'Opnieuw kwetsbaarheid in PSN ontdekt'

Sony's PlayStation Network bevatte opnieuw een kwetsbaarheid. Wie het e-mailadres en de geboortedatum van een PSN-gebruiker kende, zou zijn of haar wachtwoord hebben kunnen wijzigen. PSN ging vorige maand na een hack offline.

Playstation NetworkDe website Nyleveia meldde de nieuwste kwetsbaarheid in het PlayStation Network als eerste. Nyleveia wil niet uit de doeken doen hoe de hack werkte, maar kan wel bevestigen dat kwaadwillenden in staat waren om een wachtwoord van een PSN-account te wijzigen wanneer bekend was wat het e-mailadres en de geboortedatum van een PSN-gebruiker waren. De gebruikte reset-tokens werden niet gevalideerd, aldus Nyleveia.

Inmiddels is de website waarop PSN-wachtwoorden kunnen worden gereset, offline. Inloggen op PSN-sites is eveneens onmogelijk, al kan met de PlayStation 3 en de PSP nog wel op het PlayStation Network worden ingelogd.

Nog geen maand geleden werd het hele PlayStation Network offline gehaald, nadat hackers hadden ingebroken op PSN en persoonsgegevens van gebruikers buit wisten te maken. Afgelopen zondag pas werd de dienst weer langzaam opgestart.

Door Joost Schellevis

Redacteur

Feedback • 18-05-2011 16:25 159

18-05-2011 • 16:25

159

Lees meer

Sony ziet af van hoger beroep en betaalt boete voor 'PSN-hack'
Sony ziet af van hoger beroep en betaalt boete voor 'PSN-hack' Nieuws van 15 juli 2013
David Smith van Britse ICO-privacywaakhond licht 250.000 pond boete voor Sony toe
David Smith van Britse ICO-privacywaakhond licht 250.000 pond boete voor Sony toe Video van 1 februari 2013
Sony krijgt boete van kwart miljoen pond wegens PSN-hack
Sony krijgt boete van kwart miljoen pond wegens PSN-hack Nieuws van 24 januari 2013
Sony benoemt 'chief information security officer'
Sony benoemt 'chief information security officer' Nieuws van 6 september 2011
Verzekeraar wil onder claims Sony PSN-hack uit
Verzekeraar wil onder claims Sony PSN-hack uit Nieuws van 22 juli 2011
Microsoft: Sony- en RSA-hacks zijn gevolg van beginnersfouten
Microsoft: Sony- en RSA-hacks zijn gevolg van beginnersfouten Nieuws van 5 juli 2011
Sony brengt PSN ook in Japan weer online
Sony brengt PSN ook in Japan weer online Nieuws van 4 juli 2011
Sony: we zijn gehackt omdat we ons eigendom beschermden
Sony: we zijn gehackt omdat we ons eigendom beschermden Nieuws van 28 juni 2011
Sony ontsloeg netwerkbeveiligers vlak voor PSN-hack
Sony ontsloeg netwerkbeveiligers vlak voor PSN-hack Nieuws van 25 juni 2011
Codemasters: hacker had toegang tot gebruikergegevens
Codemasters: hacker had toegang tot gebruikergegevens Nieuws van 10 juni 2011
Sony's PlayStation Network is weer volledig operationeel
Sony's PlayStation Network is weer volledig operationeel Nieuws van 2 juni 2011
Sony: PSN eind deze week weer volledig operationeel
Sony: PSN eind deze week weer volledig operationeel Nieuws van 31 mei 2011
Sony moet op hoorzitting tekst en uitleg geven over PSN-hack
Sony moet op hoorzitting tekst en uitleg geven over PSN-hack Nieuws van 29 mei 2011
Hackers vallen website Codemasters aan
Hackers vallen website Codemasters aan Nieuws van 27 mei 2011
Sony onderschatte de kans op PSN-aanval
Sony onderschatte de kans op PSN-aanval Nieuws van 27 mei 2011
Sony verwacht verlies van 2,28 miljard euro
Sony verwacht verlies van 2,28 miljard euro Nieuws van 23 mei 2011
Aanvallers verkrijgen wachtwoorden Griekse muziekdienst Sony
Aanvallers verkrijgen wachtwoorden Griekse muziekdienst Sony Nieuws van 23 mei 2011
Phishing-site aangetroffen op Sony-server
Phishing-site aangetroffen op Sony-server Nieuws van 20 mei 2011
Sony geeft meer details vrij over PSN-compensatieregeling
Sony geeft meer details vrij over PSN-compensatieregeling Nieuws van 17 mei 2011
Japanse regering houdt herstart PSN tegen
Japanse regering houdt herstart PSN tegen Nieuws van 16 mei 2011
'PSN-hack uitgevoerd via gehuurde Amazon-cloudserver'
'PSN-hack uitgevoerd via gehuurde Amazon-cloudserver' Nieuws van 16 mei 2011
Gamers klagen over problemen na nieuwe PS3-firmware - update
Gamers klagen over problemen na nieuwe PS3-firmware - update Nieuws van 15 mei 2011
Sony begint gefaseerde opstart PlayStation Network
Sony begint gefaseerde opstart PlayStation Network Nieuws van 15 mei 2011
Websites Eidos en Deus Ex korte tijd gehackt
Websites Eidos en Deus Ex korte tijd gehackt Nieuws van 13 mei 2011
PlayStation Network over 'enkele dagen' online
PlayStation Network over 'enkele dagen' online Nieuws van 11 mei 2011
Sony: PlayStation Network volledig operationeel op 31 mei
Sony: PlayStation Network volledig operationeel op 31 mei Nieuws van 9 mei 2011
PlayStation Network blijft langer offline
PlayStation Network blijft langer offline Nieuws van 7 mei 2011
Sony garandeert schadevergoeding na identiteitsfraude door PSN-hack
Sony garandeert schadevergoeding na identiteitsfraude door PSN-hack Nieuws van 6 mei 2011
Sony hint op zorgvuldig geplande PSN-hack door Anonymous
Sony hint op zorgvuldig geplande PSN-hack door Anonymous Nieuws van 4 mei 2011
Sony haalt servers Online Entertainment uit de lucht
Sony haalt servers Online Entertainment uit de lucht Nieuws van 2 mei 2011
Sony: vermoedelijk 10 miljoen creditcardaccounts buitgemaakt
Sony: vermoedelijk 10 miljoen creditcardaccounts buitgemaakt Nieuws van 2 mei 2011
PSN-hackers lijken buitgemaakte creditcards nog niet te misbruiken
PSN-hackers lijken buitgemaakte creditcards nog niet te misbruiken Nieuws van 30 april 2011
'Hackers PSN maakten gegevens 2,2 miljoen creditcards buit'
'Hackers PSN maakten gegevens 2,2 miljoen creditcards buit' Nieuws van 29 april 2011
Sony haalde PlayStation Network offline na hack
Sony haalde PlayStation Network offline na hack Nieuws van 23 april 2011
Sony en PS3-hacker GeoHot schikken rechtszaak
Sony en PS3-hacker GeoHot schikken rechtszaak Nieuws van 11 april 2011
Meer producten en artikelen
Games Privacy Sony PlayStation Beveiliging

