Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 190 reacties

Sony gaat de deadline om PlayStation Network weer operationeel te hebben niet halen. De hack van Sony Online Entertainment zorgt voor extra vertraging. Naast identiteitsbescherming krijgen Europese PSN-gebruikers games ter compensatie.

Sony zegt de door zichzelf gestelde deadline om het PlayStation Network en Qriocity weer beschikbaar te maken voor gebruikers, te missen. Op 1 mei dacht de Japanse fabrikant delen van de getroffen diensten 'binnen een week' weer in de lucht te hebben. Later bleek dat ook Sony's mmo-platform Online Entertainment ten prooi was gevallen aan hackers, waardoor het bedrijf langer nodig zegt te hebben om de diensten intern te testen voordat ze online komen. Sony noemt geen datum wanneer PSN weer online zou moeten zijn.

Ter compensatie krijgen gamers een verzekering tegen identiteitsfraude aangeboden. In de Verenigde Staten zal dit worden verzorgd door Debix. Sony Computer Entertainment Europe laat weten dat er gewerkt wordt aan een soortgelijke bescherming voor Europese gamers, maar dat dit langer zal duren omdat elk land andere wetten heeft aangaande identiteitsfraude. Het Europese 'Welcome Back'-programma van Sony zal verder PlayStation 3-bezitters twee spellen naar keuze geven uit een lijst van vijf games, terwijl PSP-bezitters uit vier spellen twee exemplaren mogen kiezen. Uit welke games gekozen kan worden zal later bekend worden gemaakt.

Persbureau Reuters meldt dat er kortstondig ontvreemde persoonsgegevens online hebben gestaan. Het zou gaan om een de gegevens van 2500 mensen die zich hadden opgegeven voor een prijsvraag in 2001. Sony heeft actie ondernomen en de site offline laten halen. De lijst van deelnemers bevatte geen creditcardgegevens of wachtwoorden.

"Editorializin'" door Penny Arcade over hack PSNStrip waarmee Penny Arcade de PSN-hack illustreerde.

Gerelateerde content

Alle gerelateerde content (31)
Moderatie-faq Wijzig weergave

Reacties (190)

1 2 3 ... 6
Ik begrijp niet echt waarom PSN offline gehaald is,
Als ik het goed begrijp was alle data toch al gestolen dus waarom hebben ze PSN niet online gehouden en op de achtergrond aan een update gewerkt...

Dit gaat Sony echt miljarden kosten,
Ik ben zelf een groot Playstationfan maar ben nu serieus aan het overwegen om te switchen naar xbox...
Ze hebben PSN offline gehaald omdat ze dat contractueel verplicht zijn. Het staat namelijk in het contract met de creditcard maatschappijen (zoals visa en american express). Volgens dat contract moet een online verkoper als zijn systemen gekraakt zijn, die systemen onmiddelijk offline halen om verdere schade te voorkomen totdat alles goed is beveiligd of tot de oorzaak van de kraak is vasgesteld en maatregelen zijn genomen om een nieuwe kraak te voorkomen. Pas als alles weer in orde is volgens de normen van de creditcard maatschappijen mag het weer online.

Verder is het zo dat als er creditcardfraude wordt gepleegd met de gestolen creditcard gegevens en de kraak gekoppeld kan worden aan nalatigheid van de online verkoper, dat dan die online verkoper 100% aansprakelijk is voor die creditcard fraude. Jij krijgt je geld dus terug van de creditcard maatschappij als iemand frauduleuze aankopen doet met jouw creditcardnummer maar de creditcard maatschappij zal dat vervolgens op de online verkoper verhalen.

Er zijn inmiddels diverse mensen die er vanuit gaan dat Sony nalatig is geweest volgens de contractuele voorwaarden met de creditcard maatschappijen omdat in die contracten staat dat ze bijvoorbeeld een firewal moeten gebruiken, webservers up to date moeten houden met beveiligingspatches en diverse andere beveilingsmaatregelen moeten nemen. Maatregelen die Sony blijkbaar niet genomen heeft volgens diverse discussieforums.

Als Sony inderdaad nalatig is geweest dan is het ook heel goed te begrijpen dat ze nu alle PSN gebruikens een identiteitsfraude verzekering aanbieden zodat Sony dit bedrijfsrisico (waarvan de omvang niet bekend is omdat niemand kan voorspellen hoeveel er gefraudeerd zal worden) omzet in een wel bekende kostenpost. Sony betaalt eenmalig een (waarschijnlijk groot) bedrag aan deze verzekeringsmaatschappij en die verzekeringsmaatschappij draagt dan vervolgens de kosten voor mogelijke creditcard en andere vormen van identiteitsfraude. In dit geval zou die identiteitsfraude verzekering dus geen aardigheidje van Sony zijn maar puur eigenbelang omdat ze sowieso aansprakelijk zouden zijn voor die schade.

Maar of Sony wel of niet nalatig is geweest is tot nu toe puur speculatief.
Omdat dan iedereen die data kon stelen, i.p.v dat 'alleen' deze hackers het nu hebben.
Persoonlijk denk ik dat er maar heel weinig mensen zijn die in kunnen breken bij Sony, nog veel minder mensen die het willen...

Ik begrijp je punt maar ik denk toch dat die optie beter en goedkoper geweest zou zijn,
Ze verliezen op dit moment over de hele aardkloot ontzettend veel goodwill...
Er is aangegeven vanuit welke hoek is aangevallen, dus is het hacken veel simpeler geworden. Verder zijn er juist een hoop mensen die PSN willen hacken 100M+ CC nummers + persoonsgegevens is een enorme haal op de zwarte markt, omdat boeven X hiermee al aan de haal zijn gegaan, betekent het nog niet dat de rest van het boeven alfabet daar ook niet een graantje van wil meepikken. Verder laat je je als bedrijf ook veel meer open voor juridische gevolgen als je niet direct het netwerk uit de lucht haalt en het gaat repareren.

