS3 gebruikers gewoon kloppen. Altans bij mij wel ;).
Zelfs hier op tweakers.net staat je geboortedatum...

Identificatie op basis van geboortedatum, moedersnaam, geboortestad, elke geheime vraag, ... zijn IDIOOT.

[Reactie gewijzigd door ? ? op 18 mei 2011 20:29]

De originale hackers: van iedereen waarschijnlijk :/
Klopt, dit heeft Sony ook bevestigd, de hackers hadden enkele dagen volledige toegang tot hun user servers, en in die tijd kan je makkelijk alles kopieren.
waarom kan men met email en geboortedatum wachtwoorden aanpassen??
overal op internet is het al normaal dat je minimaal het oude ww ook moet opgeven wil je een nieuwe maken 8)7
Klopt, Dat is de validatie token. Alleen de check of die token goed of fout is, is altijd goed!
Terwijl zo'n check nooit altijd goed mag zijn. Ik denk bijna zeker dat er een bug zit waardoor de check niet juist wordt uitgevoerd. maar door de code als TRUE wordt gezien. Lullig, en niet professioneel. bijvoorbeeld: Miljoen keer true, code; "ja ja 1 true is genoeg hoor". terwijl er slechts 1 TRUE mag zijn.
Btw, Als je als PS owner benauwt voelt kan je toch gewoon je email adres wijzigen?
Zat dat niet bij de gegevens die de crackers gestolen hadden?
Misschien, maar dit zijn wel belangrijke cases die ze van te voren bedacht hadden kunnen hebben.

Dit zegt weer genoeg of de kennis/kwaliteitsbewaking bij Sony. OF het is niet verbeterd, OF de persoon die er nu verantwoordelijk voor is, is niet goed voorgelicht/heeft niet genoeg kennis van het systeem.
The hackers themselfs maybe?
Die kunnen ook na een reset weer bij de gegevens dan..
Ik zie dit echter niet als een probleem. Zo word Sony gedwongen om correct om te gaan met de account gegevens van anderen, zeker na wat er de afgelopen weken heeft gespeeld omtrent PSN. Sony kan zich gewoon geen blunder meer veroorloven.
... van hoeveel gebruikers weet je de geboortedatum nu?
Je geboortedatum is geen geheim, die zou iedereen mogen weten, net als je e-mailadres, telefoonnummer, aantal vingers aan je linkerhand, etc. Het is dus een slecht plan om die gegevens te gebruiken om te valideren dat jij bent wie jij bent.

Evenzogoed word je bij blizzard (o.a. world of warcraft) verplicht een 'geheime vraag' te kiezen en te beantwoorden en heb je alleen de keuze uit zaken die niet geheim zijn en al mijn kennissen weten; merk van mijn eerste auto, naam van de basisschool waar ik op zat, naam van mijn eerste huisdier, allemaal zaken die je niet als als controlevraag wil gebruiken.
jmijnster @ hotmail.nl / com
22 oktober 1981

Het is dus echt wel een issue..

[Reactie gewijzigd door densoN op 18 mei 2011 16:44]

Lees ook even door over die validatietoken, daar zat de zwakte.

Een password reset opvragen op basis van deze gegevens is vrij normaal, net zo als de zwakte van alle accounts nog steeds 1 simpele basis is.. je email.

Als iemand toegang krijgt tot je email, is bijna niets meer tegen te houden.
Ik snap je reactie niet helemaal, men kan het wachtwoord wijzigen door alleen een e-mailadres + DOB in te vullen. De eigenaar krijgt weliswaar een e-mail dat het wachtwoord is gewijzigd maar dan zit de kwaadwillende al op de desbetreffende account.
In ieder geval de originele hackers van 77 miljoen gebruikers.
uhh, zo moeilijk is dat niet hoor, kijk maar eens rustig rond op de forums van sony en je kunt vaak via wat googlen iemands emailadres en geboortedatum achterhalen..
Pff..ben toch bang dat ze dit uiteindelijk veel klanten gaat kosten. Heb zelf een PS3 (voorheen 360) en begin er toch een beetje van te balen. Ongetwijfeld zal het bij Microsoft niet anders zijn maar het lijkt alsof de aanval is geopend. Als ik nu een nieuwe console moets kopen zou ik toch sterk nadenken geen PS3 te nemen..en als ik dat denk zullen velen dat ook doen (massa). Ben benieuwd hoe dit allemaal gata aflopen.
Hoezo zal het bij Microsoft niet anders zijn? Tot nu toe zijn er nog geen berichten dat Xbox Live of uberhaupt het hele live systeem gehacked is.

Als ik zoek naar informatie over gehackte live accounts dan kom ik eigenlijk altijd uit op phising aanvallen of iets dergelijks.
Je vergist je alleen heel erg in hoe een normale consument denkt, JIJ leest dit allemaal en denkt 'mijn god', genoeg gamers denken 'ahwell, zolang ik maar kan gamen'..

