Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

'Hackers PSN maakten gegevens 2,2 miljoen creditcards buit'

Door , 261 reacties

De hackers die verantwoordelijk waren voor de PlayStation Network-hack, zeggen de gegevens van 2,2 miljoen creditcards buit te hebben gemaakt, inclusief beveiligingscodes. De database zou inmiddels te koop worden aangeboden.

Dit valt op te maken uit gesprekken die plaatsvonden op een underground-forum, waar TrendMicro-beveiligingsexpert Kevin Stevens kon meelezen. Volgens Stevens zeiden de hackers dat de database die ze tijdens hun inbraak in Playstation Network hebben buitgemaakt, de cvv2-beveiligingscodes bevatte.

De database die de hackers in handen hebben, zou alle gegevens bevatten die PSN-gebruikers hebben ingevuld. Naast de naw-gegevens zijn dit onder meer het wachtwoord, een eventueel telefoonnummer, het e-mailadres en de geboortedatum. Van de creditcard zijn, indien opgegeven, het creditcardnummer, de vervaldatum en de beveiligingscode opgeslagen.

Het is niet bekend of de hackers de cvv2-codes van de creditcards daadwerkelijk in handen hebben of dat ze zo de verkoopprijs proberen op te drijven. Volgens Sony wordt deze driecijferige code, die wordt gebruikt om transacties te autoriseren, niet van gebruikers gevraagd en al helemaal niet opgeslagen.

Stevens zegt dat hij de echtheid van de beweringen niet kon controleren omdat hij de database zelf niet heeft gezien. De hackers zouden de database in eerste instantie - tevergeefs - aan Sony hebben aangeboden.

Ondertussen duiken er ook meer details op over hoe de hackers toegang tot de PSN-systemen zouden hebben verkregen. De authenticatieserver van PSN zou voorzien zijn geweest van een Red Hat-distributie met Apache 2.2.15 aan boord. Deze verouderde versie van de webserversoftware zou diverse kwetsbaarheden bevatten die misbruikt kunnen zijn om toegang te krijgen.

Door Wilbert de Vries

29-04-2011 • 09:32

261 Linkedin Google+

Lees meer

Reacties (261)

Wijzig sortering
Volgens Visa was het niet nodig mijn card te vervangen, ik had het extra online wachtwoord al geactiveerd waardoor ze niet veel met mijn gegevens kunnen. Heb wel gelijk even de fraude alerts en betaal op tijd alert aangezet op icscards.nl.

Sony zegt dat er geen beveiligingscodes zijn opgeslagen en dat zou wel eens waar kunnen zijn. Ik heb gisteren op psx-scene zitten lezen en er zijn een paar figuren daar die ik niet vertrouw met opmerkingen als "that goes with a middleman so they allready have the cvv2 codes but I can't say more about this", die lui zijn zo verdacht als wat anders kan je het rustig vertellen, nu impliceren ze dat ze er zelf tot hun ellebogen bij betrokken zijn door zo geheimzinnig te doen.

Ik hoop ook dat die security vent op twitter de opsporings instanties op de hoogte heeft gesteld van die underground forums die in creditcards handelen en waar die screenshots van gemaakt zijn en misschien zelfs zijn account daar ter beschikking heeft gesteld om dit verder na te gaan.

Vind het al verdacht dat een security analist uberhaupt weet deze forums te vinden.

Verder is het wel epic fail van Sony dit. Afgelopen dinsdag had ik zelf namelijk een security sessie waarin werd verteld dat je GEEN file inclusion mag gebruiken en wat lees ik woensdag in die chatlog van de hackers? Juist, Sony had file inclusion aanstaan. Wat een gigantische blunder zeg, kan je gewoon je eigen files runnen binnen het Sony netwerk, game over Sony.

Ik vind het ook verdacht dat Sony zijn servers nu (na de hack) verhuist van het huidige data centre naar een nieuwe en dan is er nog het gevalletje dat ze overgingen naar Innovyx op 1 april jongstlede.