Ze zouden meer goodwill verliezen als ze hadden gedaan alsof er niets aan de hand was en er in de tussentijd nog een dozijn hackers groepen met de persoonsgegevens aan de haal gingen.
lekker slim om dat naar buiten te brengen is het ook niet echt. natuurlijk weten mensen hier waarschijnlijk al wat meer over de veiligheid van PSN maar dan nog is het echt gewoon dom om naar buiten te brengen hoe iets is gehackt. alsof een bankdirecteur gaat vertellen hoe je makkelijk de beveiliging van de kluizen kunt omzeilen na een inbraak/overval. meestal veranderd er niet zoveel en wordt alleen dat gat gedicht. de volgende actie zal er dan altijd wel op lijken, omdat er soortgelijke problemen zijn te vindnen op een andere plek, waar de makers zelf nog niet over na hadden gedacht om het te repareren.
Waarschijnlijk om ervoor te zorgen dat er geen andere onzin zal gebeuren met de databases (bijvoorbeeld de database vernietigen en later Sony de database laten terugkopen voor x miljard) Of om andere hackers die hetzelfde doel hadden als deze hackers buiten de deur te houden.
Als ze het online houden heb je kans dat andere hackers de database ook hacken en de gegevens WEL gelijk doorverkopen. Niet echt handig dus.
Dit gaat Sony echt miljarden kosten
Je moet eerder denken aan enkele tientallen miljoenen verwacht ik zo.

[Reactie gewijzigd door 80466 op 7 mei 2011 12:16]

vooral doen :D die is wel veilig :D
bijzonder dat mensen er nu pas achterkomen dat hun data overal op internet bekend is! niet alleen bij PSN maar ook bijvoorbeeld bij Bol, Amazon noem maar op... je laat altijd wel ergens je gegevens een keertje achter...

En het kan allemaal gehackt worden :D raar he

[Reactie gewijzigd door IJssiej op 7 mei 2011 12:11]

Het is misschien dan ook maar goed dat zoiets als dit gebeurt en dat het ook relatief vaak in het 'gewone' nieuws komt. Het geeft pijnlijk duidelijk aan hoe dat we zelf onze identiteit op internet aan het rond strooien zijn en overal maar blindelings vanuit gaan 'dat het wel goed komt'.
Je moet voor de grap de spamfilters van een exchange eens handmatig checken, gerichte spam als resultaat van browsen op de zaak, kun je zo de hobbies en fetisjes van je collega's uithalen.
En dan krijg je alleen maar 2 spellen...... en een maand extra +...... zoveel extra heeft dat ps+ dus ook niet als je kijkt dat iedereen ineens dat beetje extra krijgt....

Ik zou zeggen doe voor de + een extra game erbij zij zorgen wel voor extra centje bij sony.

Kunnen ze volgende keer beter gebruiken voor extra beveiliging... |:(
Als je PS+ hebt, heb je vrijwel elke maand 1 (of meerdere) gratis download games zoals een Mini of Playstation 1 game. Op andere onderdelen krijg je (soms veel) korting.

Voorbeeld: God of War 1 en 2 kostte bij de launch op PSN € 30,- totaal. Met PS+ had ik ze gekocht voor €22,-. 11 euro per game en je kan zeggen wat je wilt, maar het zijn wel echt goede games.

Als je ziet dat PS+ €15,- per 3 maanden kost, en je elke maand een aantal games gratis krijgt, haal je dat echt wel eruit. En daar zitten soms echt wel leuke games tussen, zoals Syphon Filter. Of je al die gratis games leuk vind is een tweede.
Wat een typisch Nederlandse mentaliteit. Je krijgt GRATIS spellen aangeboden, zijn ze weer niet goed genoeg :') Belachelijk dit.
Pardon? Ik ben toch zeker geen privacyactivist, maar het feit dat mensen met (blijkbaar) slechte bedoelingen onder andere mijn mailadres en creditcardgegevens bezitten, en dat er interesse voor deze informatie is op de zwarte markt vind ik niet echt geruststellend.

Het is niet dat de games niet goed genoeg zijn, het is dat Sony wel erg makkelijk lijkt de doen over de zaak, en denkt de PSN gebruikers te kunnen compenseren met een game en een dienst die ze zelf aanbieden. Uiteindelijk is dit ook gewoon reclame voor P+.

Nee, de games mogen ze lekker houden, ik heb liever dat Sony zich menselijk opstelt en normaal communiceert met gebruikers, gewoon duidelijk laten zien wat er aan de hand is, waar op dit moment aan gewerkt wordt en wat we in de toekomst mogen verwachten.
Er is een mail verspreid, dat is alles wat de gemiddelde, niet verder zoekende gebruiker krijgt. Naar mijn mening worden we daarmee niet voldoende op de hoogte gehouden van vorderingen en is er niks bekend over genomen maatregelen die herhaling moeten voorkomen, want blijkbaar is het nog steeds niet op orde. Overigens vond ik het mailtje ook wat, apart. Ruim tien dagen na de aanval kan Sony concluderen dat er -misschien- adresgegevens zijn buitgemaakt, oh en wellicht ook creditcardgegevens, maar dat was nog niet duidelijk...

Mocht Sony meer doen, zou ik dan om een bron mogen vragen? Desalniettemin vind ik het aanbieden van een maand P+ toch een twijfelachtige zet, immers kan Sony daar op de lange duur veel nieuwe betalende gebruikers aan overhouden. Dat noem ik geen compensatie, maar doet me meer denken aan het aanbieden van verslavende middelen.
Denk je nou echt dat er een mailtje met diepgang en technische details verstuurd word? De gemiddelde digibeet moet het ook kunnen lezen en begrijpen.
Ik kreeg uberhaupt geen mailtje dat er iets aan de hand was, laat staan dat ik technische details kreeg!
Slecht hoe ze info naar buiten brengen, op sites als psx scene, tweakers en gamekings krijg ik soms nog eerder (of uberhaupt) informatie dan op de Sony blog.
ik heb ook niet een email gehad, en ik weet heel erg zeker op welk emailadres mijn account aangemeld is, ik heb de "welkom bij PSN"-mail zelfs nog op op dat emailadres staan...

waarom niet? loopt mijn data wel of niet gevaar, of stuurt men alleen de gebruikers van een creditcard zo'n mail? dat is mij nu namelijk niet echt duidelijk.

