PSN-hackers lijken buitgemaakte creditcards nog niet te misbruiken

De hackers die naar eigen zeggen de gegevens van ruim twee miljoen creditcards hebben buitgemaakt bij het hacken van Playstation Network, lijken deze gegevens nog niet te hebben misbruikt. Dit blijkt uit een rondgang langs Visa en Mastercard.

Bij de hack, die eerder deze maand door Sony werd ontdekt, hebben hackers naar eigen zeggen de creditcardgegevens van 2,2 miljoen PSN-abonnees achterhaald. Niet alleen zouden zij in bezit zijn van de creditcardnummers en vervaldatum, ook claimen ze de cvv2-code in bezit te hebben. De code wordt gebruikt om transacties te autoriseren.

Sony heeft bevestigd dat er bij de aanval persoonlijke gegevens van klanten zijn buitgemaakt, maar ontkent stellig dat het bedrijf de cvv2-code van gebruikers opslaat. Volgens het bedrijf is het dan ook niet mogelijk dat deze gegevens buit zijn gemaakt. Mogelijk proberen de aanvallers hiermee de vraagprijs voor de database met gegevens omhoog te krijgen. Gestolen creditcardgegevens worden vaak via het illegale circuit verhandeld, bijvoorbeeld om aankopen mee te doen.

De hackers hebben de database met gegevens naar verluidt ook bij Sony aangeboden, maar deze zou niet zijn ingegaan op het aanbod om de gegevens terug te kopen. Het heeft er alle schijn van dat de database nog niet is verkocht: tot op heden zijn geen meldingen bekend van fraude met creditcards die aan een PSN-account waren gekoppeld.

Zowel Visa als MasterCard, twee van de grootste creditcardbedrijven ter wereld, bevestigen desgevraagd aan Tweakers.net dat er bij hen nog geen fraudemeldingen zijn binnengekomen als gevolg van de PSN-hack. Wel zouden de bedrijven extra waakzaam zijn en roepen zij klanten op zelf ook goed op te blijven letten door de afschriften te controleren.

IT-banen

Reacties (120)

TD-er

30 april 2011 10:54

Dus als je betalingen wilt doen met je CC op het PSN-netwerk moet je altijd je cvv2 code invoeren?
Anders kun je geen betalingen doen lijkt mij.

* TD-er heeft geen playstation, dus geen ervaring met hoe je dat werkelijk gebruikt.

LOTG @TD-er • 30 april 2011 11:02

Wat is het toch fijn dat Sony zijn trend in het liegen door zet. Nu is iedereen zeker gerust gesteld, want ze slaan de codes niet op, net zoals ze gisteren wisten te vertelllen dat ze die noooooit vroegen.

Als Sony die berg geld die ze gebruiken om iedereen aan te klagen nou hadden gebruikt om de security op orde te houden dan was het volgens mij allemaal zo erg niet geweest, maar het veilig stellen van de eigen inkomsten moet toch echt ver boven de klanten staan.

Ik hoop ten zeerste dat Sony aansprakelijk gesteld kan worden voor alle geleden of nog te leiden schade. Misschien moeten wij Sony ook eens op de EULA gaan wijzen. Daar staat toch echt in dat ze onze gegevens niet aan derde verstrekken, maar dat doen ze toch. Er worden weer meerdere maatstaven gehandhaafd.

De database terug kopen is natuurlijk een zeer slecht voor je image, maar als je klanten credit card gegevens kwijt zijn door jou schuld dan vind ik dat je het niet kan maken om zo een kans te laten liggen.

mischaatje2 @LOTG • 30 april 2011 11:12

Het is onder US Federal laws ten strengste verboden om deze CC codes op te slaan, versleuteld danwel onversleuteld. Bij grote bedrijven wordt er door de federale instanties ook héél streng op toegezien dat dit NIET gebeurt. Daar moet je als bedrijf ook volledige medewerking aan geven. Niet dat dat systeem waterdicht is, maar Sony zou helemaal gek zijn als ze toch die codes op zouden slaan.

Edit: om verwarring te voorkomen, de CC codes waar ik het over heb zijn de security nummers, niet de kaartnummers.

[Reactie gewijzigd door mischaatje2 op 22 juli 2024 20:41]

digital-IMEI @mischaatje2 • 30 april 2011 13:56

Kleine aanvulling waarvan ik details ook niet exact weet om eerlijk te zijn.

Het is toegestaan om alle creditcard gegevens op te slaan, als ik me niet vergis geldt vanaf 2012 de zogenaamde PCI SSC Data Security Standards waaraan een bedrijf dient te voldoen.
Het bedrijf waarvoor ik werk zou hier ook onder moeten vallen maar na kort bestuderen van de documentatie was de keuze snel gemaakt om in plaats van aan deze standaarden te voldoen, geen creditcard gegevens meer op te slaan.

Zoals gezegd, ik weet niet of deze standaarden reeds gelden en of deze wereldwijd zijn maar snel door de website gekeken ziet het er wel naar uit.

Daarnaast worden Creditcards (eindelijk) steeds beter beveiligd, onder andere mbv EMV (joint effort van Europay, Mastercard en Visa)http://en.wikipedia.org/wiki/EMV waarbij er gebruik wordt gemaakt van de beter beveiligde chip ipv de (bijna niet) beveiligde magneetstrip. Bij veel mensen is deze techniek bekender onder de naar "het nieuwe pinnen" hetzelfde wat ook voor creditcards wordt gebruikt.
De gebruikers van creditcards herkennen dit aan het gebruik van de Random Reader (bij de Rabobank) tijdens een betaalopdracht mbv de creditcard. Helaas zijn alleen nog altijd niet alle creditcards voorzien van EMV waardoor het misbruiken van (niet EMV) creditcards nog wel een aantal jaren mogelijk zal blijven.

Zapato @mischaatje2 • 30 april 2011 12:02

Sony is Japans, dus lijkt me dat de Japanse wetten van toepassing zijn.

mischaatje2 @Zapato • 30 april 2011 12:36

De vuistregel is dat je, om in een territorium te *mogen* opereren, jezelf moet houden aan de wetten die gelden in dat gebied. Multinationals zijn hiervan niet uitgezonderd.

Het enige probleem waar je tegen op zou kunnen lopen is een internetwinkel of andere virtuele verkoopomgeving, omdat je daar niet altijd precies kan definiëren wat het afzetgebied is.... maar bij Sony staan de PSN servers echt in de VS (te weten Foster City in California en/of in San Diego) en bedient het onder andere markt in de VS, dus is de US Code hier zonder twijfel van toepassing.

thedicemaster @Zapato • 30 april 2011 14:32

sony bestaat uit meerdere delen.
SCEA wordt in dit geval verantwoordelijk gehouden, en omdat dit een amerikaans(e) bedrijf(tak) is gelden de amerikaanse wetten.

unfor @Zapato • 30 april 2011 12:20

lijkt me dat de Japanse wetten van toepassing zijn.

Nee.

signslave @mischaatje2 • 30 april 2011 13:26

Als je de cc code moet invoeren, omdat ze m moeten checken bij de creditcard company moet ze m echt ergens opslaan. Tijdelijk of niet.
Ik ben nog nooit creditcard betalingen tegengekomen zonder die code.

Damic @signslave • 30 april 2011 13:31

Tijdelijk is gewoon in het geheugen he tot de transactie is geslaagd maximum een minuut of 5 en dan unset($cc_cvc); en gegevens zijn weer uit het geheugen.

Anoniem: 404761 @LOTG • 30 april 2011 12:38

Zo jij zegt als een database ontvreemd wordt met de gegevens van klanten dat de eigenaar dat dan moet terugkopen? Laat me effe denken... Dat is in jou idee goed? "een kans laten liggen".
Ik vindt dat je op die manier de hacker beloont voor zijn daden, en dat moet niet kunnen.

Wat de hackers doen als ze daadwerkelijk de gegevens in handen hebben, want dat is een goede tweede, is gewoon een misdaad. Punt.
De data in gijzeling nemen en dan terugverkopen aan de rechtmatige eigenaar.

