Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 103, views: 25.214 •

Kwaadwillenden hebben bij 93.000 leden van PlayStation Network en Sony Entertainment Online-service het wachtwoord gekraakt. De gekraakte wachtwoorden kwamen vermoedelijk uit uitgelekte databases van andere diensten.

De kraakpoging is geslaagd bij 60.000 klanten van PSN en Sony Entertainment Network, en bij 33.000 leden van Sony Entertainment Online. Dat heeft Sony zelf bekendgemaakt. De PlayStation-maker heeft de bewuste accounts op slot gezet en analyseert of kwaadwillenden iets hebben gedaan met de gekraakte accounts. Sony beweert dat op de gekraakte accounts niet veel activiteit is geweest.

Kwaadwillenden konden de kraakpoging doen door loginnamen en wachtwoorden te gebruiken die afkomstig zijn van uitgelekte databases van andere diensten, suggereert Sony. Veel mensen gebruiken voor diverse diensten dezelfde gebruikersnamen en wachtwoorden, waardoor zij vatbaar zijn voor dit soort kraakpogingen. Sony kwam de kraak op het spoor toen er veel loginpogingen achter elkaar waren gedaan.

Klanten die getroffen zijn door de kraakpoging kunnen tijdelijk niet inloggen. Creditcardgegevens zijn niet in het geding geweest, zegt Sony. Zij krijgen een e-mail met instructies om hun account weer te activeren. De kraak is gelukt bij minder dan 0,1 procent van de accounts, claimt Sony. Dit voorjaar werd PlayStation Network gehackt. Bij deze hack, veel geraffineerder dan de recente kraakpoging, werden de accountgegevens van tientallen miljoenen PSN-gebruikers ontvreemd.

Reacties (103)

Reactiefilter:-1103094+148+22+30
Hopen op weer gratis games dan maar _/-\o_
Goed lezen : Dit is geen fout van Sony maar een fout van externe partijen welke databases hebben gelekt ;)
Weet ik maar het gaat hier ook om imagoschade bij Sony. Nu zullen mensen PSN nog meer wantrouwen en dat vertrouwen moeten ze weer terugwinnen.
Onzin. Mensen lezen over het algemeen beter dan jou denk ik, dus dan krijgt Sony juist geen imago-schade.
Weet je dat 100% zeker? De berichtgeving op nu.nl laat niks over derde partijen lezen, maar wel over vorige hacks en creditcardgegevens (die niet zijn gelekt):
http://www.nu.nl/games/26...chtoffer-van-hackers.html
Waarschijnlijk hebben de maatregelen bij Sony ervoor gezorgd dat zij o.a. de inlogpogingen nu monitoren, waardoor ze er Łberhaupt achter zijn gekomen dat er een kraak is geweest (bij een andere partij). Goede zaak dus, alleen kan het een beetje lastig voor een leek om door te hebben als je zo'n artikel leest.
Baseer je maar niet op nu.nl, dat is geen journalistieke website die feiten/fabels onderzoekt, in plaats daarvan kopieert men maar wat raak van andere bronnen.

Proof ?
Selecteer 1 regeltje tekst uit enig welk artikel op nu.nl en plak het in google..
tadaaa
Onzin. Mensen lezen over het algemeen NIET goed en hebben overigens snel een oordeel. Al helemaal als Sony al eerder negatief in het nieuws is geweest. Het eerste wat mensen denken is dan "alweer?". Oftewel is dit weer imageschade.
Genoeg mensen lezen alleen de kop van het artikel en dan wordt het inderdaad: goh alweer.

Ik was al niet zo heel erg bezig om een PS3 te kopen geef ik eerlijk toe, maar met nieuwsberichten als deze is dat inmiddels onder het nulpunt belandt.
Mag ik vragen waarom?
Als je het artikel goed leest, zie je dat ze adequaat hebben gehandeld.
Dat zou mij juist vertrouwen geven.
Het gaat natuurlijk vooral om de grote kraak van eerder dit jaar, waarna je wekenlang niet het PSN op kon. Dit is voor mij de genoemde "goh alweer", hoewel natuurlijk veel kleiner.

