Si la semana pasada tambien decian que en Japon funcionaba y que en italia y francia podian logear y nada mas y al final todo mentira....
Sony explica cómo hackearon PlayStation Network
Sigue conociéndose nueva información sobre el ataque a PlayStation Network, después de que Sony llevase a cabo ayer una rueda de prensa pidiendo disculpas por lo sucedido y anunciando que en los próximos días volverán los servicios online de la plataforma.
Sony ha explicado cómo se llevó a cabo el ataque contra su plataforma. El ataque a la base de datos de clientes se realizó desde un servidor de aplicaciones conectado con ella, y que está tras un servidor web y dos cortafuegos o firewalls. Según los responsables de la compañía, el modo en que se realizó el hackeo "es un técnica muy sofisticada".
Los autores del ataque lo encubrieron como una compra en la plataforma online de Sony, por lo que los sistemas de seguridad no detectaron nada raro, y tras pasar del servidor web, lograron explotar una vulnerabilidad del servidor de aplicaciones para instalar software que más tarde fue usado para acceder al servidor de la base de datos, protegido por un tercer firewall.
La vulnerabilidad del servidor de aplicaciones donde se instaló el software para acceder a la base de datos era desconocida por Sony, que ya se ha apresurado a crear un puesto de jefe de seguridad de la información para supervisar la seguridad de los datos de ahora en adelante, además de haber rehecho la seguridad de la plataforma PlayStation Network para evitar que esto vuelva a pasar.
La compañía ha mostrado un diagrama esquematizando cómo ha sido el ataque.
#874 Si sera todo lo sofisticada que quieran, pero instalan software en esas maquinas, y en todos los sitios que he trabajado tengo al menos a 2-3 responsables preguntando que carajo es esa instalación, a quien se ha informado, y exigiendo la documentación asociada ...
A mi me parece mas una inyección normal de consultas contra la BBDD, ya que seguramente y como todo programador hijo de vecino con el tiempo justo, ha controlado muchas cosas pero esa que "solo se hace mediante nuestro programa" se le ha pasado.
SOE ha confirmado que tambien han birlado la informacion que tenian en sus cuentas de station (everquest, everquest 2, vanguard saga of heroes etc).
la compensación de los 30 días es de risa, no es que se haya caído el servidor por X razón (pudiera ser un fallo humano o lo que sea) no no, es que les han ROBADO NUESTRA información personal a 77 millones de usuarios que confían en que esto no pase.
Creía que se iban a portar, indignado me hayo.
#1 Passwords sin Encriptar , BRAVO! me hiva a comprar una ps3 pero alfinal.. va seh que noh!
#884 sí, sólo que seguramente serán una puta mierda y después de esos 30 días no podrás jugarlos más si no pagas por la suscripción esa
Las contraseñas sin encriptar me parece un error bastante grave, ya no solo pq si te las roban te metes en un lío de cojones, sino pq incluso desde dentro de Sony cualquier trabajador idiota te la puede liar.
Amen de q seguro q un % muy elevado de esos 77millones puedes acabar accediendo a sus cuentas bancarias con la información robada, ya q en muchos casos solo necesitas cuenta+pass o dni+pass o cualquier combinación de ellas y la gente es muy dada a usar la misma contraseña para casi todo.
Demasiado información susceptible de ser mal usada y toda ella sin encriptar, el agujero en la seguridad se puede entender, tener todos los datos en texto plano me parece subrealista y casi denunciable por la comunidad de usuarios.
#888 No estaban "sin encriptar"
Las tenían hasheadas, como en cualquier servicio web diseñado por un novato que lleva 2 días trabajando con php. Vamos, que se tienen que cargar el MD5 para poder usarlas.
Es que ya lo puse hace mil páginas. NADIE guarda contraseñas en texto plano. Hay que ser MUY MUY MUY novato para no hashearlas.
#890 El tema es que la tabla no estaba encriptada. Y MD5 tiene problemas de seguridad, teóricamente es posible producir colisiones.
Por si acaso he editado #1.
A ver si abren el hilo de ventas que estoy por darle viaje a la consola xD
Me parece ridículas las compensaciones si al final son como dicen
yo creo que tampoco es para taaaaaaaaaaaaanto.
que si, que no tengan nuestras cuentas encriptadas está como el culo y todo lo que querais y es una gran putada no poder jugar online todos estos días...
pero cuando restauren PSN, al mes todo olvidado, dudo mucho que alguien haya vendido su consola por esto y se haya cambiado a microsoft, puro lirili.
#881 hiva, buena esa. Y las contraseñas estaban encriptadas en MD5, que hoy por hoy es seguro e indesencriptable (que se sepa).
Pero vaya, que muy mal por parte de Sony por dejarse hackear.
#896 Si sabes que una cuenta concreta es jugosa y vale la pena...
A parte, a saber como estará la cosa. No se cuanto vale un ciclo de CPU en los servicios de cloud computing de Amazon, pero si estas dispuesto a gastarte la pasta...
Y cuando todo parecia calmarse... ZAS! http://www.elotrolado.net/hilo_nuevo-robo-masivo-de-datos-en-sony-online-entertainment_1611782
Flipante, de verdad xD
#898 diciendo que fue a medidados de Abril aprox el robo y que se han dado cuenta ahora, todo parece ser que en el ataque a PSN, tambien robaron esa informacion, ya que los muy paletos tendrian todas sus BBDD centralizadas...
Almenos es la conclusion que yo saco de todo esto...
#899 exacto. Pero me parece muy fuerte que viendo todo el percal se den cuenta ahora y no cuando empezo todo el tema de PSN... lo dicho, para flipar xD
PD: eso si, compensacion = 1 mes gratis yuhu!