Het is goed mijns inziens dat Sony dat niet heeft gedaan; begrijp me niet verkeerd, ik ben van mening dat er altijd hackers zullen zijn, en ze zullen altijd inbreken, of proberen in te breken, dat is immers hun hobby.
Het is wat anders om in te breken en dat aan de kaak te stellen door dat aan het bedrijf door te geven dan de data echt te "stelen" en dan door te verkopen of terug te verkopen aan het bedrijf.

Als Sony het had terug gekocht had het misschien andere gevolgen gehad:
we waren er ten eerste nooit achter gekomen dat dit speelde, terugkopen en in de doofpot stoppen, en dan komen we erachter dat het op een of andere site is gepost door de hacker wat ie heeft gedaan doordat ie erover loopt te pochen. Deze gasten doen het niet alleen maar voor de "leuk", maar doen het ook om de aandacht.
Sony zou op die manier een precedent scheppen, en op die manier zouden er nog meer hackpogingen volgen op andere bedrijven om de data te stelen en dan door te verkopen. Ik vraag me dan af wat jij dan verstaan onder een "kans laten liggen".
Dunkt mij dat de grootste fout is die je als bedrijf kan maken.

Ik zeg niet dat ik Sony geloof... Maar mijns inziens moeten ze de hackers die dit gedaan hebben gewoon oppakken en niet alleen opsluiten, maar ook volledig aansprakelijk stellen voor de schade.
Sony moet ervoor zorgen dat voordat psn weer online komt, alle orde op zaken moet zijn.
En voor ons: gewoon een credits kaartje in de winkel halen zoals het bij WOW ook mogelijk is.

Anoniem: 120071 @Anoniem: 404761 • 30 april 2011 18:17

Ik vindt dat je op die manier de hacker beloont voor zijn daden, en dat moet niet kunnen.

Je kunt het ook anders bekijken: je straft Sony omdat ze flink moeten dokken. Kunnen ze die bak geld die ze nu gebruiken om CFW downloaders aan te klagen mooi gebruiken om de gegevens van diezelfde gebruikers weer veilig te stellen.

Blokker_1999

Hackers
Privacy

@LOTG • 30 april 2011 11:21

Dus jij gelooft de hackers boven Sony. En jij vind dat omdat de hackers hebben ingebroken en gegevens hebben ontvreemd dat Sony ineens in fout is. Mooi wereldbeeld heb jij. Als men dus morgen iets van jouw steelt is het dus ook je eigen schuld en als men het jouw daarna terug te koop aanbied ga jij het terugkopen...

Als Sony gelijk heeft en de gegevens onvolledig zijn dan zou het maar al te gek zijn om de mensen die het gestolen hebben te gaan belonen voor hun daden. Imho zouden Visa en Mastercard al die kaarten gewoon preventief moeten blokkeren.

YDh @Blokker_1999 • 30 april 2011 12:37

Dus jij gelooft de hackers boven Sony.

Ja.

Sony heeft duidelijk gesteld in een persmededeling dat ze nooit achter de CVC (CVV2) code gevraagd zouden hebben en dat deze dus niet gelekt kan zijn. Screenshots hebben echter aangetoond dat ze wel degelijk om die code gevraagd hebben.

Ze mogen de CVC code niet opslaan van VISA, maar aangezien dat de informatie tot nu toe al fout (leugenachtig) was, zou ik echt mijn hand niet in het vuur durven steken om te stellen dat ze bij Sony die codes toch niet opgeslagen hebben...

En jij vind dat omdat de hackers hebben ingebroken en gegevens hebben ontvreemd dat Sony ineens in fout is.

Het hangt er van af. Als de gegevens die niet opgeslagen mochten worden toch opgeslagen werden en/of de beveiliging van de gegevens die wel opgeslagen mochten worden zo slecht was dat iedereen met een deftige computerkennis er aan kon, dan is Sony inderdaad fout. Dit betekent niet dat die hackers nergens geen schuld aan hebben. Dat betekent enkel dat naast die hackers, ook Sony boter op het hoofd heeft.

Imho zouden Visa en Mastercard al die kaarten gewoon preventief moeten blokkeren.

Enkel als Sony de kosten daarvoor draagt. Het immers niet de schuld van VISA en Mastercard dat de gegevens op straat liggen. Als de hackers ooit gepakt worden moeten Sony dan maar proberen de kosten op hen te verhalen.

Atomsk @YDh • 30 april 2011 13:01

Natuurlijk wordt er om die code gevraagd op het moment dat je een credit card toevoegt, of een aankoop doet. Het zou weinig zin hebben dat die code bestaat, als dat niet gedaan zou worden. Het draait er allemaal om, of die code ook opgeslagen wordt. Zolang dat niet gebeurt, doen ze niets illegaals, al blijft het ontzettend laks dat ze de hele database onversleuteld op een server hadden staan.

Anoniem: 112442 @Atomsk • 30 april 2011 17:33

Natuurlijk wordt er om die code gevraagd op het moment dat je een credit card toevoegt

Ik vind dit helemaal niet natuurlijk. Zonder CVC kun je de ook al controleren of de gegevens correct zijn. Bij een daadwerkelijk transactie komt er de CVC bij, als de CC gegevens gestolen zouden zijn valt de persoon dan door de mand.

Het draait er allemaal om, of die code ook opgeslagen wordt.

Precies, momenteel is er geen bewijs dat wel al dan niet gebeurt. Je kunt Sony alleen op hun blauwe ogen geloven.

Dankzij het onderzoek van de VS en VK zal de waarheid wel boven water komen.
nieuws: Overheid VS wil onderzoek hack PSN

Anoniem: 1322 @Anoniem: 112442 • 30 april 2011 18:58

Ik heb Sony altijd al een stel leugenaars gevonden sinds de hele rootkit affaire.
Een kat in het nauw maakt rare sprongen. Sony geeft nu aan:

Sony has gotten back to us, noting that an error was made in the blog post and confirming that Sony does ask PSN users for a security code. However, it was noted that the numbers are not stored on Sony's servers so there's no risk. The PS Blog post has now been corrected and the erroneous information crossed out.

YDh @Atomsk • 30 april 2011 15:37

of een aankoop doet.

Als je de reacties leest blijkt dat Sony ofwel de controle maar éénmalig uitvoerde bij de initiële koppeling van de kaart ofwel de code opsloeg (al dan niet lokaal) en die telkens gebruikte.

In het laatste geval is dit overtreding van de regels waaraan je je moet houden bij verschillende kredietkaartmaatschappijen.

In het eerste geval is dat slecht nieuws voor iemand wiens account gekraakt wordt. Eens gekraakt zou de kredietkaart dus door iedereen te gebruiken zijn zonder bijkomende verificatie. Persoonlijk vind ik dit dan ook een totaal inadequate implementatie van beveiliging. En dat geldt niet enkel voor Sony, ook voor anderen die dit model gebruiken. Een 3-digit code vragen bij elke financiële transactie veroorzaakt echt niet zo veel gebruikersongemak om het weg laten te verantwoorden.

Dus ja, volgens mij is Sony eveneens schuldig.

TD-er

@Blokker_1999 • 30 april 2011 11:30

Dus jij gelooft de hackers boven Sony. En jij vind dat omdat de hackers hebben ingebroken en gegevens hebben ontvreemd dat Sony ineens in fout is. Mooi wereldbeeld heb jij. Als men dus morgen iets van jouw steelt is het dus ook je eigen schuld en als men het jouw daarna terug te koop aanbied ga jij het terugkopen...

Sony zou niet het eerste bedrijf zijn wat staat te liegen wanneer d'r nogal ernstige dingen boven tafel lijken te komen.
Als Sony bepaalde data niet _mag_ opslaan en het wordt een keer ontvreemd, dan is Sony daar zeker mede schuldig aan dat dergelijke gegevens op straat zijn gekomen.
Wanneer alleen gegevens zijn gestolen die ze wel hadden mogen opslaan is de situatie behoorlijk anders.
Maar dan nog kun je iemand wel verwijten dat de data niet versleuteld was en tot op zekere hoogte dat de data uberhaupt te stelen was.

