Zwischen dem 17. und 19. April hatten Hacker Zugriff auf persönliche Daten von PSN-Benutzern. 77 Millionen PSN-Besitzer sind von diesem Datendiebstahl betroffen.

Sonys Reaktion

Als Sofortmassnahme hat Sony sich korrekterweise dazu entschieden, das PSN sofort vom Internet zu trennen, um weiteren Schaden zu verhindern.

Eine Sicherheitsfirma wurde angestellt, um den Vorfall zu untersuchen, und forensische Daten zu sichern. Gleichzeitig hat Sony Schritte unternommen, um die Sicherheit des PSN-Infrastruktur zu verbessern.

Was bedeutet das für uns?

Sony ist weiter daran, den Vorfall zu untersuchen, aber bisher vermutet Sony, dass Hacker auf folgende Daten von PSN-Benutzern Zugriff hatten:

• Name
• Adresse (PLZ, Ort)
• Land
• Email-Adresse
• Geburtsdatum
• Die PSN-Login-Daten (inklusive Passwort)
• Die PSN-Online-ID
• Die Sicherheitsfrage und Antwort
• Allgemeine Profildaten wie eine Liste der gemachten Einkäufe
• Sony kann nicht ausschliessen, dass auch Kreditkartennummern und entsprechende Expiration Dates gestohlen wurden.

Die selben Daten wurden auch für Unter-Accounts gestohlen, falls ihr solche eingerichtet habt.

Wie sollen PSN-User reagieren?

Die gestohlenen Daten sind perfekt geeignet, um Identitäten zu klauen, oder um per Spearphishing PSN-Benutzer gezielt anzugreifen. Falls ihr Emails von Sony bekommt, welche euch dazu auffordern, irgendwelche persönlichen Daten an Sony zu schicken, beantwortet diese Mails nicht! Durch die gestohlenen Daten können sich die Hacker als Sony ausgeben und so womöglich versuchen, an weitere Daten zu kommen.

Das selbe gilt auch für Anrufe oder Briefe, die angeblich von Sony kommen oder generell legitim erscheinen, weil sie persönliche Daten von euch kennen. Beantwortet solche Anrufe oder Briefe nicht, falls ihr welche bekommt.

Falls ihr auf anderen Sites das selbe Passwort wie auf dem PSN verwendet, ändert eure Passwörter.

Sobald PSN wieder online ist, ändert euer Passwort und die Sicherheitsfrage auf PSN. Das zweite ist aktuell vermutlich noch nicht möglich, Sony wird diese Option wohl nachrüsten.

Falls ihr in eurer Sicherheitsfrage persönliche Infos verwendet habt (z.B. den Mädchenname eurer Mutter, oder den Namen eures Lieblings-Superhelden), verwendet diese Daten nicht mehr für andere Sicherheitsfragen.

Ausserdem solltet ihr von nun an besonders gut auf eure Kreditkartenabrechnungen schauen. Falls seltsame Bezahlungen darauf zu finden sind könnte es sein, dass ihr eure Kreditkartennummer sperren lassen müsst. Falls ihr gar kein Risiko eingehen möchtet könnt ihr das natürlich auch gleich direkt tun.

Kommentar

Ich denke, es ist müssig, sich zu Sonys Sicherheitssystem (oder Fehlen eines solchen Systems) zu äussern. Dass so etwas nie hätte passieren dürfen ist klar; dass Sony anscheinend Passwörter direkt in einer Datenbank speicherte ist unverständlich.

Sofort das System vom Netz zu nehmen war die absolut richtige Entscheidung. Dass jedoch eine Woche gewartet wurde, bis die Kunden darüber informiert wurden dass persönliche Daten und womöglich sogar Kreditkarteninfos geklaut wurden, ist kaum verständlich.

Und zuletzt: dieser Vorfall zeigt, wie absurd es ist, dass sogar gewisse Offline-Spiele ohne PSN-Zugang nicht gespielt werden können.

Ihr könnt Sonys ganzes Statement online lesen.

Update

Sony beantwortet einige oft gestellte Fragen. Unter anderem findet man da die Kontakt-Infos für Customer Support. Falls ihr Fragen an Sony habt könnt ihr die in der Schweiz direkt an die Nummer 0848 84 00 85 stellen.

In einem kurzen Update zum neuen Blog-Post schreibt Sony, dass man die Kunden nicht früher informiert hat, weil lange nicht klar war, auf welche Daten die Angreifer genau Zugriff hatten.

Update 2

Die Sicherheitsfirma Sophos rät ihren Kunden, mit PSN verwendete Kreditkarten sperren zu lassen:

Look at it this way: If I lost my credit card in the back of a taxi I would cancel my card. I wouldn't wait for a fraudster to sting it for cash. If Sony has lost your credit card details then it's worse as the credit card information is now being held digitally, right in the hands of people best placed to exploit it.

Update 3

Laut Ars Technica gehen erste Meldungen ein, dass mit Kreditkarten von PSN-Kunden nicht autorisierte Einkäufe gemacht wurden. Ob ein Zusammenhang mit dem Sony-Hack besteht ist noch unklar.

Update 4

Deutschprachige Infos von Sony findet ihr auf der blog.de.playstation.com-Site.

Update 5

Edge meldet, dass PSN innert einer Woche wieder online sein soll. Sony hat ebenfalls klargemacht, dass die Kreditkarten nur verschlüsselt gespeichert wurden. Da die Hacker aber anscheinend Zugriff auf diese verschlüsselten Informationen hatten, und da der Schlüssel zu den Daten im selben System gespeichert sein muss, besteht trotzdem die Gefahr dass die Kreditkarten in falsche Hände gelangt sind.

Ars Technica hat einen Artikel über die möglichen Folgen für Sony veröffentlicht.

Update 6

Nun beginnen die ersten Gerichtsfälle.