Ik wilde juist dit weekend RDR Undead Nightmare kopen via PSN, die heb ik vandaag dus maar bij de Game Mania meegenomen, achteraf beter, ik heb mijn games/uitbreidingen het liefst op een Fysieke data drager dan dat ik ze weer opnieuw moet downloaden bij eventuele hardware storing of systeem crash.

Edit: Dit scrollt zojuist voorbij in mijn twitter timeline: http://arstechnica.com/ga...ers-fbi-gets-involved.ars

[Reactie gewijzigd door DJvGalen op 29 april 2011 22:24]

Wat interessant is, is de vraag of ook de gegevens van mensen die hun kaart van PSN hebben verwijderd (dwz de koppeling) ook verkregen zijn. Gooit Sony de registratie van de kaart echt weg wanneer je deze ontkoppeld van het account of blijven die gegevens toch nog achter. Is dat laatste het geval dan kan het aantal verkregen cc gegevens nog wel eens hoger uitvallen.

[Reactie gewijzigd door Bor op 29 april 2011 09:37]

Ik vermoed dat die gegevens niet verwijderd worden, Het zou extra handelingen kosten en ik denk dat Sony daar ook op bezuinigt heeft (net als op de server software)
De extra handeling is simpel weg een enkele sql statement om de data uit een table te verwijderen. In heel veel gevallen zal het framework dat gebruikt wordt om de gegevens in de database te moduleren de data automatisch voor je verwijderen zonder dat je ook maar 1 regel extra code hoeft te schrijven. Het lijkt me heel erg sterk dat deze ene handeling onder het mom van bezuinigingen is weg gelaten.

Sony zou daar naast ook een aantal regels overtreden met betrekking tot de opslag van prive gegevens. Als er geen reden is om dit soort prive gegevens te bewaren en de gebruiker expliciet de gegevens poogt te verwijderen dan mag je deze gegevens in erg veel landen niet stiekem toch bewaren.
Nu is het natuurlijk de vraag of Sony zich aan de regels gehouden heeft maar het lijkt me heel erg sterk dat ze zonder enige reden toch deze gegevens bewaard hebben. Immers wat heeft Sony er aan om een database aan te maken met CC nummers van gebruikers die deze niet aan hn account willen koppelen?
Alle grote ondernemingen waar ik tot nu toe gewerkt heb, hebben 1 ding gemeen: data wordt NOOIT gewist. Data wordt op inactief geplaatst en eventueel voor performance redenen gemigreerd naar een 'historische' databank.

En er is wel degelijk een reden om dit soort prive gegevens te bewaren.

Simpel voorbeeldje waarom Sony de kredietkaartgegevens niet zou wissen:
  • Persoon X steelt de kredietkaartgegevens van persoon Y.
  • Persoon X koppelt die gegevens aan zijn Sony account en doet er aankopen mee.
  • Persoon X 'ontkoppelt' de kredietkaartgegevens.
  • Persoon Y ontvangt een uittreksel van zijn kredietkaart en ziet dat er uitgaven bij Sony op staan waar hij geen weet van heeft.
  • Persoon Y gaat klagen bij zijn kredietkaartmaatschappij.
  • De kredietkaartmaatschappij gaat navragen bij Sony wie die kredietkaart misbruikt heeft.
Als Sony de gegevens gewist zou hebben zou je er dus nooit meer achter kunnen komen wie de gegevens misbruikt heeft. Immers de kredietkaart zou niet meer gekoppeld mogen zijn aan de account volgens jullie.

Als Sony echter de kredietkaart gewoon als 'inactief' gezet heeft kunnen ze eenvoudigweg een query uitvoeren en de gegevens aan de kredietkaartmaatschappij / politie overhandigen.
ik heb ergens gelezen hier op tweakers.net dat sony wel kan zien welke serie nummer of andere nummer van jou playstation bij het account hoort en aan de hand daarvan zouden ze eventueel de dader ook kunnen pakken

