Overheid VS wil onderzoek hack PSN

Een comité van het Amerikaanse Huis van Afgevaardigden wil een onderzoek instellen naar de hack van het PlayStation Network, waarbij de namen, adressen en mogelijk ook creditcardgegevens van 77 miljoen gebruikers op straat liggen.

Playstation Network Naast het Amerikaanse Huis van Afgevaardigden wil ook de Amerikaanse overheid een onderzoek instellen naar de diefstal van persoonsgegevens, halverwege vorige week. Een aantal openbaar aanklagers is eveneens een onderzoek gestart naar de zaak. Zo wordt in de staten Iowa, Connecticut, Florida en Massachusetts gekeken naar de juridische mogelijkheden om Sony aan te pakken. Diverse congresleden in de VS hebben aangedrongen op strengere wetgeving rond het opslaan van persoonsgegevens.

Ook in het VK loopt een onderzoek; het Engelse Information Commissioner's Office heeft contact opgenomen met Sony om na te gaan of het bedrijf nalatig is geweest. Concreter is de stap van Kristopher Johns, een 22-jarige Amerikaan die Sony voor een rechtbank in Californië wil slepen, omdat hij meent dat het Japanse concern de Payment Card Industry Data Security Standard heeft overtreden door zijn creditcardgegevens onvoldoende te beschermen.

Sony benadrukt ondertussen dat de creditcardgegevens van de miljoenen PSN-leden wel degelijk beveiligd waren. Het concern geeft bij monde van Patrick Seybold, Senior Director, Corporate Communications & Social Media, aan dat de creditcardgegevens in de database versleuteld opgeslagen waren. Tegelijk geeft Seybold toe dat persoongegevens wel gestolen zijn. Die waren volgens het hoofd opgeslagen in een aparte database. Seybold zegt echter 'geen aanwijzingen te hebben' dat de database met betaalgegevens ook gekraakt is. Tot slot maakt Seybold duidelijk dat Sony wel creditcardnummer, naam van de kaarthouder en vervaldatum heeft, maar niet de beveiligingscode die achterop de kaart staat. Sony heeft de leden van het PSN daar nooit om gevraagd.

Het hoofd belooft bovendien dat Sony maatregelen zal nemen om herhaling te voorkomen. Het concern 'neemt diverse maatregelen die de beveiliging van het PlayStation Network en je persoonlijke gegevens moeten verbeteren'. Daaronder valt ook het verhuizen van de infrastructuur naar een nieuwe, veiligere locatie. Sony gaat bovendien een system update vrijgeven die de leden van de dienst moeten installeren. Bij het installeren van de update worden leden verplicht om hun wachtwoord te wijzigen. Seybold geeft ten slotte aan dat hij verwacht dat het PSN op 3 mei weer online is.

Reacties (173)

173

165

107

Wijzig sortering

JaHe 28 april 2011 12:55

Ik snap de aanval naar Sony niet zo goed, nu is het weer het bedrijf wat de dupe wordt van een groepje hackers, in mijn optiek zijn dat de personen die aangepakt moeten worden.

Het moedwillig verkrijgen van gegevens op een illegale wijze valt in mijn optiek namelijk onder inbraak. Nu wordt Sony straks omwille van een select groepje mensen (hackers) op verschillende fronten gepakt :

a) hack gehad, gegevens kwijt (vertrouwensbreuk)
b) boetes en schadeclaims (verlies)
c) implementeren van nieuwe beveiliging (verlies)
d) gebruikers tegemoed komen (verlies)

Even eerlijk :
hoeveel overheidsinstanties worden er gehackt ? O wacht, daar rust censuur op en wordt niet meegedeeld in de media (misschien pas jaren later) en nu gaat de overheid dus onderzoeken of Sony jouw gegevens wel veilig houd en is daar verantwoordelijk voor ?

Ik snap er langzamerhand geen bal meer van de omgekeerde wereld.
Persoon A slaat persoon B in elkaar.
We gaan allemaal zeggen dat persoon B maar beter zijn best had moeten doen om niet geraakt te worden door persoon A ?

Sorry, maar ik denk dat de focus moet liggen op het achterhalen en oppakken van de mensen die moedwillig een ander kwaad doen ipv andersom...

bas.kb @JaHe • 28 april 2011 13:17

Als Sony nalatig is omgegaan met de gegevens van de gebruikers, kan zij weldegelijk iets kwalijk worden genomen. In onderstaand artikel wordt gespeculeerd over de mogelijke oorzaak. Dit berust op een aantal aannames, maar lijkt ondanks dat op een plausibele verklaring.

http://www.reddit.com/r/g..._at_psxscenecom_the_real/

Hier schetst men de situatie dat hackers middels custom firmware een retail console hebben omgetoverd tot een DEV console. Door URL manupulatie heeft men verbinding kunnen maken met het PSN en de content kunnen stelen.

Als blijkt dat er dus een gat in de security zat, wat redelijkerwijs voorkomen had kunnen worden door Sony, dat valt dit concern weldegelijk wat te verwijten.

JaHe @bas.kb • 28 april 2011 14:00

Yo, als dat zo is, is dat gat in de security dus ook nog eens terug te herleiden naar meneer Hotz, want hij heeft het dus met publicatie van de rootkey mogelijk gemaakt om uberhaupt je software te alteren en dus bij de PSN Urls te komen en deze te manipuleren.

Feit is dat Sony dus een beveiliging had en deze compleet is teniet gedaan door anderen die moedwillig deze acties ondernomen hebben, zijnde inbreken in iets waar zijn normaal gesproken nooit bij zouden kunnen komen.