Terugkopen van data die je zelf nog steeds hebt is natuurlijk iets wat je nooit moet doen.
Het biedt geen garantie dat anderen het niet alsnog ook kunnen kopen en je weet wat er in bepaalde databases staat dus je weet wat iemand heeft. Dus terugkopen biedt helemaal niets extra.

Wanneer iemand iets steelt wat uniek is zou je het kunnen overwegen terug te kopen. (vergelijkbaar met losgeld bij een ontvoering)

Rex @Blokker_1999 • 30 april 2011 13:13

In een perfecte wereld zou je 100% gelijk hebben, en zou Sony dus de slachtoffer hier zijn. Maaaaar we leven niet in een perfecte wereld. Sony is een bedrijf met miljoenen klanten en ze moeten wel aan damagecontrol doen, anders neemt niemand hun PSN producten meer af. Je zou dus gewoon je creditcard moeten laten blokkeren als je die hebt ingevoerd op je PS3, ipv naief blijven wachten totdat het misloopt. Bij DSB Bank dachten ook veel mensen dat het wel goed zou komen door al het damagecontrol wat werd toegepast.... en dat ging ook failliet!

Zer0 @LOTG • 30 april 2011 11:23

De database terug kopen is natuurlijk een zeer slecht voor je image, maar als je klanten credit card gegevens kwijt zijn door jou schuld dan vind ik dat je het niet kan maken om zo een kans te laten liggen.

De database terug kopen is onzin, niks houd de criminelen die hem hebben geen kopietje gemaakt hebben en deze alsnog aan anderen verkopen.

SuperDre

Hackers
Sony
Sony PlayStation

@LOTG • 30 april 2011 17:21

Maar e hebben toch niet de gegevens aan derden verstrekt... Hackers die inbreken is niet gelijk aan verstrekken van gegevens aan derden..
En komt ook bij dat in de EULA waarschijnlijk wel staat dat ze de gegevens niet aan derden verstrekken, maar wel aan partners, en met zo'n uitspraak kom je heeeeeel ver, want wat is een 'partner'..

fire-breath @LOTG • 1 mei 2011 12:39

EDIT: dit was dus een reactie op LOTG

Als Geohotz niet met zijn vingers aan de PS3 gezeten had was dit ook niet gebeurt.

Wat jij en Thief nu eigenlijk zeggen is dat Sony hier de boosdoener is.

Even een stukje geschiedenis hoe het komt dat de creditcard gegevens gejat zijn:

De echte boosdoeners zijn degene die de PS3 hebben gehackt waardoor Sony reageerde door de Other OS optie weg te halen.

Dat de hackers zijn dan zo kinderachtig om uit wraak de PS3 verder te kraken waardoor Sony wel moet gaan procederen tegen Geohotz en consorten.
De middelen tijdens dit proces waren legaal en met toestemming van de rechter.

Sony en Geohotz schikken de kwestie waarna een aantal hackers wraak neemt door het PSN aan te vallen.

PSN gaat down waarna iemand de creditcard gegevens jat. Deze gegevens zijn opgeslagen volgens de regels, je moet er altijd rekening mee houden dat databases gekraakt kunnen worden (ook die van een bank of een niet nader te noemen overheidssysteem van een noord Amerikaans land).

Sony brengt direct zodra ze het weten het nieuws uit dat er cc gegevens zijn buitgemaakt.

Nu vraag ik jullie, wat doet Sony hier nu verkeerd in dit proces? Niets in mijn ogen. Er zijn misschien minder populaire maatregelen genomen maar laten we niet vergeten dat die genomen zijn naar aanleiding van hackers zoals Geohotz.

Sommige zullen misschien komen met het spyware verhaal waarmee sony kan kijken of je illegale software draait. Dit kan je gewoon vergelijken met een antivirus pakket.

Zie hier het verschil:
Een antivirus pakket heeft volledige toegang nodig tot de computerbestanden om te kijken of de bestanden niet besmet zijn met een virus. Om virussen te vinden moet er een verbinding zijn met de severs van het antivirus bedrijf om virusdefinities binnen te halen.

De spyware van Sony heeft volledige toegang nodig tot de PS3 bestanden om te kijken of de bestanden niet illegaal zijn. Om illegale bestanden te vinden moet er een verbinding zijn met de severs van Sony om de lijst van mogelijk illegale bestanden binnen te halen.

We gaan ook niet met allen zeuren over antivirus pakketten, laten we dan ook niet doen met de spyware van Sony. Als je de PS3 inderdaad gebruikt waarvoor de hackers claimen het gekraakt te hebben (legale homebrew zaken) dan is er niets aan de hand. Ik heb tenminste geen extra reclame van Sony of andere extra bemoeienis van Sony's kant.

De database terug kopen is het domste wat je kan doen als bedrijf. Als Sony direct toehapt dan krijgen ze nog veel meer hackpogingen te verduren omdat ze de gegevens toch wel terug kopen.

Ik mag overigens aannemen dat de securitycode niet opgeslagen wordt zoals mischaatje2 verteld. Anders heb je nogal weing aan een extra code.

In het kort samengevat:
Als wij niet zo kinderachtig waren geweest om de PS3 te hacken dan lagen onze creditcard gegevens nu niet op straat.

[Reactie gewijzigd door fire-breath op 22 juli 2024 20:41]

Anoniem: 120071 @fire-breath • 1 mei 2011 18:12

Wat een onzin schrijf je hierboven. Sony had zich gewoon nederiger op moeten stellen naar de hackers en op dezelfde manier moeten reageren als Microsoft en Nintendo toen hun consoles gekraakt werden om gekopieerde games te spelen. Het aanklagen van gebruikers is het toppunt van machtsmisbruik en grootheidswaanzin. Rootkits stoppen in producten wordt ook niet meer getolereerd anno 2011. Zeker niet als men dit voor de 2e keer durft te flikken (1e keer was het Sony BMG rootkit schandaal, waarbij Sony doodleuk verklaarde dat gemiddelde gebruiker toch niet wist wat een rootkit was...).

Het het is echt de arrogantie, de hooghartigheid en de brutaliteit waardoor Sony steeds tegenslag na tegenslag te verwerken krijgt. Zie ook deze post:

"Arrogantie Sony oorzaak PlayStation-datadiefstal"

[Reactie gewijzigd door Anoniem: 120071 op 22 juli 2024 20:41]

fire-breath @Anoniem: 120071 • 1 mei 2011 22:38

Ik vind niet dat de reacties bij Microsoft en Nintendo echt goed gewerkt hebben vind je wel? Er worden volop illegale games gespeelt, zeker bij nintendo is dit het geval.

Sony ziet dat die manier werkt en doet het op een andere manier.

De link stuurt mij door naar een verhaal over beveiligingsonderzoeker George Hotz. Een dubieuzere bron kan bijna niet omdat Hotz juist de aanstichter is van de reactie van Sony. Je mag gerust nog een link posten, ik ga die lezen maar dan moet het zijn van een onafhankelijk persoon die niet direct betrokken is.

Tevens is de titel beveiligingsonderzoeker in dit geval een duur woord voor hacker.

Dat rootkits anno 2011 niet kunnen maakt mij geen klap uit. Anno 2011 gebeuren er wel meer dingen waar ik het niet mee eens ben. Feit is dat die rootkit precies hetzelfde werkt als antivirus en feit is dat we er geen last van hebben als we ons aan de regels houden.

Ander voorbeeld, de politite heeft trajectcontrole waar ze precies bijhouden of je te hard gereden hebt op dat traject. Dat de politie dit doet komt omdat blijkt dat mensen anders met 180 over de snelweg scheuren. Als je onder de 120 blijft is er niets aan de hand en krijg je geen leuke brief.