denk ik
Ja, want criminelen die CC-gegevens in bulk verhandelen gebruiken altijd hun echte naam een adres om die gegevens te stelen...
  • Persoon X steelt de kredietkaartgegevens van persoon Y.
  • Persoon X koppelt die gegevens aan zijn Sony account en doet er aankopen mee.
  • Persoon X 'ontkoppelt' de kredietkaartgegevens.
  • Persoon Y ontvangt een uittreksel van zijn kredietkaart en ziet dat er uitgaven bij Sony op staan waar hij geen weet van heeft.
Dit kan simpelweg opgelost worden door de gegevens voor een periode te bewaren, en vervolgens permanent weg te gooien. Als er na die periode nog om de gegevens wordt gevraagd, heeft die persoon gewoon pech.
Volgens mij draai jij het om, het zijn juist extra handelingen om data als verwijderd te markeren en het daarna niet echt te verwijderen. "Echt" verwijderen is vele malen makkelijker.
Grote bedrijven hebben de neiging om niets te wissen, zelfs geen gegevens die al jaren niet meer kloppen.

Het zou mij niet verbazen dat ze een 'active' kolommetje hebben in al hun tabellen. Een simpele update zou de data dan als inactief kunnen markeren. Hoef je geen delete uit te voeren.

Dit is bijvoorbeeld handig voor de marketingafdeling. Kun je specifiek klanten targetten die vroeger wel hun gegevens opsloegen en nu niet meer. Kun je hen vragen waarom ze hun gegevens hebben gewist.

Dit is bijvoorbeeld ook handig als er ooit onderzoek gedaan moet worden naar fraude. Hoe ga je in godsnaam kijken wie een kredietkaart misbruikt heeft als je niet meer kan terugvinden aan welke account die kredietkaart gekoppeld was.
Hoef je geen delete uit te voeren.
Maar het moet wel, volgens wetten uit verschillende landen. Als blijkt dat Sony dit niet doet, kunnen ze nog wel eens een hoge boete opgelegd krijgen.
Als de/een overheid de gegevens die de hackers hebben buitgemaakt in handen krijgt en Sony laat inderdaad persoonsgegevens staan die ze nergens meer voor nodig hebben dan kan dit best nog een naar staartje krijgen. Voor Sony is te hopen dat dit niet het geval is; hun reputatie is door dit voorval al ernstig geschaad en ik denk niet dat ze zitten te wachten op nog meer tegenslag (hoewel ze dat dan aan zichzelf te wijten hebben).
Dit is bijvoorbeeld ook handig als er ooit onderzoek gedaan moet worden naar fraude. Hoe ga je in godsnaam kijken wie een kredietkaart misbruikt heeft als je niet meer kan terugvinden aan welke account die kredietkaart gekoppeld was.
Ik neem aan dat je voor iedere CC transactie een transactie code krijgt. Met deze code kun je alle informatie bij de CC firma opvragen.

Daarom is het zinloos om deze informatie op te slaan.
Ik weet niet wat 'doekoes' zijn, maar ik heb juist gekeken op de site en ik kan nergens een gratis versie downloaden, dus dat zal het niet zijn. Ik zie dat de server editie vanaf €350 per jaar aangekocht kan worden zonder enige support.

Jij doelt misschien op 'fedora'? Maar dat is natuurlijk een andere distributie.

Je kan trouwens ook op beheer bezuinigen, dat kost ook gewoon geld. Je moet er namelijk ook iemand voor in dienst nemen, of iemand zich een aantal uren mee laten bezig houden.

[Reactie gewijzigd door kluyze op 29 april 2011 20:12]

doekoe's is "slang" voor geld, en slang is weer "slang" voor straattaal ;)

tien jaar terug was dit een heel erg hip woord...
Tja, en laat daar dan misschien op "bezuinigd" zijn ..... de red hat serversoftware

Heeft niets met de software te maken, of je nu W, A of een L-smaakje gebruikt ....
Add PlayStation_Network@playstation-email.com to your address book

===================================

PlayStation(R)Network

===================================

Valued PlayStation(R)Network/Qriocity Customer:

We have discovered that between April 17 and April 19, 2011, certain PlayStation Network and Qriocity service user account information was compromised in connection with an illegal and unauthorized intrusion into our network.

In response to this intrusion, we have:

1) Temporarily turned off PlayStation Network and Qriocity services;

2) Engaged an outside, recognized security firm to conduct a full and complete investigation into what happened; and

3) Quickly taken steps to enhance security and strengthen our network infrastructure by rebuilding our system to provide you with greater protection of your personal information.