Is Sony dan nalatig ? deels.... en valt over te discussieren.
Moet je Sony hiervoor aanpakken ? ik zeg nog steeds nee, pak de personen die ingebroken hebben en niet de personen die genoeg hebben gedaan om een inbraak tegen te houden.

wankel @JaHe • 28 april 2011 17:23

Is Sony dan nalatig ? deels.... en valt over te discussieren.
Moet je Sony hiervoor aanpakken ? ik zeg nog steeds nee, pak de personen die ingebroken hebben en niet de personen die genoeg hebben gedaan om een inbraak tegen te houden.

Vergelijkingen met auto's doen het altijd goed :-)

Er staat een auto foutgeparkeerd, midden op de weg. Niet op tijd gezien, en je rijdt er tegenaan.

Wie draait er op voor de schade?

Niet de foutparkeerder natuurlijk!

Jij bent er tegenaangereden, dus draait jóuw verzekering er voor op. De foutparkeerder moet ook betalen: een boete voor foutparkeren, maar geen schadevergoeding aan jou om geleden schade.

_Dune_ Moderator OeB

@wankel • 28 april 2011 19:27

Het is alleen jammer dat dergelijke auto vergelijkingen vaak kant nog wal geraken, ook in deze.

Want de vergelijking klopt geheel niet...

Sony heeft niets "fout" geparkeerd. Er was weldegelijk beveiliging aanwezig, maar deze worden door hackers doorbroken en dit is nu juist wat illegaal is en wat bestraft moet worden, zolas hierboven is het inderdaad mogelijk dat die Hotz de uiteindelijk aanstichter is door de rootkit te fabriceren. De overheid zou dan in idergeval ook deze persoon moeten aanpakken.

Loller1 @JaHe • 28 april 2011 21:59

Idd, dit is net hetzelfde als er bijvoorbeeld in een zaak in de stad word ingebroken/overvvallen en ze nemen bijvoorbeeld je hele klantenlijst mee (met dezelfde kwetsbare informatie als hier nu het geval is). Wie is dan schuldig? De eigenaar van de zaak die niet zo'n heel goede beveilinging had of de inbreker? Lijkt mij de inbreker te zijn. Die moet dus worden gestraft, niet de eigenaar!

Woy Moderator PRG/SEA 28 april 2011 12:28

Tot slot maakt Seybold duidelijk dat Sony wel creditcardnummer, naam van de kaarthouder en vervaldatum heeft, maar niet de beveiligingscode die achterop de kaart staat. Sony heeft de leden van het PSN daar nooit om gevraagd.

Dat is ook niet correct. Ik weet nog dat ik er afgelopen zomer al verbaasd over was dat mijn CVC nummer juist wel onthouden werd, aangezien het volgens de PCI DSS standaard zefs verboden is om die op te slaan.

Reruirement 3.2
Do not store sensitive authentication
data after authorization (even if
encrypted).
Sensitive authentication data includes the
data as cited in the following
Requirements 3.2.1 through 3.2.3

En de volgende punten vallen onder de senitive authentication data

* Full magnetic stripe data or equivalent on a chip
* CAV2/CVC2/CVV2/CID
* PINs/PIN block

Dus op zich vind ik de claim van Kristopher Johns niet zo vreemd

BeerenburgCola 28 april 2011 12:30

Ik heb dit ook op het PSN forum gemeld, maar ik denk dat het hier ook wel handig is te vermelden:

Voor de mensen die zich zorgen maken over hun credit card.
Bij ICS kun je je eenvoudig registeren bij "Mijn ICS".

Je kunt dan online je transacties checken:
- https://www.icscards.nl/nlicportal/nlic/portal/ics

Info van ICS over de PSN hack:
- https://www.icscards.nl/n...laystation-network-110428

[Reactie gewijzigd door BeerenburgCola op 23 juli 2024 05:06]

flexity 28 april 2011 12:15

Het is gewoon als volgt:

Sony is de dupe van een hack. dat klopt gewoon, maar het is ook weer zo dat het makkelijk te kraken valt. Sony is dan wel een slachtoffer maar mag zeker weten van de overheid op de vingers getikt worden op nalatigheid. Stel je voor dat alle hackers nu bij al het geld kan komen van deze 77miljoen gebruikers. Wat een ramp word dat om het weer goed te fixen. Daarom dat de overheid dit nu doet, dat is logisch toch?

En ik vind ook dat Sony desondanks dat deze hele PSN eruit is geknikkerd en onze gegevens kwijt is geraakt aan hackers. Dat ze ons ergens toch tegoed mee moeten komen met een leuk bedragje of paar games uit de PSN netwerk.

Vind het overigens een belachelijke situatie voor een mega bedrijf als Sony, die dit heeft kunnen laten gebeuren.

het mailtje heb ik heel even in een kladblokje geupload. Check het hier : http://www.skava.nl/psn.txt

[Reactie gewijzigd door flexity op 23 juli 2024 05:06]

thunder8 @flexity • 28 april 2011 12:48

Sony is de dupe van een hack. dat klopt gewoon, maar het is ook weer zo dat het makkelijk te kraken valt.

Hoe weet je dat die servers van Sony makkelijk te kraken zijn? Ervaring?

Dat er hier iets goed mis is gegaan lijkt me duidelijk, maar laten we niet allemaal gaan vervallen in het verkopen van de huid voordat de beer geschoten is. Laat experts/overheden/whatever onderzoeken hoe en wat van deze kraak en in hoeverre Sony de zaken op de rij had binnen hun netwerk. Als daar uit komt dat Sony inderdaad nalatig is geweest met de security van het netwerk en de gegevens op de servers, dan horen ze inderdaad hiervoor aangeklaagd te worden. Als blijkt dat ze de gegevens goed beveiligd hadden en desondanks toch gehackt zijn, dan is een aanklacht gewoon kolder.