Reacties (159)

-Moderatie-faq
159
139
73
3
0
15
Wijzig sortering
Anoniem: 366845 18 mei 2011 21:22
Update van Sony: http://bit.ly/lkJzJR

Volgens Sony hadden ze zelf de URL token exploit ontdekt en vervolgens de sites offline gehaald...
Anoniem: 394657 18 mei 2011 16:58
Uhm je kon je wachtwoord altijd alleen maar aanpassen door je mail adres en geboortedatum in te voeren.

Vervolgens krijg je een mail toegestuurd met een link en via deze link kun je dan je wachtwoord aanpassen.

Dus wat is hier dan de hack als ik vragen mag?
hiostu @Anoniem: 39465718 mei 2011 17:08
Waarschijnlijk zet je eerst het account op "requires validation" status en wordt er een email gestuurd. Vervolgens heeft de hacker alleen niet de link om deze te activeren, deze heeft immers geen toegang tot het email adres. Alleen worden de tokens niet goed gecontroleerd en kan de hacker dus met een andere url die hij zelf opbouwt het account activeren en vervolgens op een pagina het wachtwoord wijzigen.
Anoniem: 325463 18 mei 2011 16:28
Een nieuwe documentaire op discovery channel:Hoe psn een stille dood lijdde!
SuperDre
@Anoniem: 32546318 mei 2011 20:55
Dikke onzin, over enkele weken (als er niets ernstigs meer gebeurd) is iedereen dit al lang weer vergeten..
Zoop @Anoniem: 32546318 mei 2011 16:30
Stille dood? Nogal een luidruchtige dood, als je het mij vraagt
Crowbar 18 mei 2011 16:27
Dit was natuurlijk te verwachten. Elke hacker/cracker etc gaat nu schieten op Sony om PSN weer offline te krijgen. Al is dit natuurlijk wel een heel specifiek geval, van hoeveel gebruikers weet je de geboortedatum nu...
Puc van S. @Crowbar18 mei 2011 16:29
Nu met hyves/facebook en al die andere sociale media? Ik gok dat ik zo van tig mensen hun e-mail/geboortedatum combinatie kan vinden.
Loller1 @Puc van S.18 mei 2011 16:36
De vraag is alleen of de geboortedatum op Facebook/Hyves/andere social media gelijk is aan die op PS Network. Want niet iedereen is even eerlijk over zijn geboortedatum.
Foamy @Loller118 mei 2011 16:43
De vraag is alleen of de geboortedatum op Facebook/Hyves/andere social media gelijk is aan die op PS Network. Want niet iedereen is even eerlijk over zijn geboortedatum.
Klopt. Echter zal iemand die stelselmatig de "verkeerde" gegevens opgeeft vaak geneigd zijn dezelfde datum te gebruiken.
ajakkes @Loller118 mei 2011 16:46
Dat hoeft natuurlijk maar voor een beperkt aantal mensen de waarheid te zijn om dit te misbruiken. Er zullen hier op de tweakers forums best wel wat mensen over hun PS hebben gesproken. Daarvan zullen er vast wel enkele zijn waarbij de gebruikersnaam ook gebruikt wordt bij PS en die een geboortedatum hebben ingevuld op hun profiel.