Kortom een hoop ophef om niets, zoals ik al zij heb ik geen last Sony reclame e.d. De last die ik ga krijgen komt juist van de hacker kant die PSN plat leggen, cc gegevens jatten en Sony dwingen tot maatregelen.

Als jij deze reactie van Sony niet leuk vind is dat niet Sony's fout. In mijn ogen ligt die grotendeels bij beveiligingsonderzoeker George Hotz.

Anoniem: 120071 @fire-breath • 1 mei 2011 23:06

Dat er volop illegale games worden gespeeld zal Sony mee moeten leven nu. Net als dat Microsoft en Nintendo hiermee moeten leven. Sony is niks meer dan een ander.

En een Rootkit is totaal iets anders als een Virusscanner. Een rootkit vangt API calls af zodat je met tools niet kan zien dat er dingen niet kloppen. Dit kan zijn: het verbergen van bestanden die niet in Windows verkenner te zien zijn. Het manipuleren van vrije schijfruimte of het afschermen van bepaald netwerkverkeer. Een virusscanner scant bestanden en dat is controleerbaar. Wat een rootkit doet is niet zo makkelijk controleerbaar. Sony gebruikt rootkit implementaties zodat de gebruiker niet makkelijk kan controleren wat Sony allemaal doet. Zeer dubieus dus. Zoiets kan gewoon echt niet meer door de beugel anno 2011 en het is goed dat de community Sony nu eens een flink pak slaag heeft gegeven. Jammer dat de gebruikers eronder moeten lijden, maar het is even niet anders. Dit is de enige manier waarop je Sony goed te kakken kan zetten.

En George Hotz is een uitstekende beveiligingsonderzoeker die zich met zijn skills onderscheid van menig scriptkiddie. Het ligt ook niet aan hem maar aan de reactie van Sony waardoor alles zo fout is gelopen voor Sony. Bij Microsoft en Nintendo hebben deze schandalen zich niet voorgedaan omdat die zich gewoon wisten te gedragen in zo'n situatie en zich nederig bleven opstellen naar hun klanten. Het heeft geen enkele zin om in zo'n situatie hoog van te horen te blazen en mensen aan te gaan klagen. Daar breng je jezelf als bedrijf alleen maar imagoschade aan toe en wraakacties zullen dan zeker volgen. Kijk maar naar wat Anonymous bij het beveilingsbedrijf HBgary gedaan heeft. Doordat HBgary hoog van de toren blaasde zijn ze vervolgens compleet gehackt.

[Reactie gewijzigd door Anoniem: 120071 op 22 juli 2024 20:41]

fire-breath @Anoniem: 120071 • 2 mei 2011 01:26

Het is de bedoeling van Sony om juist die illegaliteit tegen te gaan, ermee leren leven is geen optie.
Nintendo is het dacht ik gelukt bijna overal de R4 modules te verbieden. Je kan de illegaliteit dus verminderen, sony gaat hierin nogal ver dat geef ik toe.

Ik ken het verschil tussen rootkit en antivirus, ik wilde alleen aangeven dat zolang je keurig bezig bent dat je dan niets te vrezen hebt.
Het geeft inderdaad geen pas om zomaar de rootkit te instaleren zonder vermelding, sony heeft alleen wel het gelijk aan hun kant dat veel mensen niet weten wat dat is en/of zich er niet druk over maken.

Ik weet dat George een getalenteerde man is. Ik bedoelde alleen dat zijn mening in dit geval gekleurd is omdat hij zelf is aangeklaagd door Sony. Als iemand jou aanklaagd dan is het logisch dat je niet de beste vrienden bent en dat je negatief over de ander denkt en praat.

Ik ben niet van mening dat je moet terugdeinzen voor het gevaar van hackers. Irritante pubers zijn er altijd al geweest, tegenwoordig hebben die irritante pubers helaas een internetverbinding die ze kunnen misbruiken. In de bushokjes zetten ze ook elke keer weer nieuw glas erin nadat er uit gekegeld is, dweilen met de kraan open. Als de gemeente zich er niet bij neerlegd terwijl hier nog veel minder tegen te doen is dan hoeft Sony dat ook niet.

Dat Microsoft en Nintendo nederig bleven weet ik niet. Als ze dat wel zijn dan is dat in iedergeval zonder veel succes. Ik vind niet dat je je erbij moet neerleggen als iemand iets van jou jat. Met succes definieer ik winst maken op consoles + games waarbij de games (in ieder geval een poosje terug) de winstgevende factor is.

Maar ik merk dat we er met zijn 2'en niet uitkomen. Jij bent van mening dat Sony niet zo extreem had moeten reageren terwijl ik van mening ben dat de hackers van de PS3 af hadden moeten blijven.

Laten we het (na een eventueel weerwoord van jou kant) hier maar bij laten.

-Tom @Anoniem: 120071 • 2 mei 2011 11:12

Pardon? Aanklagen van gebruikers is machtsmisbruik en grootheidswaanzin? Rechterlijke instanties zijn in het leven om het recht te waarborgen. Een rechter dient enkel als bemiddelingspartij tussen de eiser en gedaagde; naar de rechter stappen is juist een logisch vervolg wanneer het recht twijfelachtig is..

Kijk naar de discussies die ontstaan op het moment dat een nieuwspost verschijnt over Geohotz. Iedereen heeft er een eigen en vaak totaal verschillende mening over. Dergelijke complexe zaken laat je juist over aan een rechter.

p.s. nou weet ik dat het Amerikaanse rechtssysteem er belachelijke schadevergoedingen op nahoud. Daar heb ik zelf ook weinig goede woorden voor over. Maar de gang naar de rechter beslecht in ieder geval het geschil.

schumi2004 @LOTG • 30 april 2011 11:40

Terug kopen is de grootste onzin die ik ooit gehoord heb. Lijkt mij dat de database digitaal is en wat let ze om er geen backup van te maken en die ook te verkopen ?
Zer0 was me al voor.

[Reactie gewijzigd door schumi2004 op 22 juli 2024 20:41]

Exorcist

Sony PlayStation
Sony

@TD-er • 30 april 2011 11:01

Nee, ik kan altijd aankopen doen zonder deze code in te voeren. Kan me ook niet heugen die überhaupt te hebben ingevuld.

Thief @Exorcist • 30 april 2011 11:21

Vreemd, ik lees nu op het interweb van Destructoid dat Sony toch wel degelijk om die CVC code vraagt bij transacties. Ze "zouden" deze echter niet opslaan. Mooi plaatje met bewijs.

http://www.destructoid.co...code-update--199973.phtml

Ik sluit me aan bij LOTG hieronder. Als blijkt dat die database van 2,2 miljoen wel degelijk van Sony is en compleet met deze CVC codes, dan mogen ze wat mij betreft aansprakelijk gesteld worden en kapot geprocedeerd worden.

Het is aan de ene kant maar goed dat die nummers niet worden gebruikt, maar dat kan altijd nog komen. Dat ze uberhaupt al te koop staan zegt genoeg over de intenties van de hackers.

[Reactie gewijzigd door Thief op 22 juli 2024 20:41]

Timbo925 @Thief • 30 april 2011 12:00

Zou me toch raar lijken dat ze die CVC code opslaan.Deze code lijkt me juist de laatste beveiliging wanneer hackers toch aan de CC nummer geraken.

Natuurlijk bedraagt deze code maar 3 cijfers. Als je dus 3 keer mag 'gokken' voor de kaart word geblokkeerd. Dan is de kans nog steeds 1/333 per kaart. Als je over 2,2 miljoen nummers beschikt ga je dus toch iets van een 6600 kaarten in bezit hebben die je kan gebruiken om fraude mee te plegen.

thedicemaster @Timbo925 • 30 april 2011 14:30

denk er ook nog eens aan dat er pre-paid kaarten tussen zullen zitten.
ik heb waarschijnlijk ergens tussen de 3 en 5 CC's in mijn PSN account staan, maar allemaal pre-paid met een tegoed onder de €2 over.
daar kunnen ze ook niks mee, want die zijn verlopen of worden geweigerd bij betalingen boven de €2

Yezpahr @thedicemaster • 30 april 2011 15:00

Ik snap niet wat de hackers hiermee willen bereiken...
Ze jatten iets, bekennen schuld en wapperen met de gegevens rond.