En om flauw te zijn: als ze adequaat hadden gehaald, was het niet gebeurd ;)
Hoe moeten ze hier volgends jou adequaat op handelen dan? want het random proberen van wachtwoorden bij e-mail adressen kan iedereen nog wel en vind ik niet hacken..
Sony heeft gezien dat dit gebeurde en heeft gelijk de getroffen accounts "op slot" gezet... (tenminste dit is wat ik opmaak uit de tekst)
En daarbij gebeurd dit denk ik ook wel bij heel veel andere online diensten alleen melden die niet dat dit gebeurd
Dat is inderdaad erg flauw, want het is niet waar. Hoe kan Sony nu de databases van externe bedrijven beveiligen. |:(
Het ondersteund maar weer eens mijn eerste reactie, ik lees dus ook niet volledig. Als ik dan eens echt ga lezen: Vanuit het artikel dat gelinkt staat, van de playstation.com site, quote ik "These attempts appear to include a large amount of data obtained from one or more compromised lists from other companies, sites or other sources."

Die laatste 3 woorden vind ik opvallend. Andere bronnen binnen Sony? Allemaal een kwestie van "hoe lees je het". Ik zeg niet dat het per se andere Sony bronnen zijn, maar over het algemeen wordt er binnen communicatieafdelingen in dit soort gevallen vooral aan schadebeperking gedacht, dus als het nou op deze manier wordt verwoord liegen ze niet en denken de meeste mensen (zie de reacties hier) dat het niet aan Sony ligt.
Dit is geen fout van Sony maar een fout van externe partijen
zegt Sony...
"Bij deze hack, veel geraffineerder dan de recente kraakpoging, werden de accountgegevens van tientallen miljoenen PSN-gebruikers ontvreemd."

Dan is het opmerkelijk dat men nu met een minder geraffineerde hack toch weer een hoop account gegevens heeft verkregen.
En blijkt dus dat de beveiliging nog steeds niet op orde is bij deze databases, het maakt niet uit wie die databases beveiligd/onder zijn hoede heeft maar de beveiliging schiet te kort. En het is nog steeds Sony zijn verantwoordelijkheid. Toen ik mij registreerde hier op Tweakers.net zijn mijn gegevens ook naar 3en gegaan , hier is Tweakers wel verantwoordelijk voor .

[Reactie gewijzigd door Rockvee2 op 12 oktober 2011 12:01]

De inloggegevens zijn waarschijnlijk niet uit een database van Sony afkomstig. Ze zijn elders ontfutseld en vervolgens 'legitiem' getest tegen de database van PSN. Omdat veel gebruikers voor verscheidene diensten hetzelfde wachtwoord gebruiken, slaagt een dergelijke inlogpoging zo nu en dan. Meestal niet.

Sony heeft de plotselinge stroom aan mislukte inlogpogingen gedetecteerd en daar keurig op gereageerd door een wachtwoordreset te forceren bij accounts die een match hebben opgeleverd. Ondanks de aanhoudende negatieve berichten omtrent Sony's beveiligingsproblemen lijkt het erop dat men bij dit incident de zaken juist volledig op orde heeft.
"Andere diensten" Hoeft niet "Andere leveranciers" te zijn. Er zijn de laatste tijd diverse diensten van Sony gekraakt, niet alleen de PSN, oa SonyPictures.com.

