![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Sony официально признает что данные учетных записей пользователей PSN увели.
Номера кредиток скорее всего тоже.
Вот их официальное заявление на корявом русском:
На данный момент мы хотим сообщить, что предварительные предположения позволяют сформулировать утверждение, что неуполномоченные лица имели доступ к информации, предоставленной вами: имя, почтовый адрес (город, штат/провинция, почтовый индекс), страна проживания, адрес электронной почты, дату рождения, пароль PlayStation Network/Qriocity и вход в систему, а также название учетной записи PlayStation Network. Более того, доступ к платежной информации, сохраненной в рамках этой учетной записи, а также список покупки товаров и платежный адрес (город, штат/провинция, почтовый индекс), возможно, были также заслежены.
Более того, если Вы предоставили нам данные своих кредитных карт, зарегистрированных через PlayStation Network и/или Qriocity, мы предупреждаем, что номер банковского счета (кроме пароля) и дата истечения ее срока, вероятнее всего, были дискредитированы.
Вот на английском, а вот что пишут люди.
Несмотря на мою любовь к продукции Sony, других слов подобрать не могу - Мудаки!
Даже у такого гиганта полное захолустье и наколеночные решения в IT инфраструктуре. В принципе когда в свое время искал кому бы написать по поводу проблем понял что за PSN никто не отвечает - контактов никаких нет вообще.
Когда все толстые PS3 на день встали из-за проблем с вычислением високосного года моя вера в талант программеров Sony отвечающих засвятое прошивку PS3 содрагнулась. Когда они это никак не прокомментировали и тупо ждали когда рассосется само понял что им сказать-то нечего.
Потом взлом PS3, а теперь еще и PSN.
Поимели их по полной, как и нас, честных владельцев их консолей.
Но при всем при этом PS3 получилась очень удачной в качестве центра развлечений с обширными медиавозможностями, я доволен и менять ее на что-то не собираюсь (разве что на PS4).
Да и игрушки там позачетнее будут чем эксклюзивы у конкурентов.
Надеюсь что ситуация нормализуется и в Portal 2 по сети поиграть удастся. В любом случае у меня будет код на загрузку PC версии :)
upd: посмотрел пруфлинк который дал Anton Logvinov в своем посте. Я конечно плохо понимаю иностранные языки, но что-то мне подсказывает что речь идет о перехвате и расшифровке SSL трафика между PSN и PS3 с кастомными прошивками. Об этом предупреждали еще давно - если поставил кастомную прошивку с левыми x509 сертификатами (что бы пройти через левые прокси для обмана PS3 и PSN) велик риск слить приватную инфу тем кто поделился прошивочкой.
Судя по статье единственное что узнали хакеры - что и в каком виде ходит между PS3 и PSN. Да прикольно, но это на взлом PSN не похоже. С полноценными PS3 такой фокус не прокатит - SSL не дураки придумывали. Пока не сперли закрытые ключи от сертификатов Web-серверов PSN хрен ты встанешь между PSN и PS3 с родной прошивкой.
...anonymous PS3 hacker is claiming to have decrypted nearly 100% of the traffic transferred over proxies, http and https to and from the PSN...
Generally, the PS3′s connection to PSN is protected by SSL and the identity of the remote server is verified using a list of certificates stored on each PlayStation 3 console. The credit card and other sensitive information is sent over this SSL connection. But, according to hackers, CFW could easily subvert this system. However, he has just claimed and not demonstrated to compromise PSN.
Подробности тут: pastie.org/private/97oth9v5tspkiztwwdmnga
Даже если предположить что расшифровали трафик между PSN и чистыми PS3 - я в PSN не ходил давно :)
В любом случае карточку свою я заблочил на всякий случай.
upd2: похоже перцы просто напросто теперь знают протокол общения PS3 и PSN что открывает интересные возможности. Например, можно написать полноценного клиента PSN для PC и поменять данные о призах для какой-нить учетной записи. Возможно можно писать ботов для игр и читерить. Можно слить PSNовские игрушки принадлежащие челам которые засветили свой логин/пароль от PSN.
Но скорее всего это надо что бы обманывать PSN в будущем с кастомных прошивок.
Sony же положила PSN для обновления софта серверов с целью изменения протокола. Если так, то паниковать не стоит.
Кроме того, после обновления работу можно будет начинать заново т.к. собранная информация потеряет актуальность.
upd3: нашел номер телефона поддержки в России - 8-800-200-76-67
upd4: к сведению:
1) Согласно последним требованиям Визы для защиты данных платежной карты при передаче по сети необходимо и достаточно использовать SSLv3 (при условии что никто не слил ключи сервера). Просто взять и расшифровать SSLv3 трафик на прокси (о чем пишут хакеры) в обозримом будущем не реально - нужны "подсказки". Собственно механизмы заложенные в протокол это гарантируют при соблюдении примитивных мер безопасности на стороне клиента и сервера - тут не придраться.
2) Дополнительно шифруется только Track 2 с магнитной полосы при электронной авторизации карты (банкомат, POS-терминал). В случае Internet авторизации номер карты, срок годности и т.д. передаются в Визу без дополнительного шифрования (см. ISO8583). Поэтому Сони, как и остальные торговые организации вынуждены пропускать через себя (и даже хранить) платежные данные в открытом виде (завернутые, например, в SSL при передаче);
3) Сони успешно проходит тесты PCI DSS на регулярное основе, в противном случае никакая Виза не допустила бы их к своим картам и не дала бы добро на хранения платежных данных. Соответственно безопасность карточек достаточна, иначе появятся вопросы к сертифицирующим организациям.
Если что-то утекло, то только по причине того, что кто-то слил административные логины/пароли и т.п но взломом это не назовешь.
А это уже поганая политика безопасности в целом - доступ к секретной информации должны иметь только избранные.
К сожалению без адекватных комментариев Сони можно только гадать о произошедшем, но похоже они сами нифига не в теме. Отсюда и масса сплетен.
Номера кредиток скорее всего тоже.
Вот их официальное заявление на корявом русском:
На данный момент мы хотим сообщить, что предварительные предположения позволяют сформулировать утверждение, что неуполномоченные лица имели доступ к информации, предоставленной вами: имя, почтовый адрес (город, штат/провинция, почтовый индекс), страна проживания, адрес электронной почты, дату рождения, пароль PlayStation Network/Qriocity и вход в систему, а также название учетной записи PlayStation Network. Более того, доступ к платежной информации, сохраненной в рамках этой учетной записи, а также список покупки товаров и платежный адрес (город, штат/провинция, почтовый индекс), возможно, были также заслежены.
Более того, если Вы предоставили нам данные своих кредитных карт, зарегистрированных через PlayStation Network и/или Qriocity, мы предупреждаем, что номер банковского счета (кроме пароля) и дата истечения ее срока, вероятнее всего, были дискредитированы.
Вот на английском, а вот что пишут люди.
Несмотря на мою любовь к продукции Sony, других слов подобрать не могу - Мудаки!
Даже у такого гиганта полное захолустье и наколеночные решения в IT инфраструктуре. В принципе когда в свое время искал кому бы написать по поводу проблем понял что за PSN никто не отвечает - контактов никаких нет вообще.
Когда все толстые PS3 на день встали из-за проблем с вычислением високосного года моя вера в талант программеров Sony отвечающих за
Потом взлом PS3, а теперь еще и PSN.
Поимели их по полной, как и нас, честных владельцев их консолей.
Но при всем при этом PS3 получилась очень удачной в качестве центра развлечений с обширными медиавозможностями, я доволен и менять ее на что-то не собираюсь (разве что на PS4).
Да и игрушки там позачетнее будут чем эксклюзивы у конкурентов.
Надеюсь что ситуация нормализуется и в Portal 2 по сети поиграть удастся. В любом случае у меня будет код на загрузку PC версии :)
upd: посмотрел пруфлинк который дал Anton Logvinov в своем посте. Я конечно плохо понимаю иностранные языки, но что-то мне подсказывает что речь идет о перехвате и расшифровке SSL трафика между PSN и PS3 с кастомными прошивками. Об этом предупреждали еще давно - если поставил кастомную прошивку с левыми x509 сертификатами (что бы пройти через левые прокси для обмана PS3 и PSN) велик риск слить приватную инфу тем кто поделился прошивочкой.
Судя по статье единственное что узнали хакеры - что и в каком виде ходит между PS3 и PSN. Да прикольно, но это на взлом PSN не похоже. С полноценными PS3 такой фокус не прокатит - SSL не дураки придумывали. Пока не сперли закрытые ключи от сертификатов Web-серверов PSN хрен ты встанешь между PSN и PS3 с родной прошивкой.
...anonymous PS3 hacker is claiming to have decrypted nearly 100% of the traffic transferred over proxies, http and https to and from the PSN...
Generally, the PS3′s connection to PSN is protected by SSL and the identity of the remote server is verified using a list of certificates stored on each PlayStation 3 console. The credit card and other sensitive information is sent over this SSL connection. But, according to hackers, CFW could easily subvert this system. However, he has just claimed and not demonstrated to compromise PSN.
Подробности тут: pastie.org/private/97oth9v5tspkiztwwdmnga
Даже если предположить что расшифровали трафик между PSN и чистыми PS3 - я в PSN не ходил давно :)
В любом случае карточку свою я заблочил на всякий случай.
upd2: похоже перцы просто напросто теперь знают протокол общения PS3 и PSN что открывает интересные возможности. Например, можно написать полноценного клиента PSN для PC и поменять данные о призах для какой-нить учетной записи. Возможно можно писать ботов для игр и читерить. Можно слить PSNовские игрушки принадлежащие челам которые засветили свой логин/пароль от PSN.
Но скорее всего это надо что бы обманывать PSN в будущем с кастомных прошивок.
Sony же положила PSN для обновления софта серверов с целью изменения протокола. Если так, то паниковать не стоит.
Кроме того, после обновления работу можно будет начинать заново т.к. собранная информация потеряет актуальность.
upd3: нашел номер телефона поддержки в России - 8-800-200-76-67
upd4: к сведению:
1) Согласно последним требованиям Визы для защиты данных платежной карты при передаче по сети необходимо и достаточно использовать SSLv3 (при условии что никто не слил ключи сервера). Просто взять и расшифровать SSLv3 трафик на прокси (о чем пишут хакеры) в обозримом будущем не реально - нужны "подсказки". Собственно механизмы заложенные в протокол это гарантируют при соблюдении примитивных мер безопасности на стороне клиента и сервера - тут не придраться.
2) Дополнительно шифруется только Track 2 с магнитной полосы при электронной авторизации карты (банкомат, POS-терминал). В случае Internet авторизации номер карты, срок годности и т.д. передаются в Визу без дополнительного шифрования (см. ISO8583). Поэтому Сони, как и остальные торговые организации вынуждены пропускать через себя (и даже хранить) платежные данные в открытом виде (завернутые, например, в SSL при передаче);
3) Сони успешно проходит тесты PCI DSS на регулярное основе, в противном случае никакая Виза не допустила бы их к своим картам и не дала бы добро на хранения платежных данных. Соответственно безопасность карточек достаточна, иначе появятся вопросы к сертифицирующим организациям.
Если что-то утекло, то только по причине того, что кто-то слил административные логины/пароли и т.п но взломом это не назовешь.
А это уже поганая политика безопасности в целом - доступ к секретной информации должны иметь только избранные.
К сожалению без адекватных комментариев Сони можно только гадать о произошедшем, но похоже они сами нифига не в теме. Отсюда и масса сплетен.