We greatly appreciate your patience, understanding and goodwill as we do whatever it takes to resolve these issues as quickly and efficiently as practicable.

Although we are still investigating the details of this incident, we believe that an unauthorized person has obtained the following information that you provided: name, address (city, state, zip), country, email address, birthdate, PlayStation Network/Qriocity password and login, and handle/PSN online ID. It is also possible that your profile data, including purchase history and billing address (city, state, zip), and your PlayStation Network/Qriocity password security answers may have been obtained. If you have authorized a sub-account for your dependent, the same data with respect to your dependent may have been obtained. While there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained.

For your security, we encourage you to be especially aware of email, telephone and postal mail scams that ask for personal or sensitive information. Sony will not contact you in any way, including by email, asking for your credit card number, social security number or other personally identifiable information. If you are asked for this information, you can be confident Sony is not the entity asking. When the PlayStation Network and Qriocity services are fully restored, we strongly recommend that you log on and change your password. Additionally, if you use your PlayStation Network or Qriocity user name or password for other unrelated services or accounts, we strongly recommend that you change them as well.

To protect against possible identity theft or other financial loss, we encourage you to remain vigilant, to review your account statements and to monitor your credit reports. We are providing the following information for those who wish to consider it:
- U.S. residents are entitled under U.S. law to one free credit report annually from each of the three major credit bureaus. To order your free credit report, visit www.annualcreditreport.com or call toll-free (877) 322-8228.

- We have also provided names and contact information for the three major U.S. credit bureaus below. At no charge, U.S. residents can have these credit bureaus place a "fraud alert" on your file that alerts creditors to take additional steps to verify your identity prior to granting credit in your name. This service can make it more difficult for someone to get credit in your name. Note, however, that because it tells creditors to follow certain procedures to protect you, it also may delay your ability to obtain credit while the agency verifies your identity. As soon as one credit bureau confirms your fraud alert, the others are notified to place fraud alerts on your file. Should you wish to place a fraud alert, or should you have any questions regarding your credit report, please contact any one of the agencies listed below:

Experian: 888-397-3742; www.experian.com; P.O. Box 9532, Allen, TX 75013Equifax: 800-525-6285; www.equifax.com; P.O. Box 740241, Atlanta, GA 30374-0241TransUnion: 800-680-7289; www.transunion.com; Fraud Victim Assistance Division, P.O. Box 6790, Fullerton, CA 92834-6790

- You may wish to visit the website of the U.S. Federal Trade Commission at www.consumer.gov/idtheft or reach the FTC at 1-877-382-4357 or 600 Pennsylvania Avenue, NW, Washington, DC 20580 for further information about how to protect yourself from identity theft. Your state Attorney General may also have advice on preventing identity theft, and you should report instances of known or suspected identity theft to law enforcement, your State Attorney General, and the FTC. For North Carolina residents, the Attorney General can be contacted at 9001 Mail Service Center, Raleigh, NC 27699-9001; telephone (877) 566-7226; or www.ncdoj.gov. For Maryland residents, the Attorney General can be contacted at 200 St. Paul Place, 16th Floor, Baltimore, MD 21202; telephone: (888) 743-0023; or www.oag.state.md.us.

We thank you for your patience as we complete our investigation of this incident, and we regret any inconvenience. Our teams are working around the clock on this, and services will be restored as soon as possible. Sony takes information protection very seriously and will continue to work to ensure that additional measures are taken to protect personally identifiable information. Providing quality and secure entertainment services to our customers is our utmost priority. Please contact us at 1-800-345-7669 should you have any additional questions.