Het is dus helemaal niet gezegd dat Sony vrijuit gaat. Sterker, ik vermoed dat de hackers de account-informatie van die andere Sony diensten gebruikt heeft om PSN aan te vallen. Eigenlijk heel logisch...
Al heeft pietje puk de database verzorgt, Sony is de afnemer en blijft naar de klanten toe verantwoordelijk.
Goed lezen : Dit is geen fout van Sony maar een fout van externe partijen welke databases hebben gelekt ;)
En wat doet een externe partij met mijn account gegevens? Het blijft overigens nog steeds Sony Entertainment en is uiteindelijk de verantwoordelijke.
Goed lezen : Dit zijn accounts van mensen die dezelfde username en wachtwoord gebruiken bij verschillende sites.
Dit is zo'n non argument he. Je bent klant bij Sony, jij hebt ook hun voorwaarden geaccepteerd. Hoe Sony haar zaakjes voorelkaar denkt te hebben, heb jij (als klant) helemaal niks mee te maken.
Tjah, als inderdaad de wachtwoorden uit een andere database kwamen, kan je weinig schuld aan sony geven. Alleen dan wellicht een IP blokkeren na een bepaald aantal foute logins?

Hoe dan ook, deze keer lijkt Sony er van te hebben geleerd, en brengen ze het gelijk naar buiten. Geen geheimzinnigheid zoals bij de hacks voorheen.
Ik vrees dat dat alleen een kleine drempel is voor de meer geavanceerde hackers. Zelfs de huis tuin en keuken-hacker gebruikt proxy's tegenwoordig en een systeem als deze is ook weerloos tegen botnets.

Het systeem van Facebook vind ik wel erg slim, een vergelijkbaar systeem is wellicht breder toepasbaar. Inloggen van een bekend IP/systeem werkt zonder problemen, echter wordt er voor aanvullende authenticatie gevraagd bij een onbekende inlogpoging.
op ip liever niet, krijg regelmatig (zowat elke dag ;) ) een ander ip.
andere systeem afhankelijke data is veel beter.
Nou is het de schuld van die slimmetjes welke hetzelfde pw gebruiken voor elk account ipv sony dus betwijfel of Sony gratis games gaat geven
Het is ook niet de schuld van die mensen. Ik ben het met je eens dat het dom is om voor meerdere dingen dezelfde combinatie te gebruiken, maar het is nog altijd de schuld van het bedrijf waar de user/pass combo is gelekt.
Maar het is dus maar de vraag waar de informatie vandaan komt die gebruikt is, en dat zal blijven gissen..

uiteindelijk bestaat er geen 1 veilige website, elke site is wel te hacken, want wat vandaag superveilig is, kan morgen blijken dat het zo lek is als een mandje...
In mijn geval:

2 clan forums
Fok forum
Tweakers.net
EA account
Steam account
PSN account
Gmail account
ISP account
2 accounts voor andere games
2 accounts voor mijn werk
diverse andere forums
creditcard account
paypal account
ebay account
marktplaats account

En noem maar op wat nog wel niet meer.... Al die registraties die je tegenwoordig voor alles moet doen en dan overal een apart wachtwoord voor om te onthouden?
Je impliceert hoop ik niet dat je voor een clan forum (waarvan je eventueel niet weet hoe veilig de password-database is) hetzelfde wachtwoord gebruikt als accounts op je werk (waar je volgens je profiel systeem-/netwerkbeheerder bent)?

Aparte wachtwoorden hoeft ook niet zo lastig te zijn... Laatst las ik van iemand hier de tip om een 'vast' deel te gebruiken, en dit aan te vullen met een 'variabel' deel per site (bijvoorbeeld de eerste & laatste letters van de site ervoor en erachter plakken).

Als iemand je wachtwoorden ziet, zou die nog slim genoeg kunnen zijn om je truuk te doorzien, maar voor automatische scripts ben je hiermee wel redelijk safe.
Uiteraard gebruik ik wel andere wachtwoorden voor categorieŽn waar ik ze in indeel, bijvoorbeeld: niet zo belangrijk, belangrijk, heel erg belangrijk, maar mijn post doelt er eigenlijk meer op dat het tegenwoordig allemaal zoveel is waar je wel een account voor moet hebben en je het dus men niet meer kwalijk kan nemen dat ze voor veel dingen hetzelfde gebruiken.
Probleem bij wachtwoorden is dat je maar een beperkte lengte wachtwoord mag gebruiken, meestal ligt het gemiddelde tussen de 6-16.