Hoge bomen vangen nou eenmaal veel wind en het buitmaken van gevoelige gegevens bij grote bedrijven/overheden is lucratief. Daarom zijn ze gewilde objecten, omdat de criminelen daar ineens hun grote slag kunnen slaan. Net als dat virussschrijvers liever Windows targetten ipv linux of andere besturingsystemen die minder in trek zijn. Waar is de lol als je targetaudience erg klein is en dus kans op succes ook?

Ik ben absoluut niet pro-Sony, maar de reacties hier zijn wel heel erg voorbarig. Laat er nou eerst eens goed onderzoek plaatsvinden in hoeverre hier uberhaupt sprake is van nalatigheid en als blijkt dat dit zo is, dan kunnen we Sony alsnog afbranden. Als blijkt dat ze niet nalatig zijn geweest, dan is al het voorbarige geschreeuw ook voor niets....

Sniper-BoOyA- @thunder8 • 28 april 2011 13:37

En zo is het.

Laten we eerst rustig het onderzoek afwachten...

Ben zelf PSN gebruiker. En ja ook mijn CC is er aan verbonden.

Maar om nu hysterisch te blerren over wat Sony wel/niet verkeerd heeft gedaan heeft geen enkele zin. Dat komt wel als het wel degelijk Sony zijn fout is.

hamsteg @flexity • 28 april 2011 12:44

maar het is ook weer zo dat het makkelijk te kraken valt

Dit is nog helemaal niet bewezen maar wordt door iedereen zomaar geroepen. Er is altijd iemand die de beste beveiliging kan kraken. Het is puur de vraag of Sony naar huidige maatstaven voldoende, en bij zoveel geregistreerden zelfs ruim voldoende, heeft gedaan om die gegevens te beveiligen.

Facts and Fiction - probeer je aan de feiten te houden. Elkaar napraten daarmee creëren we een virtuele waarheid.

masauri 28 april 2011 12:24

[Complottheorie]
Deze hack komt misschien vanuit de backoffice die achter hotz en company zit?
[/Complottheorie]

Verwijderd @masauri • 28 april 2011 12:40

Denk het niet, het gaat keihard om geld. Er worden al frauduleuze aankopen gedaan met de kaarten. Dus de versleuteling van de database is al gekraakt!
Bron

BeerenburgCola @Verwijderd • 28 april 2011 13:13

De vraag is of de CC info van PSN afkomstig of van andere (vage) web shops.
Ik bedoel, maak een eenvoudige webshop maarmee je m.b.v. je CC dingen kun kopen.
Bewaar de gegevens, en voila, de prefecte CC scam.

Als mijn CC misbruikt wordt weet ik ook niet of ik bol.com, psn of tweakers moet verdenken.

Amito @BeerenburgCola • 28 april 2011 14:59

Zo makelijk is het niet om de transacties zelf te doen volgens mij. Ik wordt vaak naar de site van een ander gelinkt met SSL beveiliging om de transacties te voltooien met een CC.

Daarnaast een van de meldingen was afkomstig van iemand die zijn CC alleen een keer op de PSN heeft gebruikt (naar eigen zeggen). Mits hij de waarheid spreek is de kans groot dat de CC info van de PSN gebruikt is.

FragNeck 28 april 2011 11:54

Sony is de dupe van een hack geweest, en nu wordt Sony onderzocht op nalatigheid?

Dylan93 @FragNeck • 28 april 2011 11:58

Je weet dat Sony zelf de boel niet encrypted had ?

Sentry23 @Dylan93 • 28 april 2011 12:08

De CC tabel was wel degelijk encrypted.
Dat wil niet zeggen dat het veilig is, maar wat je roept is gewoon niet waar.

Q: Was my personal data encrypted?
A: All of the data was protected, and access was restricted both physically and through the perimeter and security of the network. The entire credit card table was encrypted and we have no evidence that credit card data was taken. The personal data table, which is a separate data set, was not encrypted, but was, of course, behind a very sophisticated security system that was breached in a malicious attack.

Batiatus @Sentry23 • 28 april 2011 12:44

Fijn dat Sony dat ten minste heeft geencrypt. Maar hoe zit het met de wachtwoorden? Zijn die gewoon in plain text opgeslagen?
Het antwoord op die vraag heb ik nog niet terug kunnen vinden.
Overigens hier nog een linkje naar de logfile van Sony, die blijkbaar is geleaked:
http://www.psx-sense.nl/4...log-van-de-hacker-leaked/

Kan overigens niet verifiëren of deze ook echt is.

bogy @Batiatus • 28 april 2011 14:07

het ip dat die website aangeeft als 'de hacker' is een ip uit de range van .MIL ... dus een militair heeft dit gedaan???

of een pc die gebreachd was (ghost-pc)

Archiebald @bogy • 28 april 2011 15:36

Als je een pathping op dat IP doet, krijg je inderdaad een traceroute naar iets van ".med.navy.mil"

En als je hier kijkt, zie je dat het blok (214/8) is voor US-DOD. Wat weer staat voor US Department of Defense.

darkfader @Sentry23 • 28 april 2011 13:05

Ik mag hopen dat de CC data/sleutel achter een "very very sophisticated security system" zit. Nog meer sophisticated dan de PS3 beveiliging... hmm. Ik weet niet hoeveel tijd ze nodig hadden/hebben gekregen om dit ook kraken.