Sincerely,

Sony Computer Entertainment and Sony Network Entertainment
*** edit: ***
Amerikaans account, derhalve engels
Email verzonden/ontvangen op Thu, 28 Apr 2011 02:54:46 -0700
Email verzonden in flat format (txt) zonder hyperlinks - Content-Type: text/plain; charset=us-ascii

[Reactie gewijzigd door kwakzalver op 29 april 2011 18:09]

Ik kan me niet herinneren of Sony PSN om die CVV2 vraagt, maar Sony heeft zich te houden aan de PCI security standards en in https://www.pcisecuritystandards.org/documents/pa-dss_v2.pdf staat toch duidelijk:

"CAV2/CVC2/CVV2/CID No Cannot store per Requirement 3.2"

Nog een mooie uit dat document:

"9. Cardholder data must never be stored on a server connected to the Internet"
Dat laatste puntje klinkt wel mooi veilig, maar dat houdt in dat je bij een internetaankoop iedere keer al je CC gegevens opnieuw in dient te voeren, 'not connected to the internet' wil dus zeggen dat je er niet geautomatiseerd bij kunt.
Dat is niet waar. Er zijn prima one-way oplossingen te bedenken waarbij je wel bijhoudt dat je iemand z'n CC gegevens hebt, maar niet de gegevens zelf en de betalingsafhandeling door een ander systeem laat doen.
Tja, maar als je in de toekomst nog een keer geld bij iemand wil afschrijven, zul je toch het CC nummer moeten weten.

Met andere woorden, die gegevens sla je ergens op. En als jij er bij kunt, is het ook niet uit te sluiten dat een hacker erbij kan. Het zou natuurlijk al helpen als je bepaalde gegevens encrypt en gebruik maakt van bijvoorbeeld Hardware Security Modules (HSM) om de sleutels in op te slaan.
Het is ook niet onwaarschijnlijk dat al die data Łberhaupt niet aanwezig was op de server waar op is ingebroken, maar op die server stonden wellicht wel de logingegevens naar de database waar die wťl stonden.
Cardholder data must never be stored on a server connected to the Internet
Hoe kan je dan in vredesnaam online ooit iets met je creditcard betalen?
Lijkt me onmogelijk. Want zodra je online een aankoop wilt doen met je creditcard, zal er toch online een controle moeten doen of de CC-gegevens uberhaupt wel geldig zijn.
De authenticatieserver van PSN zou voorzien zijn geweest van een Red Hat-distributie met Apache 2.2.19 aan boord.
Apache 2.2.17 is de laatste versie voor zover ik weet (klik). Lijkt me dus een vrij sterk verhaal, tenzij het om een typefoutje gaat en ze bijvoorbeeld 2.0.19 bedoelen.

[Reactie gewijzigd door EDIT op 29 april 2011 09:50]

Zover ik weet gaat het om een mod versie van Apache van Red Hat maar ben hier niet zeker van
Ik heb het aangepast in 2.2.15 op basis van
Apache/2.2.11 (Unix) mod_ssl/2.2.11 OpenSSL/0.9.8j [Mon Apr 05 11:13:41 2010]
Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8n [Wed Apr 21 10:22:19 2010]
Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8o [Mon Aug 23 00:51:51 2010]
Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8o [Mon Aug 23 09:42:06 2010]
Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8o [Mon Oct 18 13:22:53 2010]
Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8o [Mon Nov 01 16:42:35 2010]
bron:http://www.ps3devwiki.com/index.php?title=Environments
ik kreeg toevallig gisteren een mail van psn. Gelijk uit voorzorg de boel laten blokkeren bij de bank. :(

Geachte PlayStation Network/Qriocity klant:

We hebben onlangs ontdekt dat tussen 17 April en 19 April 2011, bepaalde informatie van gebruikersaccounts op het PlayStation Network en Qriocity diensten werd gecomprimeerd in verband met een externe indringing in ons systeem. Hierdoor hebben wij:
tijdelijk PlayStation Network en Qriocity services offline geplaatst
een buitenstaande en erkende security firma gevraagd om een volledig en compleet onderzoek te ondernemen naar wat er gebeurd is; en,
en spoedig maatregelen genomen om de beveiliging van onze netwerkinfrastructuur te verbeteren en te versterken door onze systeem te heropbouwen om u te voorzien van verbeterde bescherming van uw persoonlijke gegevens.
Wij waarderen uw geduld, begrip en aardigheid terwijl wij aan het werk zijn om deze problemen zo snel en efficiŽnt mogelijk op te lossen.