En dan? Lachen ze PSN uit? Of dachten ze dat het geld waard was voor de hoogste bieder?

Ik denk dat iedere zelf-respecterende crimineel, die handelt in creditcard gegevens, zich niet wil branden aan deze prutsers.

Maar geld vragen voor zulke gegevens is wel heel erg luguber.
Sony moet hun dan maar vertrouwen dat ze niet een kopie hebben gemaakt voor verdere doorverkoop. En daarom koopt geen enkel bedrijf zulke gegevens terug van hackers.

Sunbeam-tech @Yezpahr • 1 mei 2011 21:41

Idd en dan ook nog dood leuk aan Sony vragen of ze de gegevens terug willen kopen.

Volgens mij is dat niet echt een pro hackers bende als je het mij vraagt.

Naja ik hoop dat het allemaal weer een beetje goed komt.
Ook mijn CC gegevens stonden op PSN en heb en mailtje naar de bank gestuurd om te vragen of ik nu mijn pas moet laten blokkeren.
Volgens anderen in een ouder Tweakers bericht zegt de ene bank van wel en de ander zegt we wachten het nog even af.

Jeroen @Timbo925 • 30 april 2011 12:34

Effectief wel, maar als je 6,6 miljoen pogingen gaat doen valt dat sowieso op. Je houdt ook niet 6600 kaarten over, maar gemiddelde 6600 geslaagde pogingen.

Anoniem: 81936 @Timbo925 • 1 mei 2011 09:31

Ze slaan alle gegevens op. Het is vrij simpel: bij mijn eerste aankoop met CC via PSN moest ik het CC nummer en de CVC-code invoeren. Bij mijn tweede aankoop enkele weken later hoefde ik helemaal niets in te voeren om iets te kopen via de CC.
Toen ik dat merkte heb ik gelijk uitgezocht hoe ik de CC gegevens kon verwijderen. Nu maar hopen dat het ook echt verwijderd is. Dat CC-gegevens onthouden default gedrag is vind ik bizar.

Dat Sony de gegevens niet terug wil kopen lijkt mij logisch. De gegevens zijn zo gekopieerd dus waarom zou de aanbieder ze niet alsnog ook aan een partij met minder goede bedoelingen verkopen?

SuperDre

Hackers
Sony
Sony PlayStation

@Timbo925 • 30 april 2011 17:18

uhh.. je zit er toch echt behoorlijk naast, het kan dus zijn dat de code uit 3 cijfers bestaat, maar ook 4.. En de kans dat jij op 1 kaart met 3 pogingen toevallig de goede combinatie raadt is zeeeeeeeeeeeeeeeeeeer klein, dus ik denk dat je blij mag zijn als je met 2,2 miljoen nummers uberhaupt 1 kaart kunt gebruiken op die manier..

Pestkop @SuperDre • 30 april 2011 18:09

Het lijkt mij dat als je bijvoorbeeld code "126" beruikt
(code 126 is even en voorbeeld, iedere willekeurige code van 000-999 kan natuurlijk)
dat je op 1 op de 1000 kaarden gemiddeld goed gokt die 3 cijfer codes hebben natuurlijk

Misschien is zelfs meer mischien worden de makkelijk codes niet gebruikt ...
BV 111, 123 en 222 ... 999 enzz

-Tom @Timbo925 • 2 mei 2011 10:59

Sterker nog, ik denk dat je bepaalde nummers kunt uitsluiten. Bijvoorbeeld 000, 111, 222 ... 999. Maar ook logische opvolgers zoals 123, 234 e.a. en potentieel zelfs 987, 876, etc. Lijken mij niet de meest 'veilige' nummers om te gebruiken als beveiliging voor een cc

Pewwy @-Tom • 4 mei 2011 16:22

999 heb ik dus gewoon op mijn nu geblokkeerde CC staan, dus dat is gewoon een optie.

Zapato @TD-er • 30 april 2011 12:02

Klopt, ik moest de code de eerste keer opgeven en daarna nooit meer. Ligt dus vast.

TD-er

@Zapato • 30 april 2011 12:28

Dan nu de vraag waar is die code opgeslagen?
Op je Playstation, of in de database van Sony?

scim @TD-er • 30 april 2011 13:26

Ze vragen die code slechts 1 keer om te checken. Je hebt immers die code niet perse nodig om transacties te doen. Als je vaak met CC dingen aanschaft dan weet je dat dit ongeveer bij elk bedrijf hetzelfde is. Nieuwe CC toevoegen is alles opgeven, nummer, exp date, cvv2 etc. Daarna is het gewoon next next finish. Ze gebruiken die code 1x om te checken bij je CC company en als dat allemaal klopt dan slaan ze de overige gegevens op. Je hoeft niet keer op keer die code op te geven, want hij is niet perse nodig voor een transactie. Daarom dat alleen je cc nummer, billing address en exp date al genoeg is om op sommige sites transacties te doen.

Die CVV2 code is extra beveiliging en door sites die je CC opslaan (Amazon, iTunes, PSN, Xbox live etc.) wordt die code gebruikt om je als gebruiker the authenticaten. Eenmaal geverifieerd is hij niet meer nodig en wordt hij dus ook niet opgeslagen. Dit neemt echter niet weg dat er nog voldoende mogelijkheden zijn om zonder CVV2 code transacties te doen.

[Reactie gewijzigd door scim op 22 juli 2024 20:41]

Pierz

@TD-er • 30 april 2011 12:46

Of gewoon bij je CC company. Kan best zijn dat die van Sony maar eenmaal die code vragen.

xusander @Zapato • 30 april 2011 12:30

Ja maar ligt deze vast op de server/database of ligt deze lokaal vast op je Ps3?

mossel 30 april 2011 10:58

Ik begrijp uberhaupt niet waarom de creditcard gegevens door Sony worden opgeslagen. Waarom is het niet gewoon zo dat elke keer als je een aankoop wilt doen, de creditcard gegevens dienen te worden ingevoerd?

Uniciteit @mossel • 30 april 2011 11:05

Gebruiksgemak. Heel veel bedrijven slaan zulke soort gegevens op (denk aan Apple en Google bijvoorbeeld).

De fout die Sony heeft gemaakt, is dat ze dachten dat hun beveiliing zo superieur was dat ze alle info in de database gewoon in plain text hadden opgeslagen. Het enige dat dan ook is beveiligd met een encryptie zijn de creditcard gegevens.

ymmv @Uniciteit • 30 april 2011 11:56

Adresgegevens en dergelijke worden in databases altijd in "plain text" opgeslagen vanwege de performance Daar is op zich niks vreemds aan.

Wat ik wel vreemd vind is dat er in het Tweakers.net-artikel gewoon van uitgegaan wordt dat de beweringen van de hackers kloppen en dat ze 2.2 miljoen creditcardnummers hebben. Er wordt wel een paar keer aangegeven dat dit een aanname is, maar daarna gaat de schrijver van het artikel er wel gewoon van uit dat die aanname waar is. Tot nu melden creditcardmaatschappijen geen fraude, dus is er helemaal geen bewijs voor. Sony zelf zegt ook dat over de cc-gegevens beveiligd waren, maar dat ze de diefstal niet kunnen uitsluiten. Kortom: uitspraken van Sony worden negatief uitgelegd en hackersuitspraken op IRC-kanalen en geruchten worden 100% geloofd.

Anoniem: 112442 @ymmv • 30 april 2011 15:57

Adresgegevens en dergelijke worden in databases altijd in "plain text" opgeslagen vanwege de performance Daar is op zich niks vreemds aan.