Persoonlijk zou ik graag langere wachtwoorden gebruiken, zodat ik bijvoorbeeld de site naam als variabel deel kan inzetten. Bijv. in dit geval: Tweakers.net-<mijn wachtwoord>.
En jij denkt als iemand een database hackt en ziet dat jij wachtwoord hier gelijk is aan Tweakers.net_cookiemonster, hij niet kan voorspellen dat je op paypal paypal_cookiemonster gebruikt? (of paypal.nl/paypal.com).
K heb gelukkig KeePass zodat iig verschillende wachtwoorden heb voor ideal, moneybookers, paypal en al die andere online betaal sites.
Het voordeel hiervan is dat als een account gekraakt wordt, dat het alleen bij die site specifiek is.
Nadeel ervan, ik kan moeilijk alle wachtwoorden onthouden.
Ik raad iedereen ook aan om aparte wachtwoorden te nemen voor de belangrijke dingen zoals banklogin en bijv ps3.
Ik heb inderdaad ook voor belangrijke sites (bank, paypal, digid, etc) allemaal verschillende wachtwoorden. Maar om nou m'n ps3 account belangrijk te noemen, nee. Ik heb dan ook geen creditcard eraan gekoppeld dat scheelt ongetwijfeld.
LastPass is ook een aanrader, die integreert in de browser
Ook het kiezen van allemaal verschillende wachtwoorden lost dit probleem niet op. Ik vermoed dat de meeste van bovenstaande accounts geregistreerd staan op je enkele Gmail account. Verlies dat wachtwoord en alleen het "wachtwoord vergeten" knopje zit nog tussen de hacker en jou accounts.
Los van dat je een password tool kunt gebruik zou je ook gebruik kunnen maken van een soort van basis wachtwoord (laten we zeggen 'Abc-1@3') en daarna dan enkele kenmerken aan toevoegen voor elk netwerk. Voor t.net zou je 'Tn' kunnen toevoegen. Ga je naar webwereld, dan voeg je 'Ww' eraan toe. Op die manier heb je wel voor elk account een uniek wachtwoord, maar zijn deze wel redelijk eenvoudig te onthouden..

Als als het t.net wachtwoord ooit mocht uitlekken, dan kan dat wachtwoord (zelfs als deze er plaintext mocht instaan - wat niet het geval is) niet gebruikt worden op een andere website.

Overigens hou ik de wachtwoorden van mijn werk-account en op mijn computer thuis wel (handmatig) in sync omdat wij elke twee maanden het wachtwoord moeten wijzigen..
Ik moet dan altijd denken aan initiatieven als OpenID, die een mogelijke oplossing hiervoor zouden kunnen zijn... aangezien je met 1 account op verschillende websites kan inloggen. Je paswoord zelf wordt niet bij al deze websites opgeslaan, wat het toch al meteen wat veiliger maakt.

Nog een pluspunt: je kan zelf kiezen waar je je account aanmaakt (en waar je paswoord dus is opgeslaan). Hierdoor krijg je de mogelijkheid een provider te kiezen die je "vertrouwt". En als je helemaal niemand vertrouwt, kan je nog altijd zelf een OpenID provider hosten :P

Alleen spijtig dat een dergelijk systeem niet beter verspreid is geraakt. Ik vermoed dat de meeste mensen hier nog niet klaar voor zijn.

edit: linkje naar OpenID:
http://openid.net

[Reactie gewijzigd door bvanaerde op 12 oktober 2011 09:33]

Open ID zal maar gekraakt worden, dan ben je mooi klaar.
Dan kan iemand op al je websites enz. inloggen, lijkt me.
Nog afgezien van het privacy probleem: Eťn centrale dabase dat bijhoudt waar je allemaal inlogt.
Ik moet er echt niet aan denken dat zoiets doorzet.
Ik gebruik zelf keepass.
En voor veel van de accounts hoef je ze maar 1x in te voeren en bijvoorbeeld eens in de 3maanden aan te passen.
Dit laat maar weer zien dat het hele wachtwoorden systeem achterhaald is..