_Dune_ Moderator OeB

@Dylan93 • 28 april 2011 12:08

Sony heeft weldegelijk encryptie gebruikt, waarom lezen zo weinig mensen de daadwerkelijk artikelen en roepen als een stel schapen anderen na?

schumi2004 @_Dune_ • 28 april 2011 12:15

Als het dan allemaal zo beveilgd en encrypted was hoef je ook niet met dat verhaal naar buiten te komen dat de data in handen gevallen is van hackers toch?

behind a very sophisticated security system

Lekker systeem is het dan als het zo releatief simpel was om er aan te komen.

Verwijderd @schumi2004 • 28 april 2011 12:25

Stel dat ik je wil dood doen, dan is dat heel simpel ook al draag je een kogelvrije vest en heb je steeds een vuurwapen bij je. Zo simpel is het ook in de digitale wereld. Als je een doelwit hebt, is de kans groot dat je er geraakt.
Moest ik echter aankondigen dat ik je wil doden, dan kan jij bescherming vragen en kan je een legertje politie rond jou laten lopen.

Dus ja het is mogelijk om servers potdicht te krijgen maar in bijna geen enkele situatie is dat verantwoord omwille van baat tegenover kosten (en vaak ook gebruikersgemak).

En de hackers hebben de data. Of die encryptie heeft of niet doet daar niet van af.

hamsteg @schumi2004 • 28 april 2011 12:35

Lekker conclusie van een zogenaamde expert!

Ik denk dat het vrij veilig is om aan te nemen dat de hack niet door een script-kiddie gedaan is maar door iemand met uitgebreid verstand van zaken. Uit de artikelen blijkt dat de hack niet een kortstondig iets is geweest maar meerdere dagen geduurd heeft. Het lijkt erop dat iemand uitgebreid aan het struinen is geweest.

Het zal altijd een rat-race blijven tussen beveiliging en hackers. De winst van de ene maand is het verlies van de volgende (wet van de remmende voorsprong). Het oplossen van puzzels zit in ons mensen en de uitdaging zal voor een bepaalde groep altijd aanwezig zijn.

De illusie dat vroeger alles beter was kan ik ook ontkrachten, vroeger was het meer fysiek, kleinere schaal maar ook met een hoger scoringspercentage; met een honkbalknuppel in je nek gingen ze er met je cash en creditcards vandoor. De fysieke pijn is gelukkig verdwenen maar criminaliteit loont altijd voor een bepaalde groep mensen en heeft zich verplaatst naar de digitale wereld in grotere volumes maar waarbij de bruikbaarheid van de gestolen data toch een aantal factoren lager is (ik wissel jaarlijks van CC en de gegevens in PSN waren out-dated).

Wen er maar aan en wees zelf zuinig op welke gegevens je vrij geeft. Zomaar met een geldzak over straat lopen, zoals vroeger in het begin wel eens gebeurde, doet ook niemand meer; schade en schande hebben duidelijk gemaakt dat dit ook niet handig was.

SuperDre

Gameontwikkeling
Sony
Sony PlayStation

@schumi2004 • 28 april 2011 13:28

wat is 'zo relatief simpel'? nergens staat dat het een simpele hack was die gebruikt is, misschien is het wel een heel inventieve hack geweest..

MeNot2 @schumi2004 • 28 april 2011 15:37

Wie zegt dat de hacker de data kon lezen? Misschien heeft hij nu alleen de geëncrypte data.

air2

@_Dune_ • 28 april 2011 12:34

Sony heeft, naar verluidt, geen encryptie gebruikt bij het VERSTUREN van de data naar de database en als hackers dat verkeer hebben afgeluisterd op de server waarop het binnen kwam.....
Dat het daarna versleuteld is opgeslagen dat is dan stap 2. Het moet ook versleuteld vERSTUURD worden.
Dat zijn 2 verschillende dingen.

Blokker_1999

Politiek en recht
Netwerk en systeembeheer
Privacy

@FragNeck • 28 april 2011 12:00

Ik heb hier zo ook het gevoel bij dat de VSA weer een reden heeft gevonden om een Japanse firma zwaar aan te pakken. Moest het met de 360 zijn gebeurd was de reactie volgens mij veel milder geweest. We hebben het vorig jaar met Toyota gezien en nu zien we het opnieuw.

Verwijderd @Blokker_1999 • 28 april 2011 12:48

idd,je moet eens op amerikaanse xboxforums zitten, het is walgelijk hoe die gasten reageren hier op, er zit zeker een vorm van racisme tussen.

SPee @Blokker_1999 • 28 april 2011 16:20

Was het niet zo dat er nu regelgeving is/komt die bedrijven verplicht om z.s.m. zulke kraken te melden?

Sony is pas een week na het feit naar buiten gekomen dat dit het geval is, terwijl hun het mogelijk eerder zullen hebben geweten/vermoeden. Dat had sneller gemoeten.
Het blijkt dat dit een echt Japans bedrijf is dat zoveel mogelijk probeert om gezichtsverlies te voorkomen, ipv direct open te zijn.
Een onderzoek of het inderdaad verkeerd was van Sony zal hierover uitsluitsel geven.

vj_slof 28 april 2011 11:52

Sony heeft dus de beveiligingscode achterop de kaart niet... Hoe kun je aankopen doen via PSN zonder uiteindelijk de beveiligingscode te gebruiken???

Wildfire

@vj_slof • 28 april 2011 11:54

De CVC-code wordt nog steeds niet door alle verkopende partijen gevraagd bij een aankoop. Dus overal waar geen CVC-code wordt gevraagd kun je nog steeds aankopen zonder CVC-code doen.

Het is dus een non-argument van Sony.

mjtdevries @Wildfire • 28 april 2011 12:29

Volgens Mastercard zijn internetwinkels sinds 1 juni 2001 verplicht om te vragen naar de CVC code.
http://www.mastercard.com...yoninternet/cvc_code.html
Als een winkel dat niet doet, dan is dat een fout van die winkel dus en daarmee ligt het risico ook bij die winkel.

