Home / Aktuelles & Termine / it.sec blog

Laut Presse und offiziellem Sony Blog wurden rund 77 Millionen Datensätze mit personenbezogenen Daten wie Name, Adresse, Geburtstag, Passworte(!), Sicherheitsantworten zum Passwort etc. kompromittiert, welche man im Rahmen der Anmeldung am PSN erhoben hat. Man fragt sich zunächst natürlich, ob wirklich alle Daten zum Mitspielen nötig waren.

Unabhängig davon bestätigt Sony, dass auf Kreditkartendaten zugegriffen werden konnte. Nach geraumer Zeit hat man aber nachgelegt und klar gestellt, dass diese verschlüsselt gewesen wären. Man darf sich allerdings schon fragen, ob man dieser Aussage glauben schenken darf. Immerhin schreibt der PCI-DSS Standard der Kreditkartenhersteller eine Verschlüsselung von Kreditkartennummern vor - und man wird irgendwie den Eindruck nicht los, dass man bei Sony durch eine Veränderung seiner Aussage dort im Nachhinein nichts anbrennen lassen will.

Der Eindruck wird dadurch verstärkt, dass zunächst auch behauptet wurde, die sogenannten CVCs (die dreistelligen Sicherheitscodes auf der Rückseite von Kreditkarten) seien nicht betroffen, da sie andernorts gespeichert wären. Mittlerweile hat man aber wohl erkannt, dass die CVC Nummern laut PCI-DSS in keinem Falle überhaupt gespeichert werden dürfen und beeilt sich nun zu behaupten, dass dies selbstverständlich der Fall sei.

All das sieht dann doch eher nach einer Schutzbehauptung aus haftungsrechtlicher Sicht aus, als nach glaubhaften Tatsachen, zumal offenbar mittlerweile lt. N-TV 2.2 Mio Datensätze aus dem Bestand inkl. Kreditkartennummern zum Kauf angeboten werden.

Immerhin ist davon auszugehen, dass das PCI Council einen unabhängigen Forensiker hinschicken wird und man wird sehen ...

Was tun?

Nachfolgend kurz die wichtigsten Tipps für Betroffene:

  • viele Menschen benutzen dieselben Accounts mit denselben Passworten auf verschiedenen Plattformen (ebay, Amazon, ...). Daher tut jeder Betroffene gut daran seine Passworte auf allen Plattformen zu ändern (und idealerweise überall andere zu nutzen)
  • Kreditkartenkonto und Bankkonto checken und unerklärbare Buchungen dem Kreditkartenunternehmen oder der ausgebenden Bank melden!
    Sollte bekannt werden, dass wirklich Kartennummern kompromittiert sind, werden die Kartenunternehmen normalerweise neue Kreditkarten mit neuen Nummern ausgeben und die alten Karten invalidieren!
  • Es ist damit zu rechnen, dass in nächster Zeit Spam oder Phishing Mails an die eMail Adressen von Betroffenen gesendet werden. Diese werden u.U. sehr vertrauenserweckend sein, kennt man ja die Nationalität, das Alter, Kreditkartenunternehmen etc.
    Es ist daher unbedingt darauf zu achten auf Anfragen hin keine persönlichen Angaben oder Passwörter preis zu geben. Sony wird derlei nicht erfragen.

Vorbeugen

  • Bei der Registrierung auf irgendwelchen Plattformen sollten man (im Rahmen des rechtlich vertretbaren) nur die wirklich wichtigen und nötigen Daten angeben, die der Anbieter tatsächlich benötigt. Ist es nicht möglich Felder leer zu lassen, kann man sich ja sicher schon mal vertippen.
  • Werden eMail Adressen gefordert, die für den eigentlichen Ablauf nicht nötig sind, kann es auch sinnvoll sein sich eine Spam-Adresse bei einem kostenfreien Provider zu sichern, die nur dazu dient unerwünschte Mails zu empfangen.
  • Lesen Sie die AGB und die Datenschutzbestimmungen! Stimmen Sie nicht zu, wenn Ihnen nicht gefällt was Sie lesen, oder wenn Sie die eigentlichen Text auch nach fünf klicks auf weitere Links noch nicht gefunden haben!
  • Wählen Sie Optionen ab, wie "ich will weitere Informationen erhalten", oder "ich bin einverstanden, dass meine Daten an Dritte weitergegeben werden, die mir wahnsinnig interessante Angebote machen werden".

An dieser Stelle wollen wir von Zeit zu Zeit unsere Web-Logs ("blogs") pflegen und unsere Meinung zu bestimmten Themen kundtun.

Die einzelnen Posts stellen jeweils die Meinung des Autors dar und nicht zwangsläufig jene der it.sec.

Mon Tue Wed Thu Fri Sat Sun
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31