Als je zo veel verschillende diensten gebruikt ga je natuurlijk niet overal een ander wachtwoord gebruiken. Dat kun je dan gewoon niet meer onthouden.... Moeten snel met een andere oplossing komen... zijn genoeg alternatieven..
Ik geloof jou hoor, dat het wachtwoordsysteem achterhaald is, maar wat is dan een even goed alternatief?
Een token gebruiken. Bij Blizzard gebruiken ze zelfs apps voor smartphones als tokens, ideaal.
Een token of vingerafdruk is een oplossing, echter tussen de token/vingerafdrukapparaat zit nog altijd de computer (bij goed beveiligde sites is dat de zwakste schakel). Mocht die geinfecteerd zijn dan is de toegevoegde waarde van deze, en alle andere pogingen tot goed beveiligen weg.
Het enige, echt veilige, system wat hier geen last van heeft is Two Way Authentication. Een voorbeld hiervan: je vult je username plus evt password in op een website, en vervolgens komt er een bericht op je mobiel wat vraagt of jŪj het bent die wilt inloggen.
Mocht je wachtwoord gestolen zijn, dan is dit geen probleen, zonder toestemming van jou, via je mobiel, kan er niet ingelogd worden.
Kan zelfs nog gebruikersvriendelijker worden dan het systeem met en username en pass, je hoeft namelijk alleen nog op je mobiel toegang te verlenen!
(Sinds mobiel ook niet 100% veilig is kan die natuurlijk ook vervangen worden met een ander apparaat wat directe(3g) internetverbinding heeft)

[Reactie gewijzigd door RubieV op 12 oktober 2011 11:02]

enuh, wat maakt die token veel veiliger dan een wachtwoordsysteem? uiteindelijk is het immers ook een soort van wachtwoord..
Ik vind het vingerafdruk wel goed. Je kent het wel van die laptops die alleen met jouwn duim of iets dergelijks unlocked kunnen worden. Ik snap dat dit misschien tegen de privacy in gaat maar het zou wel nice wezen als een extra feature.

@robkrauts ja daar heb ik er ook 1 van maar om nou voor elke site een token te gebruiken -.-' of ze moeten het voor elkaar zien te krijgen dat je 1 token voor meerdere sites kan gebruik maar goed dat zal waarschijnlijk nooit gebeuren.

[Reactie gewijzigd door Hylix op 12 oktober 2011 08:12]

als je een token voor meerdere sites kunt gebruiken, heb je meteen weer een beveiligingsprobleem....
Ja inderdaad zat ik ook aan te denken maar ben jij even van plan om een stuk of 50+ tokens thuis te hebben liggen voor elke site waar je je registreert 1?
nee dat niet, maar daarom is het goed dat er geen tokens gebruikt hoeven te worden voor sites.... stel je voor. ik registreer me op een site uit rusland, moet ik eerst wachten op de token voordat ik er iets kan doen....
wel grappig DigiD is ook 1 login(token) voor meerdere websites

en dat is ook geen probleem ;)

[Reactie gewijzigd door ocwil op 12 oktober 2011 08:23]

wel grappig DigiD is ook 1 login(token) voor meerdere websites

en dat is ook geen probleem ;)
shhh diginotar ;) ;)
Tegenwoordig kan dat dus prima op je smartphone :) even er van uit gaan dat je die niet kwijt raakt natuurlijk... Dan kun je daar gewoon meerdere apps op zetten voor iedere dienst die je gebruikt..