Sony heeft dus wel degelijk een goed argument.

Bij een gewone winkel is die CVC code blijkbaar niet verplicht, maar dan is alleen het opnoemen van je creditcard nummer ook niet voldoende en moet je de fysieke kaart laten zien.

Verwijderd @mjtdevries • 28 april 2011 12:50

Volgens Mastercard zijn internetwinkels sinds 1 juni 2001 verplicht om te vragen naar de CVC code.
http://www.mastercard.com...yoninternet/cvc_code.html
Als een winkel dat niet doet, dan is dat een fout van die winkel dus en daarmee ligt het risico ook bij die winkel.

Sony heeft dus wel degelijk een goed argument.

Welk argument?
Sony schijnt ook zaken te doen zonder CVC code, wat volgens jouw link niet mag.

Tot slot maakt Seybold duidelijk dat Sony wel creditcardnummer, naam van de kaarthouder en vervaldatum heeft, maar niet de beveiligingscode die achterop de kaart staat. Sony heeft de leden van het PSN daar nooit om gevraagd.

Heeft iemand ooit iets via een CC op PSN gekocht? Moest je toen je CVC invullen?

psychodude @Verwijderd • 28 april 2011 13:10

De CVC moet bij aankopen ingevuld worden, deze wordt enkel niet in de database opgeslagen.

Verwijderd @psychodude • 28 april 2011 13:17

De CVC moet bij aankopen ingevuld worden, deze wordt enkel niet in de database opgeslagen.

Dan vraag ik me af waar deze opmerking vandaan komt?

Sony heeft de leden van het PSN daar nooit om gevraagd.

Zie: Woy in 'nieuws: Overheid VS wil onderzoek hack PSN'

Dat is ook niet correct. Ik weet nog dat ik er afgelopen zomer al verbaasd over was dat mijn CVC nummer juist wel onthouden werd, aangezien het volgens de PCI DSS standaard zefs verboden is om die op te slaan.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:06]

cyuen @psychodude • 28 april 2011 13:47

Some card issuers do not yet use the CSC - although MasterCard started in 1997 and Visa in the USA had them issued by 2001. However, transactions without CSC are likely to be subjected to more stringent fraud screening, and fraudulent transactions without CSC are more likely to be resolved in favour of the cardholder.
It is not mandatory for a merchant to require the security code for making a transaction, hence the card is still prone to fraud if its number only is known to phishers.

http://en.wikipedia.org/wiki/Card_security_code

Ik vind de fout eerder bij de creditcard/banken en winkels zitten.
Ik schrik me echt kapot dat je in america niet eens je ID, of wat dan ook hoeft in te typen en zelfs geen handtekning hoeft te zeggen onder de 20 USD..

Supremo @mjtdevries • 28 april 2011 13:38

En bij steeds meer winkels moet je een pincode invoeren bij het gebruik van een Mastercard.

AmEx heeft bij mijn weten nog steeds geen pincode ingevoerd. Ik heb nu iets van 2 jaar al geen AmEx meer, maar dat is naar mijn idee de meest fraudegevoelige kaart.

We kunnen hier dus niet spreken over "de creditcard", omdat er wel degelijk verschillen zijn per maatschappij.

Twixie

Sony
Sony PlayStation

@Supremo • 28 april 2011 17:26

Een beetje off-topic, maar AmEx introduceert binnenkort een PIN-code, althans in België. Ik werd daar vorige week persoonlijk voor opgebeld door AmEx om mij erop te wijzen dat ik op de site een pincode moest gaan kiezen voor mijn nieuwe chipkaart die deze zomer opgestuurd zal worden.

Durandal @Wildfire • 28 april 2011 12:27

En het toont weer een beetje meer aan hoe Sony met beveiliging om gaat. (niet dus)

Twixell @vj_slof • 28 april 2011 11:58

ik heb die code vaak genoeg hebben moeten invoeren,
deze kan je niet opslaan op je ps3 systeem en zal je dus elke keer weer opnieuw in moeten voeren.
Ik denk dat ze bedoelen dat deze gecontroleerd word maar niet opgeslagen word in hun systeem.
Zelf vraag ik me nog af of de creditcard gegevens van gebruikers die deze handmatig verwijderd hebben ook nog ergens opgeslagen staan.

Verwijderd @Twixell • 28 april 2011 13:31

Ik hebde code nog nooit moeten invullen. Mijn CC gegevens staan bewaard in PSN en als ik aankoop moet ik niets anders doen dan bevestigen.

Sunbeam-tech @Verwijderd • 28 april 2011 21:22

Precies.
Ik heb ook nog nooit die beveiligings code hoeven invoeren tijdens een aankoop.
Volgens mij hoeft niemand dat te doen bij een aankoop op PS Store.
Ook niet tijdens het aanvullen van de online portemonnee.

Ik neem aan dat alle PS3's (phat en slim) het zelfde werken dus niet de één wel en de ander niet een code hoeft in te vullen na tijdens een aankoop?

Je moest alleen je beveiligings code opgeven toen ik een credit card had toegevoegd aan mijn account.

@ Twixell hier boven;
Waarom moet jij dan wel elke keer die code invoeren en ik niet?
Ik heb de oude 60GB phat console nog, zou daar andere software op staan dan?

peterdeman @vj_slof • 28 april 2011 19:13

je hebt die code heel vaak niet nodig om iets te kopen. Dus bij webwinkels waar die code niet gevraagd wordt kun je me de evt gestolen gegevens wel iets kopen.

arjankoole

Beveiliging

@vj_slof • 28 april 2011 11:54

doordat je die per keer moet invullen, en deze bij afronding van de transactie weer verdwijnt?