Ook MS is niet vrij van problemen hoor, geen 1 is dat..
Maar ja... wat dan? want een Nintendo wil je ook niet meer: http://www.defectivebydesign.org/nintendo3ds
Maar ja... wat dan? want een Nintendo wil je ook niet meer: http://www.defectivebydesign.org/nintendo3ds
Ah, boze piraatjes die niet blij zijn dat ze niet mogen R4'en van Nintendo. Wat schattig.

Ik ben prima tevreden met m'n 3DS. Maar ja, ik koop m'n games dan ook netjes.
Dit is wel een erg simpele methode. Ik ken eigenlijk geen enkele serieuze site waarbij je je password kan veranderen zonder dat er een email validatie in het proces zit. Je zou denken dat Sony toch even wat vergelijkend onderzoek gedaan heeft voordat men het systeem is gaan bouwen.

Een geboortedatum is nu niet iets wat mensen geheim houden.....

Als je dan toch nog zonder email validatie wil werken, gebruik dan op zijn minst een set vragen als "wat is de naam van je eerste hond", "wat is je favoriete eten" enz enz. Dat is een stuk moeilijker te gokken dan een geboortedatum. |:(
Ze gebruiken wel de emailvalidatie zover als ik begrepen heb. Het probleem is, dat de link die je toegestuurd krijgt om je email te valideren, blijkbaar gefaked kan worden door de hackers omdat de tokens die erin voorkomen niet gereset werden.
Ze maken gewoon een afweging: investeringen vs risico op misbruik en inkomstenderving, als dit weinig potentiele klanten weg heeft gejaagd dan zal men bij sony niet echt veel extra gaan doen, dan nemen ze gewoon het "verlies".
Nou is dit geen site natuurlijk. Als je je windows-wachtwoord kwijt bent is er ook geen e-mailvalidatie, als je je huissleutel kwijt bent ook niet.

* Roland684 kan niet proberen of er een e-mailvalidatie is omdat ik een fake datum heb opgegeven, juist om te voorkomen dat iemand mijn account kan resetten. Als je mij verplicht gegevens te verstrekken waar ik de noodzaak niet van zie om die te verstrekken, krijg je rotzooi van me.
als je maar lang genoeg zoekt en eenmaal weet hoe het systeem werkt is het makkelijk te kraken.

kijk maar naar de WII toen ze eenmaal het systeem snapten kwam nintendo met patch na patch na patch en het heefd nu 10 patches later nog niks uitgehaald.
mischien gewoon geen geld meer vragen voor iets belachelijks als online gamen wat gewoon een service hoort te zijn dan is er ook geen interesante data meer te halen.
Het online gamen is bij de PS3 gewoon gratis hoor. Je hoeft enkel je creditcard gegevens achter te laten wanneer je een aankoop wil doen in de store, en dan nog kan je kiezen om een prepaid PSN-tegoed te kopen in de winkel.

Waar je wel voor moet betalen is voor PS+, wat een betaalde dienst is waarmee je "gratis" games, themes en avatars kan krijgen. Ook krijg je daarmee vaak toegang tot béta's en kan je bepaalde games met een korting kopen.
Dit gaat voor Sony wel een uitdaging worden, nu het zo uitgebreid in de media is geweest gaan de hackers ongetwijfeld veel vaker proberen op welke manier dan ook in te breken, ik bedoel, ze hebben het zelfs via een PS3 gedaan, dat bewijst wel hoe ver ze gaan.

Sony wordt gedwongen bijzonder veel en goede aandacht te besteden aan de beveiliging. Ze kunnen dit niet nogmaals veroorloven ..
Daar komt het nu wel op neer, elke patch, elke update en een gros van hackers gaat weer aan de gang om ergens een gaatje te vinden.
Euh, iedereen die hier naar sony wijst. mag ik jullie erop attanderen dat dit het geval zou zijn bij elke hack op een forum site of wat ook waar je persoonlijke gegevens op hebt. Zolang ze de data kunnen pakken kunnen ze altijd je wachtwoorden veranderen.

Ik denk dat we bijna kunnen stellen dat deze confirmatiemanier niet beschermt is tegen hackers, en dat zal ik het ook nooit zien worden. Ook op tweakers kun je volgens mij hetzelfde flikken als je de gegevens zou pakken.

Ik vraag me wel af though, wat zou je anders als password wijzigingssysteem kunnen maken? ja altijd email confirmation. Maar alles is te hacken right? ; )
Wel slordig en denk dat d.m.v. email confirmation er al veel kan worden veranderd. maar of het een oplossing is..
Als de email validatie een random seed erin heeft is het al verdomd lastig deze te vervalsen zonder dat je toegang tot de email hebt
een nieuw qwachtwoord per post ontvangen geen optie? of alle account verwijderen en iedereen opnieuw laten aanmelden?? zeg maar wat
Aan vele accounts is ook nog andere informatie gekoppelt. Alle accounts verwijderen is dus onzin.

Aan accounts zijn er bijvoorbeeld voortgangen op online games bijgehouden. Trofeeën, vrienden. En in PS Store games PS+, 2 dingen waarvoor veel word betaald.
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True