Image Image Image Image

Sony für PSN Datendiebstahl mit £250.000 in UK bestraft

Sony für PSN Datendiebstahl mit £250.000 in UK bestraft

Erinnert ihr euch noch an den April 2011? Die Stammdaten von millionen Nutzern wurden damals von Sony kompromittiert, Kreditkartendaten und persönliche Details fielen Hackern in einem Angriff auf das PSN in die Hände. Darunter waren die echten Namen der User, Anschriften, Mailadressen, Geburtsdaten, Zahlungsdaten und Accountpasswörter (die bekanntlich oft für andere Dienste wiederverwendet werden).

Es ist der allgemeine Konsens, dass ein Unternehmen mit so vielen sensiblen Kundendaten in einer Datenbank auch die Verpflichtung trägt, diese sicher zu halten. Auf der Insel werden solche Vertrauensbrüche besonders streng genommen, was letztlich zu einer stattlichen Strafsumme durch das ICO (Information Commissioner's Office) führte: 250.000 britische Pfund oder umgerechnet etwa 300.000 Euro darf Sony nun an Strafe zahlen. Die Summe wurde aufgrund der relativen Banalität des Hacks und den mangelhaften Sicherheitsvorkehrungen so hoch angesetzt.

Der Diebstahl der Daten dürfte für viele Betroffene definitive Risiken geborgen haben, die Kollegen bei TechCrunch zitieren David Smith (Deputy Commissioner und Direktor für Datenschutz) betrefflich des Vorfalls: Eingesetzte Sicherheitmaßnahmen seien einfach nicht sicher genug gewesen und hätten erhebliche Mängel aufgewiesen, Sony hätte sich darüber im Klaren sein sollen. Das Unternehmen hätte zweifelsohne Zugriff auf das technische Know-How und die nötigen Ressourcen gehabt, um die Kundendaten effektiv zu schützen.

Immerhin waren die CVC/CSC Ziffern der Kreditkarten von allen 77 Millionen Usern nicht von Sony gelagert worden, außerdem wurden sämtliche User nahezu unverzüglich informiert. Sony Computer Entertainment Europe (SCEA) äußerte sich gegenüber Engadget hinsichtlich der Entscheidung: Die Firma stimme dem Befund des Information Commissioner's Office zwar prinzipiell zu, sähe aber wenig Aktionspotenzial für kriminelle Machenschaften mit den Daten. Außerdem wolle SCEA einen Widerspruch (Appeal) einlegen.

Der Vorfall zeigt einen deutlichen Verstoß gegen mindestens der 8 Prinzipien des Data Protection Acts, der unter anderem eine sichere Lagerung von den Kundendaten vorschreibt. Positiv sehe David Smith die Auswirkungen dieser Affäre: 77 Prozent der Konsumenten einer Umfrage seien nun vorsichtiger mit ihren Stammdaten im Netz.

Die Jahre 2010 und 2011 waren insgesamt äußerst peinlich Jahr für Sony: nebst der Custom Firmware für die PS3 und diverse Exploits durch GeoHot (auch für seinen iPhone Jailbreak bekannt und fail0verflow's Demonstration auf dem CCC (Sony verwendete eine statische Zahl anstelle einer zufälligen Variable in ihrem Signing Algorithmus, was effektiv bedeutete, dass mit einfacher Mathematik der Master Key für die PS3 in Erfahrung gebracht werden konnte und eigener Code "offiziell" signiert wurde.), sowie dem Diebstahl von DLC-Inhalten mit einem Kreditkarten-Exploit (April 2011) gab es schließlich die große Attacke im April. Userdaten seien nicht verschlüsselt gewesen, Passwörter ebensowenig (stattdessen gehashed) und die Angriffsroute nutzte bekannte Lücken in einer Webapplikation.

Mittlerweile scheint das PSN wieder sicher zu sein und von den neuen Sicherheitsmaßnahmen zu profitieren. Was haltet ihr von dem Strafmaß? Ist der Betrag angemessen, wohin sollte das Geld fließen und wird der "Klaps" Sony überhaupt beeindrucken?

Eine detaillierte Zusammenfassung aller Sony-Fails mit zusätzlichen links findet ihr hier:
The Sony Summary


Übrigens: Wenn Du keine Neuigkeiten, Produkt-Tests oder Artikel von uns verpassen willst, dann folge uns am besten auf Facebook oder Twitter.



Hier kannst Du Deine Meinung loswerden:

  • berseker

    wie lachhaft die Summe

  • Tom

    Indeed, stell sich einer mal vor hier wäre ein Informatikstudent alleinverantwortlich, der säße wohl 20 Jahre im Knast. 😉



← Menü öffnen weblogit.net | Home