(ik heb nooit een creditcard aan mn account gekoppeld, dus ben niet zo bang wat dat betreft, maar ik heb ook de berichten in de media gelezen dat iedereen een mail zou ontvangen, en dan volgt er helemaal niets? het word er niet duidelijker op op die manier)
Heb wel netjes een mail gehad
hier nog iemand die hier geen mail over heeft gehad. is wel lekker dit hoor Sony. moet ik nou via Tweakers.net op de hoogte gehouden worden over het feit dat ik twee gratis games mag uitzoeken? dankzij tweakers.net weet ik het anders had ik uberhaupt niet eens geweten dat PSN down was. ik gebruik het soms wel eens voor demos en video's maar voor de rest eigenlijk bijna nooit
Ik ben benieuwd wat Sony in gedachte had wat betreft games die ter compensatie worden aangeboden. Zullen dit de top 5 best verkochte games zijn, of scheept Sony de gebruiker af met de keuze uit 5 budget games.
Waarschijnlijk een vrije keuze uit de PSN store. Het versturen van doosjes kost erg veel geld, dus zullen ze waarschijnlijk de 5 best verkochte/5 duurdere games beschikbaar op PSN aan de klanten geven.
Zo goed zijn ze nou ook alweer niet bij Sony:
Het Europese 'Welcome Back'-programma van Sony zal verder PlayStation 3-bezitters twee spellen naar keuze geven uit een lijst van vijf games, terwijl PSP-bezitters uit vier spellen twee exemplaren mogen kiezen.
Mijn ervaring in dit soort gevallen is dat ze vaak spellen/artikelen als goedmakertje aanbieden die niemand wil hebben.
De verzekering tegen identiteitsfraude daarentegen, kan ik wel waarderen.
Sowieso zullen het waarschijnlijk spellen zijn die bij Sony zelf vandaan komen en dat is ook logisch; Sony kan niet ineens games van andere uitgevers weg gaan geven, dat zou nogal wat zijn voor die andere bedrijven. Manager van Rockstar: "Hoe loopt de verkoop van LA Noir?", andere manager van Rockstar: "Nou aanvankelijk liep het goed maar toen gaf Sony onze game aan 50 miljoen PS3 gebruikers weg en sindsdien loopt de verkoop een stuk minder goed..."
In dat geval zal Sony daar dus ook gewoon 50 miljoen keer voor moeten dokken aan Rockstar... Zullen ze liever niet doen tho, dus Sony games is idd waarschijnlijker....
Als ze slim zijn bieden ze first-class games aan. Ik moet zeggen dat ik zelf zeer weinig hinder ondervind dat het PSN offline is, maar wat Sony nu aan het doen is vind ik top. Ik zou zo een ander bedrijf alleen gratis SMS voor een weekend zien aanbieden of helemaal niets en zeggen dat het bij het leven hoort. 2 gratis games ((en voor mij 4: heb ook een PSP) en gratis PS+ voor een maand.... zie ik wel zitten. Sony is gehackt.... dit gebeurt wel eens vaker dat er iets gehackt wordt. Mijn cc is tenminste niet gestolen: heb nooit iets online gekocht daar, koop alleen discs :P
First-class games? Hoeveel van de 77 miljoen gebruikes zijn Europees? x (2x 60 euro games) = 9.240.000.000 euro, maar ze krijgen vast korting...
Als je €60,- voor een PS3 game betaalt moet je eens rondkijken in de pricewatch. De meeste nieuwe spellen gaan voor €40,- tot €50,- over de (digitale) toonbank. Ook denk ik dat het Sony misschien €15,- per spel kost en als het spellen uit eigen stal zijn het nog minder zal kosten.
Het zullen vast van die paar 100mb games zijn waar je naar 1/2 keer spelen niet meer naar om kijkt :)
First-class games? Hoeveel van de 77 miljoen gebruikes zijn Europees? x (2x 60 euro games) = 9.240.000.000 euro, maar ze krijgen vast korting...
Het kost Sony geen €60,= per game.
En games van Sony's eigen studio's zijn nog goedkoper. ;)
77 miljoen X 0.000000001 eurocent ?
Een mooie kortingsbon voor de NGP zou ik ook wel weten te waarderen ipv een paar gratis games... :)
Akkoord, al betwijfel ik of iedereen dit wel zal weten te waarderen. Er zullen ook reacties komen van "Oh, laat hen ons nog even nieuwe producten aansmeren". Ook zullen er zijn die geen vertrouwen meer hebben in Sony.
Ik denk dat er inderdaad een paar goedkope budget games worden weggegeven. Maar een gegeven paard...
Ik zou dit niet een gegeven paard noemen. Dit is een relatief magere compensatie voor het leed wat ze mensen hebben aangedaan. Bovendien ligt hun reputatie aan duigen. Als ik als nieuwe klant nu moet kiezen tussen een xbox en een PS3 dan weet ik het wel. Ze moeten goodwil kweken en dat doe je niet door games weg te geven die nooit gespeeld zullen worden door een groot gedeelte van je klanten.
Nou overdrijf je echt. PSN en XBL ontlopen elkaar niet ver, en mensen kopen een console om spelletjes op te spelen, nog steeds! Als de site van de ABN eens problemen heeft neem je ook niet zomaar een andere bankrekening.