Hetzelfde geld overigens voor Hyves, Facebook e.d. (Staat bij interesses vast wel eens Playstation).
Misschien gaat het maar om een klein aantal gebruikers die op deze manier hun PS account kwijt zijn.

De geboortedatum van GeoHot staat op wikipedia. Om maar een voorbeeld te noemen.

Straks moeten we voor iedere site een unieke gebruikersnaam gaan verzinnen om dit te voorkomen. 8)7

Edit: Lees email adres waar gebruikersnaam staat.

[Reactie gewijzigd door ajakkes op 26 juli 2024 04:52]

xoniq @Loller118 mei 2011 16:46
Maar het grootste gedeelte wel.
Als jij even Facebook afspeurt, zal het bij waarschijnlijk bij 8/10 van de PS3 gebruikers gewoon kloppen. Altans bij mij wel ;).
? ? @Loller118 mei 2011 20:27
Zelfs hier op tweakers.net staat je geboortedatum...

Identificatie op basis van geboortedatum, moedersnaam, geboortestad, elke geheime vraag, ... zijn IDIOOT.

[Reactie gewijzigd door ? ? op 26 juli 2024 04:52]

Anoniem: 63072 @Crowbar18 mei 2011 16:28
De originale hackers: van iedereen waarschijnlijk :/
xoniq @Anoniem: 6307218 mei 2011 16:45
Klopt, dit heeft Sony ook bevestigd, de hackers hadden enkele dagen volledige toegang tot hun user servers, en in die tijd kan je makkelijk alles kopieren.
A4-tje @Crowbar18 mei 2011 19:35
waarom kan men met email en geboortedatum wachtwoorden aanpassen??
overal op internet is het al normaal dat je minimaal het oude ww ook moet opgeven wil je een nieuwe maken 8)7
daft_dutch @A4-tje18 mei 2011 20:33
Klopt, Dat is de validatie token. Alleen de check of die token goed of fout is, is altijd goed!
Terwijl zo'n check nooit altijd goed mag zijn. Ik denk bijna zeker dat er een bug zit waardoor de check niet juist wordt uitgevoerd. maar door de code als TRUE wordt gezien. Lullig, en niet professioneel. bijvoorbeeld: Miljoen keer true, code; "ja ja 1 true is genoeg hoor". terwijl er slechts 1 TRUE mag zijn.
Btw, Als je als PS owner benauwt voelt kan je toch gewoon je email adres wijzigen?
S7YX @Crowbar18 mei 2011 16:29
Zat dat niet bij de gegevens die de crackers gestolen hadden?
apokalypse @Crowbar18 mei 2011 16:30
Misschien, maar dit zijn wel belangrijke cases die ze van te voren bedacht hadden kunnen hebben.

Dit zegt weer genoeg of de kennis/kwaliteitsbewaking bij Sony. OF het is niet verbeterd, OF de persoon die er nu verantwoordelijk voor is, is niet goed voorgelicht/heeft niet genoeg kennis van het systeem.
ToCuS @Crowbar18 mei 2011 16:31
The hackers themselfs maybe?
Die kunnen ook na een reset weer bij de gegevens dan..
Nazanir @Crowbar18 mei 2011 16:32
Ik zie dit echter niet als een probleem. Zo word Sony gedwongen om correct om te gaan met de account gegevens van anderen, zeker na wat er de afgelopen weken heeft gespeeld omtrent PSN. Sony kan zich gewoon geen blunder meer veroorloven.
Roland684 @Crowbar18 mei 2011 17:41
... van hoeveel gebruikers weet je de geboortedatum nu?
Je geboortedatum is geen geheim, die zou iedereen mogen weten, net als je e-mailadres, telefoonnummer, aantal vingers aan je linkerhand, etc. Het is dus een slecht plan om die gegevens te gebruiken om te valideren dat jij bent wie jij bent.

Evenzogoed word je bij blizzard (o.a. world of warcraft) verplicht een 'geheime vraag' te kiezen en te beantwoorden en heb je alleen de keuze uit zaken die niet geheim zijn en al mijn kennissen weten; merk van mijn eerste auto, naam van de basisschool waar ik op zat, naam van mijn eerste huisdier, allemaal zaken die je niet als als controlevraag wil gebruiken.
densoN @Crowbar18 mei 2011 16:42
jmijnster @ hotmail.nl / com
22 oktober 1981

Het is dus echt wel een issue..

[Reactie gewijzigd door densoN op 26 juli 2024 04:52]

SinergyX
@densoN18 mei 2011 16:51
Lees ook even door over die validatietoken, daar zat de zwakte.

Een password reset opvragen op basis van deze gegevens is vrij normaal, net zo als de zwakte van alle accounts nog steeds 1 simpele basis is.. je email.

Als iemand toegang krijgt tot je email, is bijna niets meer tegen te houden.
densoN @SinergyX18 mei 2011 17:05
Ik snap je reactie niet helemaal, men kan het wachtwoord wijzigen door alleen een e-mailadres + DOB in te vullen. De eigenaar krijgt weliswaar een e-mail dat het wachtwoord is gewijzigd maar dan zit de kwaadwillende al op de desbetreffende account.
Hathor @Crowbar18 mei 2011 16:29
In ieder geval de originele hackers van 77 miljoen gebruikers.
SuperDre
@Crowbar18 mei 2011 20:54
uhh, zo moeilijk is dat niet hoor, kijk maar eens rustig rond op de forums van sony en je kunt vaak via wat googlen iemands emailadres en geboortedatum achterhalen..
Edje040 18 mei 2011 16:30
Pff..ben toch bang dat ze dit uiteindelijk veel klanten gaat kosten. Heb zelf een PS3 (voorheen 360) en begin er toch een beetje van te balen. Ongetwijfeld zal het bij Microsoft niet anders zijn maar het lijkt alsof de aanval is geopend. Als ik nu een nieuwe console moets kopen zou ik toch sterk nadenken geen PS3 te nemen..en als ik dat denk zullen velen dat ook doen (massa). Ben benieuwd hoe dit allemaal gata aflopen.
hiostu @Edje04018 mei 2011 17:02
Hoezo zal het bij Microsoft niet anders zijn? Tot nu toe zijn er nog geen berichten dat Xbox Live of uberhaupt het hele live systeem gehacked is.

Als ik zoek naar informatie over gehackte live accounts dan kom ik eigenlijk altijd uit op phising aanvallen of iets dergelijks.
SuperDre
@Edje04018 mei 2011 21:07
Je vergist je alleen heel erg in hoe een normale consument denkt, JIJ leest dit allemaal en denkt 'mijn god', genoeg gamers denken 'ahwell, zolang ik maar kan gamen'..

Ook MS is niet vrij van problemen hoor, geen 1 is dat..
Roland684 @Edje04018 mei 2011 18:32
Maar ja... wat dan? want een Nintendo wil je ook niet meer: http://www.defectivebydesign.org/nintendo3ds
arjankoole
@Roland68419 mei 2011 07:39
Maar ja... wat dan? want een Nintendo wil je ook niet meer: http://www.defectivebydesign.org/nintendo3ds
Ah, boze piraatjes die niet blij zijn dat ze niet mogen R4'en van Nintendo. Wat schattig.

Ik ben prima tevreden met m'n 3DS. Maar ja, ik koop m'n games dan ook netjes.
humbug 18 mei 2011 16:35
Dit is wel een erg simpele methode. Ik ken eigenlijk geen enkele serieuze site waarbij je je password kan veranderen zonder dat er een email validatie in het proces zit. Je zou denken dat Sony toch even wat vergelijkend onderzoek gedaan heeft voordat men het systeem is gaan bouwen.

Een geboortedatum is nu niet iets wat mensen geheim houden.....