Ik vind dat wel vreemd. Je bent als leverancier verantwoordelijk voor de beveiliging van je klantgegevens. Deze gegevens zijn voor de buitenwereld geld waard.
De leverancier moet maar zwaardere systemen aanschaffen als het systeem anders niet voldoet. ten tweede vreet decrypten minder performance dan encryptie.

Wat ik wel vreemd vind is dat er in het Tweakers.net-artikel gewoon van uitgegaan wordt dat de beweringen van de hackers kloppen en dat ze 2.2 miljoen creditcardnummers hebben. Er wordt wel een paar keer aangegeven dat dit een aanname is, maar daarna gaat de schrijver van het artikel er wel gewoon van uit dat die aanname waar is. Tot nu melden creditcardmaatschappijen geen fraude, dus is er helemaal geen bewijs voor. Sony zelf zegt ook dat over de cc-gegevens beveiligd waren, maar dat ze de diefstal niet kunnen uitsluiten. Kortom: uitspraken van Sony worden negatief uitgelegd en hackersuitspraken op IRC-kanalen en geruchten worden 100% geloofd.

Ik geloof beide niet.
Ik kan me niet voorstellen dat criminele hackers op IRC CC nummers verhandelen. Ik verwacht dat deze hun connecties hebben.

Dat mensen Sony niet geloven vind ik niet vreemd.
Als ik zie wat Sony het laatste 1.5 jaar gedaan heeft heeft er voor gezorgd dat ik Sony helemaal niet vertrouw.

Dat de VS en de VK onderzoek aan het doen zijn naar de PSN hack geeft me niet het gevoel dat alles klopte op PSN.
nieuws: Overheid VS wil onderzoek hack PSN
Uiteindelijk zal de tijd uitwijzen wat Sony opsloeg op PSN.
In ieder geval zal dit onderzoek een positief effect hebben. Bedrijven zullen zich een keer bedenken wat ze precies op gaan slaan. Zodat ze geen zaken opslaan die hun later heel erg duur kunnen komen te staan.

[Reactie gewijzigd door Anoniem: 112442 op 22 juli 2024 20:41]

Lg102 @mossel • 30 april 2011 11:04

Omdat het veel makkelijker is om met een druk op de knop een game aan te schaffen. En raad eens waar er meer verkocht wordt: de makkelijke winkel, of die winkel waar je een half uur bezig bent om een lijst gegevens in te voeren?

Anoniem: 112442 @Lg102 • 30 april 2011 16:12

Omdat het veel makkelijker is om met een druk op de knop een game aan te schaffen. En raad eens waar er meer verkocht wordt: de makkelijke winkel, of die winkel waar je een half uur bezig bent om een lijst gegevens in te voeren?

Klopt en het werkt ook beter bij een aankoop in een opwelling, wat beter bij deze tijd past.
Als je alles nog in met vullen bedenk je mogelijk nog.
Beveiliging is voor veel mensen helemaal niet belangrijk. Daar denkt de consument niet meer bij na. Gemak is het enigste dat telt.

Wim-Bart @mossel • 30 april 2011 13:01

Gegevens van je CC worden altijd opgeslagen, beahlve de cvc code. Anders kan je aantonen dat je een aanschaf niet zelf hebt gedaan. Kijk maar op iedere factuur die je krijgt met een CC betaald daar staat meestal CODE-xxxx-xxxx-xxxx-CODE op, waarbij een aantal digits geanonimiseerd zijn.

Anoniem: 112442 @Wim-Bart • 30 april 2011 16:04

Gegevens van je CC worden altijd opgeslagen, beahlve de cvc code. Anders kan je aantonen dat je een aanschaf niet zelf hebt gedaan. Kijk maar op iedere factuur die je krijgt met een CC betaald daar staat meestal CODE-xxxx-xxxx-xxxx-CODE op, waarbij een aantal digits geanonimiseerd zijn.

Volgens mij hoeven deze niet opgeslagen worden bij de verkopende partij.
Deze volgens mij gecontroleerd deze tegen de gegevens van het CC bedrijf. Daarna krijgt deze een transactie code met deze transactie code kunnen ze de hele verkoop nakijken. Via het CC bedrijf.

Dat er CODE-xxxx-xxxx-xxxx-CODE opstaat is omdat het CC bedrijf de codes kent.

Anoniem: 291601 @mossel • 30 april 2011 11:02

zelfs dan wordt het opgeslagen

alles wordt vastgelegd op internet...

simplicidad @mossel • 30 april 2011 11:06

Gemakzucht voor de klanten. Sony is trouwens allesbehalve de enige die het doet. Amazon bvb hoef ik zelf geen cvv2 code op te geven bij het betalen nadat ik al eens heb gekocht. Geloof bij zavvi dat ze ook de kaartnummers opslaan maar telkens je iets koopt je opnieuw het cvv2 nummer moet opgeven.

Daarintegen is het ook niet zeker dat cc gegevens effectief zijn gestolen... Iedereen kan roepen dat hij beschikt over een dbase met gestolen cc nummers afkomstig van het psn netwerk.

[Reactie gewijzigd door simplicidad op 22 juli 2024 20:41]

boratnl @mossel • 30 april 2011 11:05

Omdat die lange nummers invoeren met een controller nogal kut is. Bij xbox live worden de gegevens ook opgeslagen volgens mij, hoef je alleen op ok te klikken. Tevens kun je bij xbox live automatisch verlengen. (weet niet hoe dit bij PSN is, want die heeft geen lidmaatschapskosten toch?)

Ge0force @boratnl • 30 april 2011 15:33

Toch wel, je kan PSN+ nemen waarmee je maandelijks een hoeveelheid gratis games, thema's en extra kortingen krijgt. Automatisch verlengen is volgens mij niet mogelijk, je krijgt gewoon een bericht als je abo is afgelopen.

Blokker_1999

Hackers
Privacy

@mossel • 30 april 2011 11:24

Als ik bij elke aankoop die ik doe in de iTunes Music Store elke keer mijn volledige kaartgegevens moet gaan ingeven dan zou ik het verdorie snel opgeven hoor.

Anoniem: 291968 @mossel • 30 april 2011 12:20

Vervang gewoon cc met ideal/pin volgens mij veel veiliger.
Lastiger om schulden te maken. In mijn ogen alleen maar ++

wildhagen

Hackers
Beveiliging
Privacy

30 april 2011 10:55

Wat niet is, kan nog komen.

Zou het niet verstandiger zijn van Vista en MasterCard om die kaarten preventief te blokkeren, om misbruik te voorkomen? Tuurlijk krijg je als klant achteraf alles wel vergoed, maar dat is toch weer een hoop rompslomp.

Zodra de klanten dan contact met MC/Visa opnemen kunnen ze een nieuwe kaart sturen.

Ik neem aan dat Sony kan aangeven om welke kaarten het gaat?

Randomcybrarian @wildhagen • 30 april 2011 11:03

Twee miljoen creditcards laten blokkeren door Visa en Mastercard? Lijkt me geen bijzonder goed idee. De rompslomp om achteraf alles te vergoeden of vergoed te krijgen weegt volgens mij echt niet op tegen het uitgeven van 2 miljoen nieuwe kaarten en, voor de klanten, het doorgeven van nieuwe gegevens aan de vele online diensten waar ze met hun gegevens geregistreerd staan.

Ik maak me ook wel zorgen over mijn Mastercard creditcard die ik gekoppeld heb in mijn PSN account maar als ze nu de kaart blokkeren krijg ik problemen met diverse abonnementen die maandelijks mogen afschrijven van die kaart. Moet ik dan dus bij allemaal handmatig de creditcard gegevens aanpassen en alsof dat geen hoop rompslomp is. Let wel, het is niet bewezen dat die gegevens allemaal in verkeerde handen zijn gevallen dus we hebben het nog steeds over een theoretisch risico.