En "het leed"? come on, een paar weekjes zonder online gamen verliest niemand iets aan, bovendien krijg je je geld terug en het is mooi weer!
Als mijn bank gehackt zou worden en al mijn persoonlijke gegevens zijn in handen van hackers gekomen, en ik kan bovendien weken lang mijn bankrekening niet gebruiken, dan denk ik niet dat ik de enige ben die een andere bank zou zoeken. Sterker nog, ik mag blij zijn als ik de bankrun voor zou zijn.
Als, maar het is je duidelijk nog nooit overkomen, van mijn mastercard werden ooit vreemde bedragen afgeboekt, ik kreeg mijn geld gewoon terug en kon gewoon de transacties uitzoeken vanaf de meldingsdatum, uiteraard werd me wel aangeraden een nieuwe account te nemen en de andere te blokkeren. En als je pas niet beschikbaar is kun je gewoon met je ID kaart bij de bank terecht, moet je wel even van tevoren bellen.
En als je pas niet beschikbaar is kun je gewoon met je ID kaart bij de bank terecht, moet je wel even van tevoren bellen.
En dat is dus waarom je zo over de pis zou zijn als al je persoonsgegevens (en dus niet je credit card gegevens) op straat liggen. Lekker als iemand jouw ID kaart na maakt met zijn foto er op ...

[Reactie gewijzigd door R4gnax op 7 mei 2011 17:06]

Als ze zo graag goodwill willen creeren waarom werkt Sony dan met voorgeselecteerde games.
Geef mensen dan gewoon een tegoed, bijvorobeeld 25/50 euro om uit te geven in de PSN-store.
Als je er dan toch een prijs aan wilt hangen: MS vraag 50 euro per jaar voor toegang tot hun netwerk (meer als je per maand betaalt) dus dan kom je op zeg 5 euro uit ter compensatie. Zo bezien zijn twee games lang zo slecht nog niet.

En "Leed dat ze mensen hebben aangedaan" OMG. Zo praat je tijdens 4 mei over de Duitse bezetters en het oorlogsleed, niet over Sony en PSN! :X
Dat is ondertussen bijna 70 jaar geleden.

Iets over stokoude koeien en sloten..
Toch ben ik het wel een beetje met hem eens. Niet zozeer dat daar nou de tweede wereldoorlog bijgehaald moet worden, maar leed?
vertaling:

Sorry, maar zwijg over Sony als je er niets van af weet. Ze hebben, dat geef ik toe, een grote fout gemaakt. Maar om hoeveel durven jullie te wedden dat de Playstation 4, als deze ooit nog uitgebracht gaat worden, vaker verkocht zal worden dan de nieuwe Xbox?

Groetjes

edit: vraagteken vergeten

[Reactie gewijzigd door Ricolientje op 8 mei 2011 01:47]

Wat is er eigenlijk zo moeilijk aan het coderen de hele database? Sla die wachtwoorden gewoon op als hashes of iets dergelijks met een eigen sausje, de namen en persoonsgegevens gewoon met een zwakkere codering. Ligt het aan mij, of doet Sony nu onnodig ingewikkeld? Tenzij ze helemaal 0 beveiliging hadden lijkt het mij relatief simpel om een lek in de beveiliging te dichten. Met een team van minimaal 10 knappe koppen zou het gewoon moeten lukken.
Daarom zit je nog op het VWO en werk je niet in de IT. DIt is niet een of ander simpele webserver met een mysql database. Naast dat je nu direct alle lekken wilt dichten, moet je dat natuurlijk over alle servers doen en er voor zorgen dat ze ipv. linksom er ook niet rechtsom in kunnen komen. Want er is niets schadelijker voor een bedrijf wat net enorm gehacked is, dat het twee weken nadat ze hebben aangegeven het probleem te hebben verholpen, weer gehacked worden.

Voor zover ik weet waren de wachtwoorden al opgeslagen als hashes, dus dat zal niet heel veel helpen om dat nog maar eens te doen. Je zit met de persoons en creditcard gegevens die natuurlijk niet gehashed zijn.

Edit1:
SPee, dan moet je even in z'n profiel kijken.
Het probleem van extreem grote systemen bij grote bedrijven is dat het ten tijde van conceptie daadwerkelijk een goed systeem was, maar dat over de jaren heen er zaken aan worden getimmerd ipv. netjes geÔntegreerd. Dit heeft vaak met de kosten te maken of dat de interne medewerkers toch niet zo thuis waren in de systemen als dat zij initieel dachten. Verder heb je nog eens het management verhaal, verkeerde prioriteiten stellen. natuurlijk is er een perfecte omgeving in elkaar te zetten, maar dat is geen actie van een maal kosten, maar constant kosten en daar gaat het vaak fout.

Edit2:
Bazooka, wel als de beste man net 18 is, lezen is kennelijk ook nogal moeilijk...

[Reactie gewijzigd door Cergorach op 7 mei 2011 14:38]

En daarom zal jij niet snel met een goeie oplossing komen bij een probleem als dit. Vastgeroest in een bepaalde manier van denken... in crisis situaties moet je juist onorthodoxe maatregelen durven nemen, slim en snel nadenken. Uiteraard geen enorme risicos nemen maar niet bij voorbaat al opties uitsluiten. Een goede optie zou bijvoorbeeld zijn om psn online te gooien zonder authenticatie of persoonsgegevens. Zo kan iedereen met een willekeurige naam en ww inloggen om tegen een vriend te gamen maar niets kopen of specifieke dingen opslaan. Er zullen een hoop gamers zijn die dan al weer een stuk tevredener zijn.
Sony heeft de enige juiste beslissing genomen: alles offline halen. Zo kan er zeker geen verdere inbreuk plaatsvinden en kan de toestand op de PSN servers niet verder veranderen. Dat laatste is belangrijk voor een gedegen forensisch onderzoek.

Wat betreft 'gedeeltes' van het netwerk weer online brengen; dat was ook precies wat Sony ging doen. Alleen vanwege een nieuwe inbreuk op SOE gaat dat dus nu langer duren. (Mogelijk omdat alles weer offline moet blijven voor een nieuw onderzoek?)

Trouwens, je brengt het leuk, maar ik zou niet de persoon willen zijn die eventjes ad hoc de beslissing neemt om de authenticatie en account koppeling uit te schakelen en connecties weer toe te laten. Weet je nog heel het gezeik met het datum probleem in de PS3, waardoor mensen niet online konden, hun trophies kwijt raakten als ze probeerden te syncen, etc. ? Als alleen al een datum mismatch alles zo kan verzieken, wat kan er dan wel niet gebeuren als je de DRM authenticatie 'even' uit zet en later weer 'even' aan probeert te zetten.