Exorcist

Sony PlayStation
Sony
Consoles

@arjankoole • 28 april 2011 12:40

Nee, dat is pertinent onwaar. Je kunt gewoon zaken aanschaffen via PSN na eenmalig invullen CC gegevens.

XephireUK @Exorcist • 28 april 2011 14:11

Is het mogelijk dat de CVC code locaal versleuteld in een cookie wordt opgeslagen? Heb geen PS3, maar op die manier staat het niet in een database maar hoef je het ook niet elke keer opnieuw in te voeren...

mkools24 @sygys • 28 april 2011 16:05

Dit is niet het werk van Anonymous. Dat zijn prutsers. Die kunnen alleen maar lame ddossen met een netwerk test tooltje, dit is het echte hackers werk.

En dit is niet omdat Geohotz de PS3 heeft gekraakt. De hackers zijn hier schuldig niet Geohotz.

Jeroen @mkools24 • 28 april 2011 17:17

Dat is niet waar, zie bijvoorbeeld de hack van Anonymous op Gawker. Die was nogal grondig en was zeer zeker niet alleen een ddos. Wel eisen ze die altijd op.

harrydg @sygys • 28 april 2011 16:11

bleh, krijg je nooit te pakken.
systeem is toch heel eenvoudig. je hebt als hacker meestal wel een "aantal" gehackte bakken" in je "portfolio". Hoe ga je te werk?:
0. spoof je mac adres
1. je rijdt rond en zoekt een open access point
2. log in op een server in de US
3. van daar, log door naar een server in irak
4. van daar, naar israel
5. naar palestina
6. naar china
7. naar vietnam
8. naar amerika
9. laat je hack los op PSN

je krijgt NOOIT al deze landen zover dat ze "lekker samen gaan werken" om de oorsprong van het verkeer te achterhalen. en als eindpunt zit je dan bij iemand met een open access point...

Verwijderd 28 april 2011 11:56

Ik ben eigenlijk ook wel benieuwd hoe de hackers aangepakt worden, je zal net zien dat sony dalijk de grote strop krijgt en dat een groepje hackers ergens ver weg hard zit te lachen.
Ik heb gisteren (als velen waarschijnlijk) de mail van sony gehad, dit getuigt er i.m.o. wel van dat ze wel hun best doen om iedereen te informeren van de situatie en dat ze er aan werken dat dit niet meer voor mag komen.

vedici @Verwijderd • 28 april 2011 12:01

Ik heb de mail ook gehad. Vond het wel wat aan de late kant maar vond m verhelderend. Ik snap goed dat ze het lang dichthouden, van mij mogen (moeten?) ze. Ga dit maar eerst rustig fixen. Wij kunnen wel even wachten(:

Twixell @vedici • 28 april 2011 12:03

mail? welke mail? ik heb geen mail van sony gehad?
ik heb een ps3 + psn maar geen enkel mailtje gehad mbt de huidige situatie.

Thrace Grumble @Twixell • 28 april 2011 12:10

77 miljoen mensen mailen duurt ff, neem van mij aan: je krijgt nog wel mail van Sony.
Ikzelf heb de mail gister om 23:19 gekregen.

[Reactie gewijzigd door Thrace Grumble op 23 juli 2024 05:06]

elmuerte @Thrace Grumble • 28 april 2011 12:25

Voor spammers kost het anders weinig moeite om een paar miljoen emails te versturen.

mashell @elmuerte • 28 april 2011 13:33

Sony zal ook wat moeite moeten doen om hun mailing niet als SPAM gemakeerd te krijgen.

Verwijderd @vedici • 28 april 2011 12:05

Ja dat klopt, maar ze hebben netjes gewacht om alles in kaart te brengen voor dat ze paniek zaaien. Iedereen wist nu al via de media wat er precies gebeurt was, maar als sony direct een mail had gestuurd waar in staat dat de creditcard gegevens van mensen op straat "zouden kunnen" liggen had de pleuris uitgebroken.
Wat dat betreft vind ik dat ze correct gehandelt hebben ten opzichte van psn gebruikers.

Ik ben wel van mening dat de hackers hard aangepakt moeten worden, ik vind dit echt een laffe daad die niet ongestraft mag blijven.
Natuurlijk zal de beveiliging van sony niet optimaal geweest zijn en hier mogen zij ook voor gestraft worden. maar het blijft (als ik het goed heb) een vorm van diefstal door e hackers en dat mag bestraft worden als je het mij vraagt.

elmuerte @Verwijderd • 28 april 2011 12:02

Een email sturen een week nadat jou persoonsgegevens en creditcardgegevens op straat liggen is alles behalve goed je best doen. Zeker niet als je eerst over de oorzaak van de downtime liegt.

Verwijderd @elmuerte • 28 april 2011 12:07

liegen over de downtime was inderdaad niet netjes van ze, ze hadden denk ik de schaal van het probleem onderschat en gedacht, "we zeggen dat de server in onderhoud is en binnen 2 dagen is er niks meer aan de hand en leven we vrolijk verder" het tegendeel was waar.

Het liegen keur ik zeker niet goed.

