Sony schließt Sicherheitslücke, dementiert erneuten PSN-Hack
Alexander Trust, den 19. Mai 2011
Sony Computer Entertainment dementiert einen erneuten PSN-Hack und schließt gleichzeitig eine Sicherheitslücke auf einer Webseite, die das Kapern von PSN-Accounts möglich machte.
Exploit geschlossen
Am gestrigen Tag wurden Berichte über eine neue Sicherheitslücke auf den Webseiten von Sony laut. Kein günstiger Zeitpunkt, so kurz nach dem PSN-Hack. Der Konzern bestreitet zwar, dass in diesem Fall ein erneuter Hack vorliegt, doch die Möglichkeit bestand mindestens einen Tag lang, lediglich mit der Angabe von E-Mail-Adresse und Geburtsdatum, PSN-Accounts von Fremden zu kapern. Betroffen waren alle PSP- und PS3-Gamer, die über ein PSN-Konto verfügen. Mittlerweile ist die Lücke laut Sony geschlossen.
Zur Erläuterung: Als Exploit bezeichnet man z. B. eine Zeichenfolge, die dazu verwendet wird, um Sicherheitslücken auszunutzen. Ein solcher Exploit konnte auf den Webseiten von Sony angewendet werden. Es berichteten einige Webseiten darüber, dass man die Sicherheitslücke ausnutzen konnte, um das Passwort von PSN-Accounts zurückzusetzen. Auf Kotaku (engl.) beispielsweise fand sich die Anleitung, wie man in sieben Schritten den PSN-Account eines Fremden hätte übernehmen können. Zum Zeitpunkt der Veröffentlichung der Anleitung war dies aber nicht mehr möglich, da Sony die betroffenen Webseiten offline geschaltet hatte. Dass die Sicherheitslücke, zumindest zur Verifikation, mehrfach von unterschiedlichen Personen (darunter auch Medienvertretern) ausgenutzt wurde, ist belegbar. Dies geschah, um zu zeigen, dass man einen PSN-Account lediglich unter Angabe von E-Mail-Adresse und Geburtsdatum übernehmen konnte. Ebensolche Daten, die beim PSN-Hack am 19. April von Hackern entwendet worden waren, die man aber auch in vielen Foren oder Social Networks öffentlich einsehen kann. Das Ausnutzen einer Sicherheitslücke – und sei es nur zu Testzwecken – wird Hack genannt. Entsprechend sind die Meldungen und Schlagzeilen über einen erneuten Hack zu begründen.
Wartungsarbeiten?
Sony hat von einigen Personen, die die Sicherheitslücke entdeckt hatten, Hinweise erhalten und kurze Zeit später die betroffenen Internetseiten offline genommen. Es dauerte dann einige Stunden ehe der Elektronik-Konzern diese Webseiten wieder in Betrieb nahm. Sony schrieb allerdings wiederholt nur davon, dass man Wartungsarbeiten vornehmen musste (vgl. Twitter, engl.). Von einem Hack war auf Seiten von Sony nie die Rede. Auch nachdem man die betroffenen Seiten wieder online nahm, kam von Sony ein Dementi bezüglich eines Hacks. Sony-Verantwortliche veröffentlichten sogar Blogeinträge, in denen es danach explizit hieß:
„Entgegen anders lautender Berichterstattung gab es aber keinen Hack. Im Zuge der Passwort-Zurücksetzung gab es einen URL-Exploit den wir aber inzwischen repariert haben.“
Sony Computer Entertainment
Man gibt also zu, dass es eine Sicherheitslücke gab, und weiß von Personen, die diese Sicherheitslücke ausgenutzt haben, um Sony überhaupt darüber informieren zu können, dass es sie gab. Entsprechend ist die Behauptung nicht ganz zutreffend, es hätte keinen Hack gegeben. Sowohl Mitglieder des NeoGAF-Forums (engl.), als auch Vertreter der Webseite Nyleveia (engl.) und solche von Eurogamer (engl.) haben den Hack entweder selbst durchgeführt oder waren Zeuge einer Präsentation desselben.
24 Stunden
Richtig ist, dass Sony erst gestern Meldung von dieser Sicherheitslücke erhielt, aber man sie bereits einen ganzen Tag lang hätte ausnutzen können. Sofern sich nicht weitere Personen oder Personengruppen freiwillig melden, die Gebrauch von der Sicherheitslücke gemacht haben, wird man wohl auf Sonys Wort vertrauen müssen. Doch hier verhält es sich ähnlich wie im Fall des potenziellen Diebstahls von Kreditkarten-Daten. Denn Sony räumt nach wie vor nur ein, dass man „nicht sicher sagen“ kann, dass Kreditkarten-Daten entwendet wurden, gleichzeitig stellt der Konzern aber seinen Kunden auch Programme zum Schutz vor Identitätsdiebstahl und zur Überwachung der Kreditkarten-Konten zur Verfügung. Entweder ist Sony also besonders hilfsbereit, oder aber die Wahrscheinlichkeit, dass Kreditkarten-Daten entwendet wurden, „mindestens“ so groß, dass diese Maßnahmen einen guten Grund haben. Die japanische Regierung verwehrt übrigens Sony noch immer die Wiederanschaltung des PSN in Japan, ehe nicht geklärt ist, ob notwendige Sicherheitsvorkehrungen getroffen wurden.