[Reactie gewijzigd door R4gnax op 7 mei 2011 17:03]

Met het eerste gedeelte ben ik het eens, maar je tweede stuk laat precies het probleem zien; incompetentie tot je eigen systeem is wat mij betreft een schande. Op het moment dat je binnen je eigen systeem een onderdeel niet durft uit te schakelen omdat je niet weet wat de consequenties kunnen zijn, ben je helemaal verkeerd bezig. In dat geval is het niet gek dat Sony gehackt is, aangezien ze dan totaal niet de juiste controle over hun systeem hebben. Ik hoop dat je geen gelijk hebt.
We hebben het niet over een enkele beheerder, we hebben het over honderden die allemaal hun eigen verantwoordelijk gebied hebben. Systemen die constant veranderen, met grote complexe systemen is er eigenlijk niemand die een accuraat totaal plaatje heeft waardoor problemen oplossen vaak een enorm probleem is. Daarvoor zijn er procedures, test trajecten en is een dergelijke hack niet in een paar dagen opgelost.

Hoe denk je dat die IT werkt bij de grote banken in Nederland? En het zijn niet alleen de banken, pak een grote organisatie met een significante IT afdeling.
Ik weet hoe dit werkt, en dit staat ook compleet los van mijn punt. Ik refereer niet aan 1 beheerder; 'je' is uiteraard overkoepelend bedoeld als in Sony in het algemeen. Juist bij zo'n gigantisch systeem is een verregaande controle belangrijk, precies daarom werkt het ook over het algemeen goed bij banken, en is jouw voorbeeld een goed voorbeeld voor wat ik bedoel. Natuurlijk kan het lastig zijn om een probleem direct op te lossen door de omvang, maar dat spreek ik ook helemaal niet tegen...
Jij zal met je 21 jaar ook erg veel ervaring hebben bij grote bedrijven met een grote IT afdeling.

Iemand die dergelijke beslissingen kan nemen in een groot bedrijf zit op een hoog niveau en heeft over het algemeen weinig operationele kennis, deze persoon zal afhankelijk zijn van de mensen onder hem, die weer afhankelijk zijn van de mensen onder hen, etc. Als je dus een ad hoc oplossing wilt implementeren die buiten alle procedures en security audits om gaat zal er een hoop vertrouwen moeten zijn in de organisatie. Deze ontbreekt over het algemeen in dergelijke grote organisaties, die procedures en rapportages zijn er namelijk niet omdat iedereen vanuit nature altijd perfect werk aflevert. Helemaal na deze situatie is iedereen als de dood om de schuld in de schoenen geschoven te krijgen. Het is zelfs niet ongewoon dat in dergelijke situaties expres 'sabotage' wordt gepleegd zodat iemand anders schuldiger lijkt dan iemand anders. Klinkt vreselijk, maar dit is vaak de realiteit bij grote organisaties...

Ik zou men er ook even op willen wijzen dat PSN twee weken eerder offline is gehaald dan SOE Online en dat er ook gegevens uit SOE Online zijn gehaald. Onduidelijk is nog of deze hack in de twee weken tussen die twee gebeurtenissen is gedaan of eerder. Dus wellicht waren ze al een keer te laat met netwerken offline halen.

Het zou me niets verbazen dat de betreffende persoon die een dergelijke beslissing kon nemen om met een ad hoc oplossing te komen al is ontheven uit zijn/haar positie en dat de directe opvolgers al in een strijd zijn om deze positie te claimen.

Je oplossing klinkt heel simpel maar of deze technisch wel zo simpel is, is weer een heel ander verhaal. Ik ken een hoop grote systemen waar je niet zomaar even user authenticatie kan uitzetten aangezien het systeem daar omheen is gebouwd.

Ik weet verder niet wat jou ervaringen zijn, maar over het algemeen is de situatie als volgt bij een ad hoc oplossing.
- Het gaat goed en je krijgt een schouder klopje (directe promotie zit er niet bij).
- Het werkt niet en er gaat verder niets fout. Ze zullen zeggen jammer, maar 'no harm', het zal echter wel voortaan worden meegenomen als minpuntje.
- Het werkt niet en het gaat goed fout. Dag baan, dag goede referentie.

De gamers zullen het vast heel vervelend vinden dat ze al een paar weken niet online kunnen spelen, helemaal voor de SOE Online spelers die helemaal niet kunnen spelen (nadeel van een MMO). Maar alle schade is nog niet gedaan, als ze de boel online zetten en hackers weten ook nog eens de drie cijferige authenticatie codes van de creditcards te bemachtigen dan zijn al die gamers nog veel minder happy.

Voordat er nog iemand anders begint te gillen met bitter weinig ervaring in de IT industrie, hoe het zou moeten en hoe het in de realiteit werkt zijn heel verschillende zaken. Check your idealism at the door. Je zal altijd moeten werken binnen het stramien van het bedrijf of je klanten, daar zal je nooit onderuit komen.
Jij zal met je 21 jaar ook erg veel ervaring hebben bij grote bedrijven met een grote IT afdeling.
Heeft iemand die over een week of 6 zijn 35e verjaardag viert dat per definitie wel dan? :)

IMHO, als jouw organisatie 77 miljoen klanten heeft mag je van mij best een uitwijk-scenario verzinnen, die je door middel van vaste procedures in werking kunt stellen. Je hoort dan als organisatie te onderkennen dat het mis kan gaan. Ook een ernstig lek waarbij gevoelige informatie vrijkomt zou best mogen horen bij zo'n scenario.

Onorthodoxe cowboy-acties op het moment dat je een dergelijke uitwijk, of procedures niet hebt....nee. Dan kan je als bedrijf het beste doen wat Sony nu doet. Het tekortschieten ligt dus ook niet zozeer in het heden, maar een hele poos geleden.