SinergyX

Sony PlayStation 3 Slim 320GB
Games
Gameontwikkeling

@elmuerte • 28 april 2011 12:32

Wat had je dan verwacht? Dag 1 meteen melding 'PSN is hacked', 7 dagen mega paniek en geruchten vliegen de spuigaten uit. Het gros van de Nederlandse creditcard

Sta je eigelijk wel eens stil bij het feit dat overal waar jij ooit je gegevens heb achtergelaten ook eens gekraakt kan worden? Webshops (play.com recent), datingsites (oude RP), games (Valve en PW), allemaal gevallen waar gegevens op straat terecht zijn gekomen. Dan nog de mogelijke geruchten van A.net, Blizzard (2007), hotmail/MSN, weet jij nog precies waar overal je gegevens zijn opgeslagen en zijn ze nooit gekraakt?

Zoop @SinergyX • 28 april 2011 14:27

Door helemaal niks te zeggen laat je mensen over aan roddels en geruchten, alsof je dan geen paniek heb? Tenslotte was op sites als tweakers al langer bekend dat dit 'waarschijnlijk' om cc gegevens ging. Dus het niet zo dat als Sony hun mond houd dat er dan geen paniek kan uitbreken, in tegendeel zelfs.

Ik snap best dat ze de zaken eerst goed willen uitzoeken voordat ze iets melden, maar ik vindt je argumenten niet echt sterk.

Bovendien gaat het hier om cc-gegevens, wat vele malen meer schade kan aanrichten dan het uitlekken van persoonsgegevens (zoals de voorbeelden die jij noemt).

Rutix @Verwijderd • 28 april 2011 13:31

Ja en mail die gewoon door google translate is gehaald. Wat een belabberde mail was dat zeg. En een week te laat ook nog eens. Dus dat getuigt echt niet dat ze hun best doen om iedereen op tijd te informeren.

Hackers horen gewoon net als anders aangepakt worden maar ik vind dat Sony hier echt heeft geblunderd en hier ook dik voor gestraft moet worden. Ze lopen wel alsmaar achter ps3 modders aan maar de eigen zaakjes op orde stellen ho maar!

Verwijderd @Rutix • 28 april 2011 16:03

Ik denk dat jij een nep mail kreeg, die van mij is gewoon in keurig nederlands.

Ook is het pas maandag duidelijk geworden en gister pas de schaal. maar joh, gewoon onzin blijven plempen zonder iets te checken.

Verder ben ik het met je eens dat Sony hier wel degelijk een soort van sanctie voor mag verwachten (ik ben immers ook mijn CC gegevens mogelijk kwijt aan hun) maar blijkbaar ben je een beetje snel in conclusies trekken. Sony's PS3 was heel laat gehacked en het is nog helemaal niet duidelijk hoe deze hack tot betrekking is gekomen, niks is onkraakbaar.

ik vind het dan ook een zielige reactie die je post met feiten die je niet nagekeken hebt en meningen die je afdoet als feiten.

maar even weer OT: Zoals gezegd mag er van mij best een onderzoek komen hoe dit is gebeurt en of Sony ook deel schuld heeft maar het grappige is dat ondanks dat niet alle CC gegevens zijn uitgelekt en maar weinig mensen CC gegevens op hun account hadden staan zie je headlines als: 77 miljoen CC gegevens gestolen bij Sony.

Sony krijgt het de laatste tijd hard te verduren en dat is helemaal niet oprecht IMO, tuurlijk zijn dingen als dit mogelijk slordig geregeld maar als er nog zo weinig duidelijk is begint iedereen al te schreeuwen dat het vreselijk is en Sony failliet moet.. dat laat toch zien dat de evolutie bij sommige personen hier een stapje overgeslagen heeft.

bones 28 april 2011 11:57

Vind het aanklagen van sony geen goede stap. Zij zijn het slachtoffer, niet de dader. Pak die hackers maar goed aan in plaats van sony.

Als een dief je auto steelt, ga je toch ook de autofabrikant niet aanklagen dat ze de auto maar beter hadden moeten beveiligen ?

Verwijderd @bones • 28 april 2011 12:02

Behalfe als de fabrikant er een slecht slot op heeft gezet waar elke sleutel in past, en dit niet meld aan de consument.

bones @Verwijderd • 28 april 2011 12:12

Ze hebben er heus geen slot op gezet waar iedereen bij kan. Als ze de data gecodeerd hebben opgeslagen, en de hacker weet dat te kraken dan is dat toch niet sony's fout ?

Een auto met een zeer goed slot, is ook te kraken.

Verwijderd @bones • 28 april 2011 14:01

Goedzo, en daarom word er ook een onderzoek ingesteld om te kijken of de data goed opgeslagen was en of sony dit had kunnen verkomen.

Als jij geld naar de bank brengt en die legt dit voor je in een kluis, maar ze vergeten de deur dicht te doen. Komt iemand aan en die neemt jouw geld mee. Dan zeg je ook dat je de bank niet gaat aanklagen en dat de bank slachtoffer is? En dat ze de echte crimineel moeten pakken?

Persoonlijk zou ik direct de bank aanklagen. Ik had mijn geld daar in bewaring gegeven en dan ga ik er vanuit dat ze daar goed op letten. Of ze deur nu wel of niet op slot doen maakt mij niet uit, dat is hun verantwoordelijkheid. Raken ze het geld kwijt, dan is dat ook hun verantwoordelijkheid en kunnen hun het ook vergoeden. Dat de bank dan achter de echte dader aangaat is goed, maar is niet mijn probleem.

Dit is bij sony precies hetzelfde. Dat er bij hun systemen is ingebroken, wil niet gelijk zeggen dat ze niet schuldig zijn. Nalatigheid is ook een vorm van schuld. Dat ze daarnaast de hacker aanpakken is ook goed, aangezien die de misdaad heeft gepleegt. Het is ook niet de vraag of je een van de twee aan moet pakken, maar je moet zowel de hacker als Sony aanklagen.

Als blijkt dat je geld wel degelijk in die kluis lag en dat de deur op slot zat, maar dat tijdens de bouw er toch een zwakke plek in die kluis is ontstaan, dan moet je dus uitzoeken of die bank inderdaad nalatig is geweest of dat de ontvreemding van jouw geld uit die kluis gewoon domme pech is geweest.

Daarvoor moet er eerst een onderzoek plaatsvinden om te bepalen of de kluis van Sony afdoende dicht zat, maar deze gekraakt is door een meesterkraker, of dat die kluis inderdaad met de deur openstond. Als blijkt dat die kluis inderdaad dicht zat en dat er een meesterkraker aan het werk is geweest, dan is er van nalatigheid geen sprake. Dan blijft er alleen misdaad van de kraker over.

Verwijderd @thunder8 • 28 april 2011 19:35

Je snapt het niet...je moet / hoeft helemaal niets uitzoeken...hoe kom je daar nou weer bij....ongeacht hoe of wat, het geld wat de bank in bewaring had is hun verantwoordelijkheid..meester kraker of niet. Dus ook alle schade (en schande) als dat geld op wat voor een ingenieuze wijze is verdwenen....

Verwijderd @bones • 28 april 2011 13:27

Vind het aanklagen van sony geen goede stap. Zij zijn het slachtoffer, niet de dader. Pak die hackers maar goed aan in plaats van sony.

De slachtoffers zijn de klanten op PSN.
Sony is verantwoordelijk voor de beveiliging van PSN. Als deze niet afdoende is of als ze informatie opgeslagen hebben die ze niet hadden mogen opslaan, zoals CVC dan moeten ze hiervoor vervolgd worden.
Ik vind dat CC gegevens nooit door iemand opgeslagen zouden mogen worden.
Een soort globale Ideal zou beter zijn.
En ja als de hackers CC gegevens en persoonlijke gegevens gestolen hebben moeten ze hier ook voor vervolgd worden.

Ik vind dit een goede stap. Tot nu toe werden gehackte bedrijven altijd als slachtoffer gezien en de hackers als misdadigers. Zelfs als de bedrijven nalatig waren met hun beveiliging.
Beveiliging is uiteindelijk ook een verantwoordelijkheid van een bedrijf.

Verwijderd @Verwijderd • 28 april 2011 16:12

als ze alleen op die twee dingen checken kan ik al zeggen dat ze niks fout hebben gedaan, wat voor encryptie ze ook op de CC gegevens hebben gezet, encrypt = voldoende, welke dan ook. en de CVC gegevens van de creditcards werden niet opgeslagen en hierdoor hebben de hackers deze dan ook niet.

Verwijderd 28 april 2011 13:26

Vraag jezelf maar eens af... Als een concern als Sony te kraken valt, hoe zit het dan met de andere concerns?
We zijn nu alleen aan het vitten over Sony, hoe zit 't met Apple? Microsoft? EA games? Etc. etc.
Ze slaan allen data op, maar het is nooit openbaar hoe, waar en wanneer. Willen we dat weten? Nee. Meestal willen we gewoon de service, en vullen we braaf de gegevens die ze willen in, zonder er 123 stil bij te staan hoe die gegevens opgeslagen worden.
Dunkt mij dat "veilig" opslaan niets meer dan een lege huls is. Leeg, omdat niemand je dan ook kan garanderen dat je gegevens veilig zijn.
Als Sony de CC gegevens kan gebruiken, betekent dat in generali dat ze daarvoor gecertificeerd worden door de CC maatschappijnen, of de tussenpartij.

Zoiets als veilig je gegevens online opslaan voor wat voor service dan ook bestaat niet. Wat wel bestaat is gezond verstand, en gebruik dat elke keer als je wat doet.
En gaat het mis? Gewoon effe op de blaren zitten, 't heelt wel.

Verwijderd @Verwijderd • 28 april 2011 13:34

Allemaal 1 pot nat, natuurlijk is het maar de vraag wanneer is iets niet goed genoeg beveiligd? Bij beveiliging moet je altijd een compromis maken tussen handig en beveiliging. En dit is niet alleen voor netwerken van dit soort maar ook on-line bankieren,... Uiteindelijk hangt deze data op de een of andere manier aan het internet en moet deze toegankelijk zijn voor de gebruiker (account setings,...) en het systeem dat de betalingen verwerkt.

harrydg @Verwijderd • 28 april 2011 13:40

heel eenvoudig: als je bankgegevens verwerkt, moet je minstens de regels van de banken handhaven (of beter)

Verwijderd @harrydg • 28 april 2011 14:14

Maar als ke je daar aanhoud en het gebeurt toch, hoeveel gaan er dan toch niet staan roepen de beveiliging is niet zwaar genoeg,.. Feit is mensen willen alles makkelijk toegankelijk via een web interface maar staan dan wel verbaasd als de boel op straat terecht komt door een hack,.. Veiligheid van je gegevens begint bij jezelf. Ik laat nooit CC-gegevens in een account staan, ben ik daarom 100% veilig tegen misbruik, natuurlijk niet. Mijn uitgevoerde betalingen staan ook wel ergens en ergens op een server staat ook wel de volledige data van men CC.

Verwijderd @Verwijderd • 28 april 2011 14:43

En in het eind zijn al deze bedijven gecertificeerd door betalings instanties om de transacties door te kunnen voeren. Anders werkt het zwikkie niet.
Dus is het weer eens duidelijk dat het systeem aan alle kanten rammelt, omdat het internet, via welke je de betalingen doet, never nooit veilig zal zijn, of laten we het zo stellen; nooit 100% veilig.

Het is het "oeps het is afgegleden" verhaal...

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (173)

Sorteer op:

Weergave: