Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Sony ontsloeg netwerkbeveiligers vlak voor PSN-hack

Sony heeft medewerkers die verantwoordelijk zijn voor beveiliging van het netwerk ontslagen vlak voordat PlayStation Network werd gehackt. Bij de hack in april maakten de krakers gegevens van in totaal 77 miljoen gebruikers buit.

De beveiliging bij PSN gebeurde niet volgens beveiligingsstandaarden, maar ging op ad-hoc basis als men onraad rook, zou blijken uit een rechtbankdocument. Dat schrijft Gamasutra. Twee weken voor de hack zou een 'substantieel deel' van het personeel van het Network Operation Center zijn ontslagen. Het is onduidelijk of de ontslagen de hack mogelijk hebben gemaakt.

Het rechtbankdocument is niet onafhankelijk: het vormt de basis van een class action suit tegen Sony vanwege de hack. Het document beroept zich op anonieme getuigen, vermoedelijk mensen die bij Sony zijn ontslagen. Sony's online gamedienst PlayStation Network werd enkele maanden geleden gehackt, waarna Sony de dienst een maand offline haalde. Bij de hack werden persoonsgegevens van 77 miljoen gebruikers buitgemaakt. De PSN-hack was de eerste van een reeks aanvallen op diensten en sites die met Sony of games te maken hebben.

Door Arnoud Wokke

Redacteur mobile

25-06-2011 • 15:16

124 Linkedin Google+

Submitter: buran

Lees meer

Sony herstructureert top Nieuws van 29 juni 2011
Overheid VS wil onderzoek hack PSN Nieuws van 28 april 2011

Reacties (124)

Wijzig sortering
Het nieuwsbericht lijkt te suggereren dat de ontslagen beveiligers verantwoordelijk waren voor PSN beveiliging, maar volgens mij waren zij onderdeel van SOE. Is toch wel een verschil? :)

"Just two weeks before the April breach, Sony laid off a substantial percentage of its Sony Online Entertainment workforce"

http://arstechnica.com/ga...repared-for-ps3-hacks.ars

In de claim wordt wel gesteld dat de ontslagen werknemers de vaardigheden zouden hebben om PSN beter te beveiligen/de inbreuk te voorkomen. Maar volgens mij waren zij hier niet verantwoordelijk voor.
Nee, de verantwoordelijkheid voor het waanzinnig snel gegroeide PSN netwerk lag oorspronkelijk bij Sony Computer Entertainment, maar is op het moment dat de medewerkers ontslagen werden, overgedragen aan de afdeling die ook al de online support voor de Bravia, Blu Ray etc diensten leverde; Sony Network Entertainment.
In de meeste artikelen zoals bijv. deze http://www.gamespot.com/news/6305629.html wordt overigens alleen gerept van de Amerikaanse divisies van beide dochterbedrijven, maar het zelfde geldt in Europa waar we dus over SCEE en SNEE praten.

Het was zo´n grote wijziging dat deze gepaard ging met een nieuwe licentieovereenkomst per 1 april waarmee je akkoord moest gaan (zie bijv. http://www.qriocity.com/psnlegal/us/tos.html). Immers een ander bedrijf leverde je plots de PSN diensten.

De mensen die ontslagen zijn werkten bij de oude dienst, die officieel tot 1 april verantwoordelijk was voor de beveiling van het PSN netwerk, maar in de praktijk dus al niet meer verantwoordelijk waren ten tijde van de maart hack.

Het was niet een nieuw plan, er waren in 2009 al hints dat Sony dit wilde doen omdat ze één geintegreerd bedrijf intern wilden dat verantwoordelijk was voor alle online diensten op hun apparatuur. Op CES in Vegas dit jaar heeft de verantwoordelijke hotshot bij Sony dat nog eens aangekondigd en toen ook uitgevoerd.

Dus alle ingedrienten voor een drama in the making: een supersnel gegroeid PSN en Qriocity netwerk worden hoplla overgedragen aan een wat suffige afdeling die wat online diensten voor je tv en BR speler regelden, forse ontslagen op de oude afdeling waar men allang wist dat men de verantwoordelijkheid niet meer zou dragen.

Dus ongemotiveerd personeel, managers die geen geld meer willen uitgeven aan die divisie, patch work werd de norm ipv structurele beveiliging en ongetwijfeld heeft men op de werkvloer flink gepiept dat steeds de put gedempt werd als er weer een kalf verdronken was, maar de eindverantwoordelijke Kazuo Hirai die beide afdelingen inmiddels onder zijn hoede was meer geintereseerd in groei, groei en nog meer groei, dan in fatsoenlijke beveiliging.
Ik denk dat de kans heel erg klein is. Je moet wel erg dom zijn om je carrière op het spel te zetten.

Ik snap niet dat iemand deze gedachte kan hebben. Zoals de waard is ... ?

Ik heb regelmatig (gedwongen) ontslagen meegemaakt, binnen en buiten de IT. Ik heb nog nooit meegemaakt dat iemand iets saboteerde.

Als je de Gamasutra leest is de situatie heel anders. Dit is een zaak tegen Sony, niet het pleidooi va Sony.
Another confidential witness, a platform support engineer for SOE from 2006 till March 2011, claimed that "Sony's technicians only installed firewalls on an ad-hoc [emphasis in original] basis after they determined that a particular user was attempting to gain unauthorized access to the network." The suit claimed that the practice fell short of widely-adopted security standards.
Er werden pas extra firewalls geplaatst na ze gehacked waren.
Kortom geen proactief security beleid.
And another confidential witness, a senior project coordinator for SCEA from June 2000 till March 2011, "expressed an utter lack of surprise" about the breach, "since he and others at Sony knew it had been breached on prior occasions as well," the complaint claims.
Sony was al veel vaker gehacked. Kortom de security was voorheen ook niet goed. Mogelijk is er nog meer achterstallig onderhoud geweest door het ontslaan van de medewerkers.

[Reactie gewijzigd door 112442 op 25 juni 2011 22:36]

In de IT werken toch echt wel behoorlijk veel mensen met laten we het netjes zeggen, "aparte karakters".

Iemand kan best op zich heel intelligent zijn en de sollicitatie en proef periode door komen, maar daarna toch irrationeel en problematisch gedrag gaan vertonen. Bekende dingen zijn het niet willen uitvoeren van opdrachten, te pas en te onpas op het werk verschijnen, niet de conventies van de rest van het team volgen (oh, het team gebruikt Linux? Ik install lekker BSD want dat is veel meer hardcore en 10x beter, en...).

Als bedrijf is mensen aannemen altijd een gok natuurlijk. Je ziet bij de sollicitatie dat iemand slim is en verstand van zaken heeft, maar de psychologische test of de gut feeling geven al aan dat het karakter mogelijk problematisch is. Wat doe je dan? Je heb echt een technici voor die positie nodig en die zijn nog al zeldzaam. Doorzoeken voor iemand die een mogelijk beter karakter heeft maar dan weer minder verstand van zaken heeft? En hoe zeker weet je van die ene test dat iemand een problematische persoonlijkheid heeft?

Op een gegeven moment komt zo iemand dan toch altijd wel ergens aan de slag. Vaak gaat het toch wel goed, maar soms helaas ook niet.
En ja hoor, lang leve de compost theoriën.
Ik geef toe dat er veel zinloze complot theorieën dagelijks op forums gepost worden, maar dit is niet zo enorm ver gezocht.

Disgruntled employees met -echte- diepe kennis van de systemen zijn wel degelijk een grote zorg voor bedrijven in de dagelijkse praktijk.

In diverse settings al dergelijke dingen meegemaakt bij verschillende bedrijven. Paar jaar geleden bij een wat kleiner bedrijfje van een kennis van me zat een gozer die het grootste deel van de servers had ingericht maar een op een gegeven moment dermate problematisch functioneerde dat het bedrijfje het eigenlijk moreel verplicht was aan de andere werknemers om hem te laten gaan. Ik ken je vertellen dat er flink wat crisis beraad en nood scenario's zijn opgezet.

Bij middelgrote bedrijven heb je op veel posten wel meerdere mensen en is het meestal niet zo dat 1 persoon *alles* weet, maar ook daar is het goed mogelijk dat iemand die al wat langer bij het bedrijf werkt van veel op de hoogte is, en wel degelijk een risico vormt. Daar heb ik wel eens gezien dat het ontslag van zo iemand al tijden van te voren geplanned wordt en andere mensen precies meedraaien met wat zo iemand doet, zodat na het ontslag direct een groot aantal risico's geminimaliseerd kan worden (en dan kan ver gaan, tot aan het opnieuw inrichten van servers aan toe).
Artikel gelezen?

Sony klaagt niemand aan, het is een class action suit >tegen< Sony, waarin ter ondersteuning van het argument dat het netwerk (te) slecht beveiligd was een document wordt aangedragen waarin word gesteld dat netwerkbeveiligers van Sony kort voor het plaatsvinden van de hack zijn ontslagen.

Als je met 'ze' de mensen van de CAS bedoelt dan geldt natuurlijk dat ze 'ergens' geld vandaan willen hebben, en van wie anders dan Sony. Wie uiteindelijk meer shade heeft opgelopen is maar sterk de vraag, als Sony voor alles moet opdraaien.

De waarheid lag vrijwel direct op straat: het netwerk was niet goed genoeg beveiligd; het is nu aan de aanklager om met zoveel mogelijk bewijsmateriaal te komen, vandaar dit document ter ondersteuning.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True