Genoeg oplossingen dus :)
Ik vind het vingerafdruk wel goed.
Als je gewone password uitlekt dan kun je dat makkelijk genoeg wijzigen. Het nadeel van alle biometrische methoden is dat het wijzigen van "het password" nogal lastig is...
Om nog maar niet te spreken van het (tijdelijk) verlies van je "password".
[...]

Als je gewone password uitlekt dan kun je dat makkelijk genoeg wijzigen. Het nadeel van alle biometrische methoden is dat het wijzigen van "het password" nogal lastig is...
leuk als je je vinger kwijtraakt of wegslijt door werken ;)
tja, en jouw vingerafdruk is niet te achterhalen met een soort van 'keylogger'? ofwel net zo onveilig als een wachtwoord, hell misschien zelf onveiliger, omdat je een wachtwoord kunt wijzigen, maar jouw vingerafdruk niet.. en vergeet niet dat je dan ook niet zou kunnen inloggen als je bv een beschadiging oploopt zoals een verbranding of een grove snijwond..
Je kan toch een eigen algoritme verzinnen zodat je per site verschillende wachtwoorden krijgt...
Kwaadwillenden, is dat de nieuwe naam tegenwoordig van hackers ? Dit om een onderscheid te maken met de goedwillende hackers ;)
Waarschijnlijk omdat je tegenwoordig ook al een 'hacker' bent als je de voicemail van iemand anders afluisterd. Denk dat ze het woord wat minder willen gebruiken, omdat het nogal gehyped is de laatste tijd ;)
De term hacker word tegenwoordig ook gebruikt voor cracker.
Hacker hackt voor verbeteringen aan te geven en een cracker is bezig voor criminele doeleinden.
Jammer dat het zo gaat, want zodra een doorsnee burger hacker hoort word deze al met argus ogen aangekeken.
All credits for the media of course
Wat doen de wachtwoorden van PSN bij andere databases dan van PSN zelf?
Hele goede vraag, dit wil ik ook wel eens weten.
Mensen gebruiken dezelfde inlog op meerdere systemen, dus staan indirect de wachtwoorden van PSN ook in andere databases dan die van PSN.
uhh.. mensen voeren zelf hun wachtwoord in, en als ze die dus voor meerdere sites gebruiken (wat heel veel mensen doen), dan is het toch logisch dat ze kunnen inloggen via een gehackte database (die van een andere site af komt) met usernames/wachtwoorden..
Creditcardgegevens zijn niet in het geding geweest, zegt Sony. Zij krijgen een e-mail met instructies om hun account weer te activeren.
Mooi dat sony een manier gevonden heeft om creditcardgegevens te kunnen mailen! Nu moet creditcardgegevens nog een manier hebben om z'n mail te lezen. En zijn/haar account opnieuw te activeren! ;)
Heeft dit nou nog te maken met problemen eerder dit jaar? Komen bijv. paswoorden van die hack?
Nee je moet het bericht goed lezen...

De wachtwoorden komen uit een database van iemand anders waar Sony gebruikers de zelfde wachtwoorden gebruiken..
reditcardgegevens zijn niet in het geding geweest, zegt Sony.
Waar hebben we dat ook alweer eerder gehoord...? Oh ja, toen Sony een tijdje geleden zelf gehacked werd... en toen achteraf bleek dat er wel creditcardgegevens gestolen waren...
Ik weet dat Sony in dit geval weinig te verwijten valt, password-hergebruik kun je weinig aan doen, maar toch blijf ik wat huiverig om ze wat die creditcardgegevens betreft zomaar op hun woord te geloven.
Mmm, CreditCard fraude bij mij plaatsgevonden afgelopen weekend.
ja, en jij gebruikt je creditcard ook echt alleen bij PSN..

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Samsung Smartphones Beheer en beveiliging Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013