Blokker_1999

Hackers
Privacy

@Randomcybrarian • 30 april 2011 11:23

Als je met die 2,2 miljoen kaarten gemiddeld 10 euro kunt frauderen zit je direct aan een verlies van 22 miljoen euro en moet je daarna alsnog de kaarten blokkeren en vervangen.

scar2face @Blokker_1999 • 30 april 2011 12:06

als ze de cvv-code ook hebben kun je zo redeneren ja, maar vermits visa en mastercard zo rustig blijven en dit niet doen vermoed ik dat ze deze code niet hebben (zou ook een zware overtreding zijn van sony want visa staat de opslag van deze gegevens niet toe).

als ze de code niet hebben, hebben ze 1 kans op 333 om de juiste code te achterhalen. Dus op 2 200 000 kaarten kunnen ze statistisch bekeken 66 000 kaarten gebruiken.

Ik maak me veel meer zorgen over de persoonlijke gegevens die ze hebben buit gemaakt samen met de paswoorden.

sn33ky @wildhagen • 30 april 2011 11:25

Ik vind dit een heel goede redenering!

Blokkeer alle creditcard gegevens en stuur al deze klanten per post een nieuw exemplaar toe. Dit gaat inderdaad geld kosten maar dit kan verekend worden aan SONY. Pakt dat dit +-10M gaat kosten (wat voor SONY een peulschil is)

De klanten zelf hun rekening laten blokkeren vind ik zo stom...His de klant zijn schuld toch niet!!!

Zelfde als dat je in een airport je spullen opbergt en ze zijn geweten gekomen dat iemand alle codes kent van de kluisjes. Dan veranderen ze toch ook de nummers en plakken ze briefjes op de kliuzen om naar de infobalie te gaan.

Kettrick @sn33ky • 30 april 2011 17:16

Leuk idee, maar mijn normale bankpas is mijn betaalpas ( HSBC/VISA kaart ), als ik straks bij de supermarkt niet meer kan betalen omdat mijn pas ineens geblokeerd is wordt ik knap pissig.

Rex @Kettrick • 1 mei 2011 00:33

Tsja, maar zo werkt het nou eenmaal. ING heeft weleens mijn pinpas preventief geblokkeerd omdat ik 1 week daarvoor had gepind bij een automaat die geskimmed was (in een bioscoop!)
Daarnaast blokkeert mijn huidige bank (tijdelijk) preventief mijn creditcard op het moment dat ik in het buitenland een betaling doen, tenzij ik eerst me manager een emailtje stuur dat ik een weekje weg ben.

Hoe dan ook, als de bank een beetje service verleend, dan zouden ze je op de hoogte moeten brengen dat ze je pas gaan blokkeren (SMS/email/telefoon/brief/whatever) zodat je niet ineens in de winkel staat en niet kunt betalen.

MrRobot

@wildhagen • 30 april 2011 10:57

Ik denk niet dat de creditcard bedrijven dit gaan voorstellen, vooral omdat er nog geen aanwijzingen zijn dat ze de complete gegeven hebben.
2,2 miljoen nieuwe creditkaarten is vrij prijzig en zorgt voor paniek.

Blokker_1999

Hackers
Privacy

@MrRobot • 30 april 2011 11:22

De 2,2 miljoen nieuwe kaarten vallen in het niets bij de potentiele misbruiken van deze kaarten.

TD-er

@Blokker_1999 • 30 april 2011 11:34

Je kunt natuurlijk wel extra opletten bij betalingen met die CC's. Als daar een patroon in te ontdekken is kun je ze alsnog vervangen.
Maar alleen al vanuit een praktisch oogpunt kun je niet al die kaarten vervangen. Je kunt er namelijk niet zoveel maken binnen een paar dagen, laat staan de extra manschappen die je nodig hebt om de mensen met vragen/problemen van die 77 miljoen klanten te woord te kunnen staan bij het vervangen van de kaart.

Vergeet niet dat een deel van de kosten van het vervangen van zo'n kaart 'm zit in het geschonden vertrouwen.

Aktivity @wildhagen • 30 april 2011 11:52

Ik denk dat je ook rekening moet houden dat niet iedereen op een nieuwe kaart zit te wachten. Meestal hebben mensen hun CC aan een boel andere diensten gekoppeld. Die hebben dan ook geen zin om hun gegevens overal weer te moeten wijzigen, anders hadden ze allang een nieuwe kaart aangevraagd. Die wachten toch liever af, gezien ze toch hun geld terug kunnen krijgen in geval van rare activiteiten.

Aegir81 30 april 2011 11:32

Er is toch sprake val al enkele tientallen fraudegevallen (bron: De Morgen).

schumi2004 @Aegir81 • 30 april 2011 11:46

Waarom vinden we deze dan niet terug op de wel bekende fora's ?

robvanwijk

Hackers
Beveiliging
Privacy

@schumi2004 • 30 april 2011 12:09

Vind jij Ars Technica onder "de bekende fora" vallen?

quote: http://arstechnica.com/ga...card-fraud-blame-sony.ars
"My American Express card was compromised over the weekend," one commenter stated. "This card sits in a drawer in my house for emergencies, but I did use it once on my PSP for an account. Luckily American Express is very good at notifying me immediately after the first fraudulent purchase."
(..)
All told, two dozen or so people have contacted Ars with reports of fraudulent or suspicious activity on their credit cards. It's still possible that this story simply caused people to take a look at their finances and find unrelated issues, but in many of the reports the credit card companies are reaching out to them with reports of abuse.

Natuurlijk is het niet mogelijk om met zekerheid vast te stellen waar criminelen je gegevens vandaan hebben (en dat ene voorbeeld van "mijn credit card ligt thuis in een la" heb ik ook wel gecherrypicked), maar ook al is dit geen bewijs, de stellingen in het artikel

tot op heden zijn geen meldingen bekend van fraude met creditcards die aan een PSN-account waren gekoppeld

Zowel Visa als MasterCard, twee van de grootste creditcardbedrijven ter wereld, bevestigen desgevraagd aan Tweakers.net dat er bij hen nog geen fraudemeldingen zijn binnengekomen als gevolg van de PSN-hack.

zou ik niet aandurven.
Zeker die eerste is pertinent onjuist, maar goed, dat was ie voor de hack ook al; er moet wel een keer fraude zijn gepleegd met een aan PSN gekoppelde kaart (zonder dat het iets met PSN te maken had dan), gewoon door de enorme hoeveelheid gekoppelde kaarten.

PjotrStroganov @Aegir81 • 30 april 2011 11:48

En tot in hoeverre zijn deze gerelateerd aan de PSN-hack?

Deze berichtgeving volgt een beetje dezelfde gedachtegang als wanneer men er achter komt dat de daders van een shootout in een school of winkelcentrum ook schietspellen spelen. In dit geval zijn er zoveel mensen op PSN die een creditcard gebruiken, dat de kans aanwezig is dat één van hen wel eens misbruik ervan raporteert, al dan niet door andere redenen dan hackers.

ymmv @Aegir81 • 30 april 2011 12:01

quote uit het artikel: "Op Amerikaanse techsites zijn ook al een aantal getuigenissen opgedoken van gamers die opgebeld werden door Sony om hen te waarschuwen dat ze hun kredietkaart nauwgezet in de gaten moesten houden. Toen ze gingen checken zouden ze effectief misbruik gevonden hebben. Het ging over bedragen tot 400 euro."

Jaja, alsof Sony weet welke 2.2 miljoen creditcardnummers van de 75 miljoen gestolen zijn en daarna persoonlijk contact gaat opnemen met de betroffenen. Het klinkt alsof de krant vage verhalen op internetfora voor harde waarheid aanneemt. Vroeger was de krant een meneer en had elke goede krant "fact checkers". Tegenwoordig is elke krant een sufferdje en is een journalist een verdedelde blogposter zonder een greintje kritisch vermogen.

Exorcist

Sony PlayStation
Sony

30 april 2011 11:02

En wat als het gewoon bluf is? Dat ze maar wat roepen in de hoop hier geld voor te vangen?

Ik denk dat men het even rustig moet aankijken, en als er plotsklaps wél op grote schaal wordt gefraudeerd pas echt goed moet gaan oppassen.