Moet ik gaan huilen nu :)

[Reactie gewijzigd door X-Tripiot op 29 april 2011 10:46]

Vooral even de hyperlinks aanklikken! Is een hoax email, lees eens goed en je ziet zeer kromme zinnen als "Wij waarderen uw geduld, begrip en aardigheid"...

Of dit moet vertaald zijn door wel heeeeel slechte vertalers ;)
Er is ook een mail als deze in omloop waar helemaal geen hyperlinks in staan ;)
diensten werd gecomprimeerd in verband met een externe indringing
gecomprimeerd was ook niet wat ze bedoelen. Maar die phishers zijn er snel bij, is een keer dat anders dan een royale erfenis van wildvreemde.
Dit staat er in de e-mail, en die ik kreeg was geen hoax mail

http://newsletters.eu.pla...S-250411-AVCE/web_nl.html

Dit is de link naar de nieuwsbrief. Dit is gewoon echt van Sony lijkt me een beetje ongelukkig vertaalt hier en daar.

Met "gecomprimeerd" bedoelen ze "gecorrumpeerd".
Is het niet gecompromitteerd ?

to compress -> comprimeren
to compromise -> compromitteren (is Nederlands, wat firefox keurt het goed)

Word wel vaker door elkaar gehaald.
"Verified by VISA en MasterCard Securecode bieden u een extra wachtwoord voor internetbetalingen. Hierdoor is de betaling nog veiliger. Deze wachtwoorden zijn strikt persoonlijk en nooit door derden te achterhalen. Het is dus zeker een aanrader om hiervan gebruik te maken." Bron ;)

En stel dat de drie cijferige autorisatie / secure code (= 1000 mogelijkheden) er niet bij zit, hoe vaak laten de transactiesystemen een combinatie toe? Stel dat je 5 pogingen krijgt, is dat kans 1 op 200... met 2.2 miljoen creditcards heb je vast wel ergens buit :Y)

En als zo'n database te koop wordt aangeboden aan Sony zelf, zouden ze dat dan niet moeten doen om te verifiŽren of deze daadwerkelijk dezelfde data bevat als hun eigen database? Want als dat zo is, zou ik als Sony zijnde alle gebruikers/banken inlichten en vragen of ze de desbetreffende creditcard willen blokkeren.

Overigens aardig slordig van Sony om een versie van Apache te draaien, waarvan bekend is dat er diverse kwetsbaarheden inzitten.... Ik ben blij dat ik mijn PS3 en Xbox lekker offline gebruik.... in m'n uppie :)
Dus hackers stelen je gegevens en dan ga je betalen om te zien wat ze precies gestolen hebben? De gegevens hebben ze immers zelf ook. Ik denk dat daar wel een flink prijskaartje aan zou hangen. Nu zitten die hackers met een mooie database, alleen zullen ze die eerst moeten verkopen voordat ze geld hebben.

Het zou wel netjes zijn van Sony om hun gebruikers te informeren, maar de vraag is of ze dat gaan doen. Dat zal een afweging zijn van imagoschade vs materiŽle schade die de klant komt verhalen. Over het algemeen wordt zulke schade vergoed door de creditcard-maatschappijen, dus ja...
En stel dat de drie cijferige autorisatie / secure code (= 1000 mogelijkheden) er niet bij zit, hoe vaak laten de transactiesystemen een combinatie toe? Stel dat je 5 pogingen krijgt, is dat kans 1 op 200... met 2.2 miljoen creditcards heb je vast wel ergens buit :Y)
Ah, eindelijk iemand die snapt hoe het werkt.

De reden dat een pincode van vier cijfers genoeg is, is dat je pinpassen steelt via zakkenrollen of toevallig een verloren portemonnee vinden (en daar misbruik van maken). Die steel je dus meestal per stuk, en hooguit twee of drie tegelijk. In dat geval is een kans van 3 (toegestane pogingen) op 10.000 (mogelijkheden) zeer klein en loont het de moeite van het stelen niet.
Daarom zou het ook een ontzettend slecht idee zijn om op het Internet via bankrekening + pasnummer + pincode te kunnen betalen; dan ontstaan databases (die in ťťn keer in zijn geheel zijn te kopiŽren / stelen) met daarin miljoenen IDs (bankrekening + pasnummer) en een veel te kort "password" (pincode).

Zodra fraude met miljoenen "items" tegelijk mogelijk is, heb je een beveiliging met talloze miljoenen mogelijke "passwords" nodig. Anders wordt het simpelweg een deling van 2,2 miljoen / 1000 = 2200 rekeningen die je leeg kunt trekken (doordat automatische blokkering meestal pas gebeurt na meerdere pogingen, geen idee waar je die 5 vandaan haalt...?) is het in het echt zelfs nog erger.
Zover ik begrepen heb zijn je CC gegevens sowieso encrypted.
Q: Was my credit card data taken?
A: While all credit card information stored in our systems is encrypted and there is no evidence at this time that credit card data was taken, we cannot rule out the possibility. If you have provided your credit card data through PlayStation Network or Qriocity, out of an abundance of caution we are advising you that your credit card number (excluding security code) and expiration date may have been obtained. Keep in mind, however that your credit card security code (sometimes called a CVC or CSC number) has not been obtained because we never requested it from anyone who has joined the PlayStation Network or Qriocity, and is therefore not stored anywhere in our system.
bron: PlayStation Blog - Q/A for PlayStation Network & Qriocity Services.
Wat 'Out of order' al zei:
...stel dat de drie cijferige autorisatie / secure code (= 1000 mogelijkheden) er niet bij zit, hoe vaak laten de transactiesystemen een combinatie toe? Stel dat je 5 pogingen krijgt, is dat kans 1 op 200... met 2.2 miljoen creditcards heb je vast wel ergens buit :Y) ...
Dus zelfs al hebben ze je CVC/ CSC nummer niet maar wel je creditcardnummer + vervaldatum dan hebben zo'n grote hoeveelheid creditcard gegevens toch een aardige kans om bij duizenden creditcards wel succesvol geld te stelen.
eerste slachtoffer cc?:

http://www.abc.net.au/news/stories/2011/04/28/3202046.htm

BTW Heb op mijn oude account een keer de cc van mijn schoonvader gebruikt.
ben nu aan het twijfelen of ik hem moet waarschuwen..

[Reactie gewijzigd door baronruud op 29 april 2011 10:36]

En natuurlijk is alles wat er op internet gezegd wordt waarheid. Ik zou er niet raar van opkijken als dit bericht waar is, maar evenmin als mr Spreckley probeert om onder een uitgave te kruipen. Misschien iemand die handig gebruik probeert te maken van de situatie? Wie weet heeft ie wel $.2000 uitgegeven aan een buitenechtelijke relatie en kan hij die kosten nu "verantwoorden". Allemaal fantasie, natuurlijk, maar wie zal zeggen dat het niet waar is?
Heel erg mooi artikel waarin de security van PSN (op 17-02-2011) al aan de kaak wordt gesteld.

http://www.justpushstart....formation-safe-with-sony/

Reactie van Sony op downtime
Q: Will there be a goodwill gesture for the time we haven’t been able to utilize PSN/Qriocity?
A: We are currently evaluating ways to show appreciation for your extraordinary patience as we work to get these services back online.
Bron: http://blog.us.playstatio...rk-and-qriocity-services/

[Reactie gewijzigd door bas.kb op 29 april 2011 10:21]

Grappig, aangezien er waarschijnlijk helemaal geen CC gegevens zijn buitgemaakt.
check op 00:40,http://www.bbc.co.uk/news/business-13193891

Uiteraard heeft Sony uit voorzorg de waarschuwing gegeven, maar de BBC heeft over het algemeen wel betrouwbare bronnen.
Maar uitsluiten kunnen ze het niet.
Een database, of deze nu wel of niet ge-encrypt is, kun je kopiŽren zonder dat ze (Sony) het merken.
Zeker als de hackers goed hun sporen hebben gewist.

Als Sony beweerd dat de CC database versleuteld is, maar deze is wťl gecopieerd, dan hangt het hele verhaal af of de hackers de encryptie kunnen breken.
1 2 3 ... 9

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*