Overigens is de huidige situatie bij PSN meer regel dan uitzondering in het bedrijfsleven. Uiteindelijk draait het niet om het aantal uitwijkscenario's, maar om de centen. Dit risico zal min of meer ingecalculeerd worden. Voor wat betreft de goodies die Sony heeft aangekondigd is het ook maar de vraag of het ze verhoudingsgewijs echt veel centen gaat kosten. Ze hebben vrij duidelijk jaren bespaard om de machine goed geolied en veilig te houden, wellicht was die investering veel duurder geweest (in termen van geld of tijd) :)
Don't remind me! ;-) Maar iemand van 18 of 21 heeft het per definitie niet, iemand van 35 kan het wel hebben. Verder is de leeftijd van 18-21 ook de periode van idealisme dat tegen de tijd dat je een positie met enige policy bepaling bekleed er wel is uitgesleten.

Natuurlijk draait het altijd om centen en het zou nog steeds minder kunnen kosten om een hack te incasseren dan deze te voorkomen. Dat heeft dan voornamelijk te maken met het feit dat Sony niet de schade direct hoeft te incasseren, dat zijn namelijk de klanten en/of de credit maatschappijen. Zodra deze kosten naar Sony worden verlegd verwacht ik dat de situatie er opeens heel anders uit begint te zien.

Mijn eerste reactie was dan ook, CC laten blokkeren bij de bank en een nieuwe aanvragen. Echter de banken draaien er ook niet zelf voor op en daar hoor je dan ook weer uit dat "Niet nodig, want ze houden het in de gaten.", de bank zit niet op extra kosten/werk te wachten en de CC maatschappijen lopen het risico.

Verder mijn vorige baas had toen der tijd ~20M klanten, echter de risico's waren wel wat groter bij een hack. Maar ik zou het daar rustig een puinhoop willen noemen en ad hoc acties zie ik echt niet gebeuren daar.
Jammer dat je zo overtuigd bent van je eigen conclusies/definities. Een cowboy actie is het alleen wanneer een bedrijf geen inzage heeft in de consequenties van een actie, en dan zijn ze per definitie slecht bezig, ongeacht welk excuus je gebruikt.

[Reactie gewijzigd door Reflian op 9 mei 2011 01:41]

Een goede optie zou bijvoorbeeld zijn om psn online te gooien zonder authenticatie of persoonsgegevens.
Los van R4gnax's en Cergorach's bedenkingen (die mij zeer valide in de oren klinken), heb je eraan gedacht dat Sony dit misschien overwogen (en, wie weet, intern getest) heeft en daarna heeft besloten om het niet te doen, omdat het totaal niet werkt...?
Daarom zit je nog op het VWO en werk je niet in de IT. DIt is niet een of ander simpele webserver met een mysql database.
En hoe weet je dat zo zeker :?
Als ze een goede omgeving hadden opgesteld, dan was de hack vele malen moeilijker, zo niet onmogelijk geweest.

Voorbeeld:
-> een firewall die oneigenlijke verkeer blokkeert (stond uit)
-> een webserver die alleen bestanden host en verkeer doorstuurt naar de applicatie server (verouderd)
-> een firewall die alleen verkeer naar de applicatie server door laat (?)
-> een applicatie server die de pagina's toont met een koppeling naar de db (?)
-> een database server, waarbij de gebruiker gelimiteerde rechten heeft en alleen vanaf een bepaalde machine (?)
Compleet offtopic maar in combinatie met een geboortedatum kun je veel bepalen he ;) Kijk nou eens naar het profiel voordat je blaat :+
De wachtwoorden waren wel gehashed, klik.
Wat jij nu doet is makkelijk praten, zo simpel ligt dat coderen nog niet en dan praten we ook nog over een database van meer dan 77 miljoen gegevens. Dan moet ook nog alles weer perfect naar behoren werken als voorheen voor de consumenten, anders krijgen ze weer talloze klachten over de snelheid of stabiliteit van PSN.

De hack had ook niet kunnen plaatsvinden als de authenticatie-server(s) regelmatig werd(en) geupdate, dus lijkt me dat de nieuwe software ook weer uitgebreid getest moet worden.

Ook kan ik me heel goed inbeelden dat Sony er nu zoveel mogelijk aan doet om dit voorlopig echt niet meer te laten (kunnen) gebeuren. Stel dat dit over een half jaar weer gebeurd, dan valt de schade niet te overzien voor Sony en hun PSN!

[Reactie gewijzigd door lucfr op 7 mei 2011 12:10]

Ze moeten natuurlijk ook eerst traceren welke exploits er zijn gebruikt, plus alle andere systemen extra controleren op bugs. Tevens weten de hackers waarschijnlijk nu meer van de PSN infrastructuur af, waardoor nieuwe hacks makkelijker zijn te doen. Dus er zal een hoop moeten worden herzien.
Het probleem is dat beveiliging vaak geen deel uit maakt van het functionele ontwerp. Beveiliging wordt dan later als een soort saus over de implementatie gegoten. Dat dit niet werkt blijkt maar al te vaak. IMO is dit een gebrek aan kennis en inzicht bij de ontwerpers van dit soort systemen. Een ander 'probleem' is dat handige features vaak op gespannen voet staan met wat beveiligingstechnisch wenselijk is (denk aan het tonen van de NAW gegevens van ING / Postbank rekeninghouders).
Er wordt nog steeds gehamerd op een schadevergoeding voor het niet beschikbaar zijn van een gratis dienst.

Het is natuurlijk vervelend dat PSN uit de lucht is maar alleen Sony zelf, game fabrikanten en mensen met een Playstation Plus abonnement ondervinden financiele schade van het feit dat PSN plat ligt.

Als je als eindgebruiker wilt claimen dat je financiele schade hebt geleden van het hele gebeuren kom je niet heel ver vrees ik.
Zo zwart/wit ligt het niet. Bij de verkoop van de PS3 wordt aangeboden dat je online kunt gamen via het PSN. Ook zijn er meer dan voldoende games die grotendeels of zelfs helemaal op de beschikbaarheid van het PSN leunen.

Wanneer bij een smartphone de internet functie niet meer werkt, zal daar ook commotie over ontstaan bij consumenten. De fabrikant kan dan ook niet schuilen achter het feit dat het een telefoon is en dat je ermee kunt bellen.

Kortom, een consument koopt een product met een bepaalde verwachting op basis van hoe het product wordt aangeprezen. Als die verwachting niet waar gemaakt kan worden, daalt (op zijn minst gevoelsmatig) de prijs van het product. Daarnaast denk ik dat een 2e hands PS3 op dit moment niet bijster veel zal opbrengen. Het is dus de vraag of de afschrijving van die apparaten voor sommige consumenten niet ineens heftig gewijzigd is.

Los van bovenstaande visie, denk ik ook niet dat je heel ver gaat komen met claimen.
Hoezo niet? Er zijn ook CC gegevens en andere belangrijke data buitgemaakt. Lijkt mij dat je daarvoor wel een compensatie moet kunnen verwachten.
In mijn ogen heeft Sony de toorn van menig hacker over zich geroepen na het zoveelste debacle over hun producten: het verneuken van het leven van George Hotz.

De laatste jaren is Sony vaker in het nieuws geweest met dergelijk vervelend gedrag, de zogenaamde Sony Rootkit affaire, het offline halen van ťťn van mijn meest geliefde tools: FixVTS[url], het van de markt duwen van [url=http://tech.blorge.com/Structure:%20/2008/05/01/blu-ray-sales-have-dropped-massively-since-sony-killed-hd-dvd/]HD-DVD (nu zitten we met die DRM-beladen BluRay..) en als alles net een beetje rustig begint te worden sturen ze een leger advocaten naar een aantal burgers..

De maat was vol en Anon begon zich ermee te bemoeien, enfin, we weten nu allemaal wat er gaande is. Sony had George's aanbieding moeten nemen (They can hire me) in plaats van hem voor het gerecht te slepen.

Ik koop zelf al ruim 4 jaar geen Sony rommel meer, consumenten hebben de keuze om te stemmen met hun portemonnee. Ik heb dus ook geen BluRay, mijn oude PSP was 2ehands, daar moet je bewust voor kiezen. Weg met die anti-consumenten Sony rommel!
Dus jij keurt het terrorisme van Anonymous goed? Vind het eigenlijk echt te sneu voor woorden. Immers zijn de consumenten weer de grootste slachtoffers. Als er nou ook eens minder media aandacht uitging naar die "beweging" dan was dat probleem ook binnen no-time opgelost. En dat George voor het gerecht werd gesleept is toch gewoon terecht? Je moet gewoon niet aan andermans eigendommen zitten om vervolgens essentiŽle onderdelen daarvan op internet te zetten. Nee, dan moet je hem maar aannemen, en de opgelopen schade voor lief nemen |:(

Nee, ik hoop dat ze de hackers achterhalen en dan op z'n Amerikaans (mocht dat mogelijk zijn) een schadeclaim eisen van miljoenen dollars. Kinderachtig gedoe...
Dus jij keurt het terrorisme van Anonymous goed? Vind het eigenlijk echt te sneu voor woorden. Immers zijn de consumenten weer de grootste slachtoffers.
Terrorisme? Anonymous komt juist op voor de consumenten! Ze brengen grote autoritaire/arrogante bedrijven schade toe omdat dit soort bedrijven tegenwoordig denken alles maar te kunnen maken.
Als er nou ook eens minder media aandacht uitging naar die "beweging" dan was dat probleem ook binnen no-time opgelost. En dat George voor het gerecht werd gesleept is toch gewoon terecht? Je moet gewoon niet aan andermans eigendommen zitten om vervolgens essentiŽle onderdelen daarvan op internet te zetten. Nee, dan moet je hem maar aannemen, en de opgelopen schade voor lief nemen |:(
Een gekochte Playstation is JOU eigendom en NIET die van Sony. Je mag er mee doen wat je wil. Zelfs een cijfercode zoals een masterkey mag je online zetten. Op een cijfercode kun je namelijk geen copyright claimen.

Dat Sony een aantal van zijn Technisch aangelegde klanten voor het gerecht sleept en hun leven kapot maakt is gewoon echt te schandalig voor woorden. Omdat Sony iets niet aanstaat misbruiken ze hun macht. De community pikt dit niet en daardoor krijgt Sony nu tegenslag na tegenslag te verwerken. Wat mij betreft volledig terecht. Laat ze maar bloeden! In het verleden hebben ze al genoeg dubieuze dingen gedaan met hun DRM en rootkit praktijken. Daar hebben ze tot de dag vandaag gewoon schijt aan gehad.

Nee, Sony kan mij niet hard genoeg gestraft worden op het moment!

Ik las dat men een nieuwe hack aan het voorbereiden was voor dit weekend. Ik hoop dan ook dat dit werkelijkheid gaat worden zodat Sony nog eens voor de 3e keer op zijn bek gaat.
Nee, ik hoop dat ze de hackers achterhalen en dan op z'n Amerikaans (mocht dat mogelijk zijn) een schadeclaim eisen van miljoenen dollars. Kinderachtig gedoe...
Gaat ze toch niet lukken. Na dagen onderzoek is er nog steeds niemand aangehouden. Waarschijnlijk hebben de hackers zichzelf goed beschermd met voldoende proxies, TOR of een VPN.

Ik keur misbruik van de gegevens overigens af. Als dat gebeurd moeten deze hackers hard bestraft worden. Maar als de hackers die gegevens puur hebben gedownload om Sony te kakken te zetten heb ik er geen probleem mee.