Anoniem: 291601 @Exorcist • 30 april 2011 11:06

Precies, ik maak me er echt niet druk om hoor

hoop alleen wel dat andere bedrijven inzien dat je nooit goed genoeg beveiligd kan zijn en daar echt aan moet blijven werken!

Anoniem: 269758 @Exorcist • 30 april 2011 13:42

Bluf of niet, het blijft natuurlijk wel een risico. Ik denk ook niet dat ze zomaar plots grootschalig gebruik gaan maken van de gegevens, dan zijn ze namelijk makkelijk te traceren..

Het ziet er niet zo goed uit voor Sony de laatste tijd, PS3 gehackt(en de nodige heisa rond hun ingrijpen), PSN gehackt + de CC gegevens die gelekt zijn.

Ik hoop maar dat die CVC code niet op de server stond, anders zal het voor hun een dure grap zijn. Al ben ik het niet eens met het PS3 verhaal (hoe ze optreden tegen de hackers), dit zou toch wel een ernstige zaak kunnen zijn die je bij geen enkel bedrijf wenst tegen te komen.

RobinNL 30 april 2011 12:53

Ik heb gelezen dat er wel misbruik is gemaakt van creditcard gegevens:

Al 10-tallen gevallen van gamers die tot 400€ van hun rekeningen zien verdwijnen.

Bij de cyberaanval op het PlayStation Network, dat overigens nog steeds platligt, zouden de gegevens van 2,2 miljoen kredietkaarten zijn gekopieerd. Er zouden ook al tientallen gevallen zijn waarbij die gestolen gegevens misbruikt zijn om aankopen te doen, de meeste in Duitsland en Japan. De hackers bieden volgens The Guardian, die sprak met Kevin Stevens, een security analyst bij Trend Micro, ook de gestolen gegevens te koop aan momenteel, inclusief de CVC-code, de drie cijfers achteraan op uw kredietkaart, die u nodig hebt wanneer u aankopen doet met uw kaart waarbij u de kaart zelf niet fysiek kan presenteren.
Tussen 17 en 19 april braken hackers in bij het PlayStation Network, dat gebruikt wordt door 77 miljoen gamers wereldwijd. "Tientallen" gebruikers zouden daarna al het slachtoffer geworden zijn van fraude met hun kaart. De cyberaanval zou volgens hackermiddens uit Europa komen. Opvallend is dat de fraude ook voornamelijk aankopen bij Duitse winkels en zelfs luchtvaartmaatschappijen behelst.

Blackmail
Volgens de bronnen van The Guardian zouden de hackers in eerste instantie geprobeerd hebben om Sony te blackmailen: ze wilden de gegevens teruggeven aan het bedrijf, mits een forse afkoopsom. Op Amerikaanse techsites zijn ook al een aantal getuigenissen opgedoken van gamers die opgebeld werden door Sony om hen te waarschuwen dat ze hun kredietkaart nauwgezet in de gaten moesten houden. Toen ze gingen checken zouden ze effectief misbruik gevonden hebben. Het ging over bedragen tot 400 euro.

Sony "weet het niet"
Sony blijft ondertussen bij z'n officiële statement dat de databank met kredietkaartnummers beveiligd was, maar dat het niet met volle zekerheid kan zeggen dat er geen gegevens gestolen zijn. Het bedrijf wil gebruikers wel gerust stellen met het feit dat de CVC code, de drienummerige beveiligingscode, niet in de databank staat.

(...)
Bron: Het Laatste nieuws (belgië)

Ik las dat hackers van Underground forums achter de hack zouden zitten. Op hun chat zouden CC-gegevens van PSN-gebruikers worden verkocht.

Ge0force @RobinNL • 30 april 2011 15:36

Ik denk dat Visa en Mastercard het wel beter weten dan Het Laatste Nieuws hoor

Anoniem: 115433 30 april 2011 13:57

Lijkt mij stug dat de hackers het gedaan hebben om CC informatie te verkopen aan derden en nu kan dat ook helemaal niet want iedereen is al dagen er van op de hoogte ?

Dat betekend dat als je de CC data verkoopt er meteen een directe link te leggen valt omdat het gebruik geflagged gaat worden en dus zal CC bedrijf meteen actie ondernemen...

Anoniem: 112442 @Anoniem: 115433 • 30 april 2011 16:22

Lijkt mij stug dat de hackers het gedaan hebben om CC informatie te verkopen aan derden en nu kan dat ook helemaal niet want iedereen is al dagen er van op de hoogte ?

Waar baseer je dit op?

Als hackers deze gegevens hebben zullen deze vanaf dag een of vanaf dag een van de ontdekking door Sony al verkocht of misbruikt hebben.
Criminele hackers zijn niet dom. Dat zie je ook aan hun kunnen om in een netwerk in te breken.

Dat betekend dat als je de CC data verkoopt er meteen een directe link te leggen valt omdat het gebruik geflagged gaat worden en dus zal CC bedrijf meteen actie ondernemen...

Hoe kun je het gebruik flaggen? Als criminelen standaard transacties doet zal dat niet opvallen.

Anoniem: 24417 @Anoniem: 115433 • 30 april 2011 14:56

sowieso vermoed ik dat dat in de eerste plaats niet het punt was van de hax0rs. ik vermoed dat ze gewoon sony wilden 'dissen', of zichzelf wilden bewijzen. geld is voor veel hackers niet zo boeiend, ze willen gewoon hacken

MrRobot

30 april 2011 10:56

Dit is een grote tegenslag voor Sony, developers op PSN klagen over inkomstenverlies, gebruikers kunnen lang niet online gamen en al deze negatieve media maakt de PS3 niet populairder.
Ik denk dat Microsoft druk aan het pen-testen is op live om hier lering uit te trekken.

Skyclad @MrRobot • 30 april 2011 11:37

Of Microsoft is druk bezig alle sporen van de hack te wissen zodat het niet tot hun herleid kan worden

Jammer dat het weer crackers betreft die er geld aan willen verdienen in plaats van hackers die gewoon op de onveiligheid wilden wijzen.

AppieNL @Skyclad • 30 april 2011 14:23

Als ik me niet vergis, brachten hackers het al een maandje of 2 geleden aan het licht dat CC gegevens e.d. niet versleuteld stonden op de PSN servers. Nu blijkt dat Sony geen hol heeft gedaan met deze waarschuwing om hun beveiliging op te schroeven en er nu dus een stel mee aan de haal zijn gegaan, mogen ze wat mij betreft ook wel flink op de blaren zitten.

burgt

@AppieNL • 30 april 2011 14:33

nee, een hacker had ontdekt /gemeld dat ze niet versleuteld verstuurd werden wanneer deze verstuurd worden naar de server, er is toen niets gezegd dat ze onversleuteld op de server stonden. een wezelijk verschil. Anders had hij toen al aan de haal kunnen gaan met alle gegevens.

AppieNL @burgt • 30 april 2011 15:01

Ik wilde niet beweren dat dezelfde hacker er toen mee aan de haal had willen gaan als het wel zo open en bloot lag op de servers. Ik wilde alleen maar inhaken op de vorige poster dat er daadwerkelijk al iemand aan de bel had getrokken bij Sony dat ze hun zooi niet op orde hadden voordat hackers daadwerkelijk het doel hadden vorige week om de gegevens te stelen.

Corman 30 april 2011 11:04

Ook Cardstop vindt het nog niet nodig om de kaarten te blokkeren:
http://www.cardstop.be/in...en-Qriocity---netwerk.htm

Wiejeben 30 april 2011 11:41

Ey, ff denken hoor. Kan het niet zo zijn dat die hackers al langer in het systeem zitten en dus alle transacties in de gaten hebben gehouden? Als ze er 24 uur ingezeten hebben dan kan het best wel dat 2,2 miljoen leden een transactie hebben gemaakt.

Op dit item kan niet meer gereageerd worden.

PSN-hackers lijken buitgemaakte creditcards nog niet te misbruiken

Lees meer

IT-banen

Reacties (120)

Sorteer op:

Weergave: