Level 1
Er is natuurlijk helemaal geen garantie dat het account niet is getroffen als het password niet is gewijzigd? Of zijn er duidelijk aanwijzingen dat er alleen een password-reset script is misbruikt oid? Een "breach" is vanuit de ogen van de indringers immers zoveel effectiever als deze niet opvalt, dus als dat niet zeker is had daar misschien beter het aanvullende advies kunnen staan "Verander direct je wachtwoord als je bent ingelogd." Maar toen ik vervolgens de melding onderaan het bericht zag begonnen bij mij een paar alarmbelletjes te rammelen:
We hebben onderzocht in hoeverre er wachtwoorden door onbevoegden konden zijn gewijzigd voordat deze maatregelen waren getroffen en we nemen rechtstreeks contact op met de klanten die mogelijk door dit incident zijn getroffen. Om te controleren of je account intact is, raden we jou als PLAYSTATION®Network-gebruiker aan om je bij de service aan te melden. Als dat met je gewone wachtwoord lukt, is je account niet door dit incident getroffen.
Vooral omdat het bericht eerder meldt dat "we nemen rechtstreeks contact op met de klanten die mogelijk door dit incident zijn getroffen" -- had dit bericht niet daarna moeten komen met de melding "de klanten die mogelijk door dit incident zijn getroffen is reeds contact mee opgenomen"? Er is nu een situatie gecreerd waarin het aannemelijk is dat zogenaamde scammers hierop in gaan springen en uit naam van PSN een zootje emails uitsturen in de hoop dat mensen hun link gaan volgen naar een obscure URL waar de PSN store login is nagebouwd? Inderdaad, geen zorgen over de credit-card gegevens (hoewel "gegarandeerd niet" toch hoopvoller over zou komen dan "zeer onwaarchijnlijk"), maar wel NAW gegevens waar even "geshopped" kan worden voor een PS3... En niet te vergeten de extra PS3's en PSP's waarop content kan worden geactiveerd ten koste van de "echte" eigenaar... Nu zijn deze situaties helaas inherent aan het internet en is voor (en voornamelijk juist door) de gemiddelde gebruiker toch eerder een nadeel gebonden aan de integriteit van het PSN en via een webbrowser toegang toe te staan, dan een voordeel. Een veiligheidsgat in een emailclient, een browser of een browser-plugin gooit het mogelijk wijd open, er draaien helaas geen Hypervisors op de PCs van de mensen thuis....
Denk eraan: plaats nooit je aanmeldingsgegevens of wachtwoorden in een e-mailbericht.
Ik hoop in ieder geval dat er technisch niets aan de hand is en het "slechts" een paar gebruikers zijn die zonder nadenken een link in een email hebben gevolgd... Volgens mij zal het tegenvallen hoeveel van dit soort mensen een computer hebben. :-)
OK dat waren gewoon ff wat gedachten hardop over dingen waar ik eerder nog niet bij stilgestaan had, die ik, zeker met het oog op de toekomstige koppeling, toch ff kwijt wilde...
Level 1
En daar gaan we dan.... de Buzz website die net is opgetuigd is zo lek als een mandje.. [ http://community.eu.playstation.com/playstationeu/
Natuurlijk is die nog in ontwikkeling, maar het laat maar weer zien dat het systeem zo sterk is als 'de zwakste schakel' -- de schakel hier zijnde een niet-dichtgetimmered website waar javascript geladen kan worden in de context van in ingelogde, geautheniceerde gebruiker.
Cross-site-scripting, anyone??
 |
Welcome to the Grand Theft Auto Forum! For the latest news and updates on what is happening in the PlayStation community, head over to our Announcements & Events forum. To post a message, you will need to Sign In to the Forums using your PLAYSTATION®Network Sign In ID and password. If you do not yet have a PSN account, just click here to register. |
 |
Website ©2013 Sony Computer Entertainment Europe
Alle inhoud, speltitels, handelsnamen en/of handelsimago's, handelsmerken, illustraties en aanverwante beelden zijn de handelmerken en/of het auteursrechtelijk materiaal van hun respectievelijke eigenaars. Alle rechten zijn voorbehouden.[meer info]