[Reactie gewijzigd door Alexander01 op 7 mei 2011 23:20]

Jij zegt dat anonymous voorkomt dat bedrijven denken dat ze alles kunnen maken, maar zij zijn juist de mensen die er voor zorgen dat dit niet kan. Anonymous is een van de weinige hackorganisaties en zij maken her onveilig. Ik vind dat anonymous gerust terroristen genoemd mogen worden en ik hoop ook zeker dat ze gepakt worden en een aardige schadeclaim krijgen, zal ze leren (en voor de rest van hun leven failliet maken als het mee zit)
Jij zegt dat anonymous voorkomt dat bedrijven denken dat ze alles kunnen maken, maar zij zijn juist de mensen die er voor zorgen dat dit niet kan.
Zonder enige onderbouwing weet niemand wat je hiermee bedoeld. Tot nu toe waren de acties van Anonymous wel degelijk effectief. Doordat ze met hun acties steeds de media halen worden bedrijven die fout bezig waren wakker geschud. Deze bedrijven worden dan min of meer gedwongen om een andere koers te gaan varen willen ze niet opnieuw met een aanval te maken krijgen (die ze veel centjes kost).
Anonymous is een van de weinige hackorganisaties en zij maken her onveilig.
Geef een voorbeeld wat ze onveilig hebben gemaakt voor de gewone consument?
Ik vind dat anonymous gerust terroristen genoemd mogen worden en ik hoop ook zeker dat ze gepakt worden en een aardige schadeclaim krijgen, zal ze leren (en voor de rest van hun leven failliet maken als het mee zit)
Dat zal nooit gebeuren. Er zitten een paar ervaren leden tussen die zich goed afschermen met proxy's/VPN's/TOR. De rest (die een beetje ddossen) is zo gedecentraliseerd (het is geen vaste groep) dat ze die onmogelijk allemaal kunnen pakken.
Dus jij vind het platleggen van websites die door vele consumenten, andere bedrijven, zzp'ers gebruikt worden niet erg omdat het in het belang zou zijn van de consument? Denk dat je er alleen maar de consument zelf mee hebt. Kost miljoenen euro's dat soort grappen (in het geval van internet bankieren/transacties). En ja, dat is gewoon terrorisme. Net zoals dat Al Qaeda de twin towers in vloog en heel veel burgen slachtoffers maakte om de VS een hak te zetten (natuurlijk is dat laatste vreselijk, veel erger dan enkel financiŽle schade), de aard van de gedachte erachter is identiek.

Daarnaast, je koopt een PS3, de hardware is van jou, de software niet. Als jij in die software gaat zitten rondstruinen en daarvan stukken code online zetten (of keys in dit geval wellicht), en je schendt daarbij de gebruiksvoorwaarden, dan is het wat mij betreft Sony's goed recht om die mensen voor het gerecht te slepen. Dat George Sony nog probeerde te chanteren voor een baan vind ik al helemaal diep triest. Begin dit soort acties, als gewone consument, echt zat te worden, want heb er alleen maar last van en het zal uiteindelijk helemaal niks opleveren.

Snap overigens niet dat mijn bovenstaande reacties door sommige modereerders naar beneden gemod zijn, beetje sneue bedoeling.
Anonymous heeft hier niets met te maken. Het enige bewijs dat hiervoor is, is 1 bestand met de naam Anonymous, dat kan iedereen erop gezet hebben maar het is blijkbaar genoeg voor mensen om de schuldige te kennen.

Als ik een papiertje in je bus steek dat je buurman je huis heeft leeggehaald terwijl ik met alles lopen ben ga je ook niet veel wijzer zijn.
Ik beweer nergens dat deze actie van Anonymous is, maar diegene waar ik op reageer begon erover. Dat ddos'en van rabobank internet bankieren (niet bekend of dat anonymous was) of dat gebeuren bij Mastercard (wel anonymous) een tijdje geleden, dat soort acties keur ik echt af. Al die script kiddies denken volgens mij zo langzamerhand dat het de normaalste zaak van de wereld is: zijn we het niet eens met een bedrijf, dan leg je de website toch plat? Kost de gemiddelde consumenten gewoon een bak geld, want de bedrijven rekenen het toch allemaal door. Wat een mentaliteit, gewoon heel hard aanpakken die handel.
iedereen zegt wel steeds, dit is de 3e x of dit is de zo veelstee keer, maar alles valt te hacken, hackers kijken niet naar de identiteit, ze pikken gewoon een gebuiker van het internet en gaan die hacken om informatie te krijgen.


alles valt te hacken!
Ja en in theorie zou altijd de gebruiker de zwakste link wezen, maar men wordt er niet vrolijk van als in dit geval de gebruiker niet de zwakste link is maar de netwerk infrastructuur.

Elke auto is te stelen, maar als je de deur open laat en de sleutels in het contact gaat het allemaal wat makkelijker...
De gebruiker die onvoorzichtig is, is dan nog steeds de zwakste schakel, in jouw voorbeeld vinden ze gewoon een manier om de sterkere schakels te breken zodat de hele ketting bij voorbaat waardeloos is.

Wacht maar eens tot je een echte cyberstalker achter je aan hebt.
Is hier iemand die meer weet over de huidige 'hacking-trend'? Ik doel hiermee op de serie bedrijven die de laatste tijd gekraakt zijn.

Het valt me op dat virussen eigenlijk langzaam zeldzaam zijn geworden en het hacken van bedrijven tegenwoordig hip aan het worden is. Ook dat hackers volledig anoniem blijven is nogal raar. Ik kan me voorstellen dat door het goed gebruiken van foefjes zoals proxies of wat dan ook het spoor wat onduidelijker wordt, maar dat hackers volledig onbekend blijven wat tot voor kort niet echt gangbaar.

Iemand uit de sector die er meer van weet?
Het aantal virussen dat nog rond hangen is inderdaad aan het zakken, beetje logisch als je de evolutie van de virusscanner ziet. En inderdaad er wordt meer aan gerichte aanvallen gedaan aangezien deze veel meer mee gedaan kan worden dan random virussen verspreiden.

bron: http://www.microsoft.com/netherlands/artikelen/Manager/trendsenontwikkelingen/onlinebedreigingen.aspx
1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True