Als je dan toch nog zonder email validatie wil werken, gebruik dan op zijn minst een set vragen als "wat is de naam van je eerste hond", "wat is je favoriete eten" enz enz. Dat is een stuk moeilijker te gokken dan een geboortedatum. |:(
cyboria @humbug18 mei 2011 17:13
Ze gebruiken wel de emailvalidatie zover als ik begrepen heb. Het probleem is, dat de link die je toegestuurd krijgt om je email te valideren, blijkbaar gefaked kan worden door de hackers omdat de tokens die erin voorkomen niet gereset werden.
blouweKip @humbug18 mei 2011 17:19
Ze maken gewoon een afweging: investeringen vs risico op misbruik en inkomstenderving, als dit weinig potentiele klanten weg heeft gejaagd dan zal men bij sony niet echt veel extra gaan doen, dan nemen ze gewoon het "verlies".
Roland684 @humbug18 mei 2011 18:37
Nou is dit geen site natuurlijk. Als je je windows-wachtwoord kwijt bent is er ook geen e-mailvalidatie, als je je huissleutel kwijt bent ook niet.

* Roland684 kan niet proberen of er een e-mailvalidatie is omdat ik een fake datum heb opgegeven, juist om te voorkomen dat iemand mijn account kan resetten. Als je mij verplicht gegevens te verstrekken waar ik de noodzaak niet van zie om die te verstrekken, krijg je rotzooi van me.
computerjunky 18 mei 2011 16:30
als je maar lang genoeg zoekt en eenmaal weet hoe het systeem werkt is het makkelijk te kraken.

kijk maar naar de WII toen ze eenmaal het systeem snapten kwam nintendo met patch na patch na patch en het heefd nu 10 patches later nog niks uitgehaald.
mischien gewoon geen geld meer vragen voor iets belachelijks als online gamen wat gewoon een service hoort te zijn dan is er ook geen interesante data meer te halen.
Thorchy @computerjunky18 mei 2011 16:42
Het online gamen is bij de PS3 gewoon gratis hoor. Je hoeft enkel je creditcard gegevens achter te laten wanneer je een aankoop wil doen in de store, en dan nog kan je kiezen om een prepaid PSN-tegoed te kopen in de winkel.

Waar je wel voor moet betalen is voor PS+, wat een betaalde dienst is waarmee je "gratis" games, themes en avatars kan krijgen. Ook krijg je daarmee vaak toegang tot béta's en kan je bepaalde games met een korting kopen.
xoniq 18 mei 2011 16:48
Dit gaat voor Sony wel een uitdaging worden, nu het zo uitgebreid in de media is geweest gaan de hackers ongetwijfeld veel vaker proberen op welke manier dan ook in te breken, ik bedoel, ze hebben het zelfs via een PS3 gedaan, dat bewijst wel hoe ver ze gaan.

Sony wordt gedwongen bijzonder veel en goede aandacht te besteden aan de beveiliging. Ze kunnen dit niet nogmaals veroorloven ..
SinergyX
@xoniq18 mei 2011 16:49
Daar komt het nu wel op neer, elke patch, elke update en een gros van hackers gaat weer aan de gang om ergens een gaatje te vinden.
skywarior 18 mei 2011 16:53
Euh, iedereen die hier naar sony wijst. mag ik jullie erop attanderen dat dit het geval zou zijn bij elke hack op een forum site of wat ook waar je persoonlijke gegevens op hebt. Zolang ze de data kunnen pakken kunnen ze altijd je wachtwoorden veranderen.

Ik denk dat we bijna kunnen stellen dat deze confirmatiemanier niet beschermt is tegen hackers, en dat zal ik het ook nooit zien worden. Ook op tweakers kun je volgens mij hetzelfde flikken als je de gegevens zou pakken.

Ik vraag me wel af though, wat zou je anders als password wijzigingssysteem kunnen maken? ja altijd email confirmation. Maar alles is te hacken right? ; )
Wel slordig en denk dat d.m.v. email confirmation er al veel kan worden veranderd. maar of het een oplossing is..
hackerhater @skywarior18 mei 2011 18:37
Als de email validatie een random seed erin heeft is het al verdomd lastig deze te vervalsen zonder dat je toegang tot de email hebt
mistix73 18 mei 2011 16:59
een nieuw qwachtwoord per post ontvangen geen optie? of alle account verwijderen en iedereen opnieuw laten aanmelden?? zeg maar wat
Loller1 @mistix7318 mei 2011 17:01
Aan vele accounts is ook nog andere informatie gekoppelt. Alle accounts verwijderen is dus onzin.

Aan accounts zijn er bijvoorbeeld voortgangen op online games bijgehouden. Trofeeën, vrienden. En in PS Store games PS+, 2 dingen waarvoor veel word betaald.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq