Vom 17. bis 19. April verschafften sich Hacker Zugriff auf das Playstation Network (PSN) und den Qriocity-Service und klauten bis zu 77 Mio. Kundendaten.
Fest steht, dass in dem Zeitraum vom 17. bis 19. April bis zu 77 Millionen Nutzerdaten entwendet worden sind, zudem könnten auch Kreditkarteninformationen in die Hände der Hacker gelangt sein. Sony schaltete, als Reaktion darauf, das Playstation Network (PSN) und den Qriocity-Service ab.
War der Angriff ein Racheakt?
George Hotz, ein amerikanischer Hacker, hatte im Januar 2011 den Sicherheitsmechanismus der Playstation 3 geknackt und den Rootkey in seinem Blog veröffentlicht. Der Rootkey ermöglicht den Zugriff auf das System und somit die Ausführung von selbst geschriebener Software. Sony reagierte mit einer Klage gegen ihn. Hotz musste daraufhin den Rootkey von seiner Website nehmen, all seine Festplatten abgeben und der Provider seiner Website wurde gezwungen, die IPs der Besucher herauszugeben, somit konnte jeder identifiziert werden, der ab Januar 2009 auf Hotz‘ Website war.
Durch diese Aktion riss Sony den Hass der Community auf sich. Die Mitglieder der Anonymus-Gruppe, die u.a. durch den Boykott von Scientology bekannt wurden, starteten Anfang April 2011 eine DDos-Attacke (Distributed Denial of Service-Attacke) auf die Server von Sony. Es wurden also so viele automatische Anfragen auf den Server gestartet, bis der die Anfragen nicht schnell genug bearbeiten konnte und somit unerreichbar wurde. Hotz selber rief nur zum Boykott von Sonyprodukten auf.
Am 26.04.2011 gab Sony in einer Pressemeldung bekannt, dass in der Zeit vom 17. bis 19. April ein unberechtigter Eingriff in das Netzwerk vorgenommen wurde. Entgegen vieler Vermutungen distanzierte sich die Anonymus-Gruppe in ihrem Blog von dem Eindringen. George Hotz stritt eine Beteiligung am Hack ab. Er veurteilt diese Aktion sogar.
Es stellt sich nun die Frage, ob dieser Angriff ein Racheakt war oder nicht. Denn laut einigen Berichten sind schon erste Datenmissbrauchsfälle (Verkauf der Kundendaten und Kreditkartenabbuchungen) bekannt, falls sich diese jedoch als falsch herausstellen, bleibt es für Sony bei einer riesigen PR-Katastrophe mit einem Schaden in Milliardenhöhe. Die PSN-Nutzer würden dann mit einem Schrecken davon kommen. Es kann also nur spekuliert werden, ob der Verkauf der Daten und der Missbrauch der Kreditkarten auch dem Rachemotiv zugeordnet werden können. Denn der Schaden für Sony wäre dann weitaus höher als bisher schon.
PSN-Nutzer sollten jetzt handeln
Folgende Daten wurden mit großer Sicherheit entwendet:
- Name
- Anschrift
- E-Mail Adresse
- Geburtsdatum
- PSN/Qriocity-Benutzername und Passwort
Trotzdem kann es weder bestätigt noch ausgeschlossen werden, dass Kreditkartennummern von dem Diebstahl betroffen sind, laut Sony wären die Kreditkartennummern auf anderen Servern gesichert und verschlüsselt gewesen.
Diese Maßnahmen sollten jetzt ergriffen werden:
- Die Nutzer, die ihre Passwörter vom PSN- und Qriocity-Service auch anderswo genutzt haben, sollten diese auf jeden Fall ändern. Für das PSN stellt Sony bald ein Update zur Verfügung, bei dem die Nutzer angewiesen sind, ihr Passwort zu ändern.
- Da Sony nicht garantieren kann, dass Kreditkartennummern von dem Diebstahl betroffen sind, sollte die Karte vorsorglich gesperrt werden. Es könnten (je nach Art der Karte) jedoch Gebühren dafür anfallen. Karten Sperr-Notruf: 116 116
Zudem sollten Nutzer auf Phishing-Nachrichten achten, bei dem die Hacker versuchen könnten, an weitere Daten zu kommen. Auch wenn diese E-Mails offiziell aussehen sollten, darf darauf nicht geantwortet werden. Sony würde andere Wege gehen, um einen Kunden zu kontaktieren.
Konsequenzen für Sony aus dem Vorfall
Guido Alt, Senior PR Manager von Sony Computer Entertainment Deutschland, sagt in einem Interview mit gamestar.de, dass die Sicherheitsstruktur hinter dem PSN komplett neu aufgesetzt werden würde. Zudem sei es momentan noch völlig unklar, zu welchem Zeitpunkt die Server wieder online gehen würden.