Hackere: Jo, vi har 2,2 mio. Playstation-brugeres kreditkort-oplysninger

Hackere påstår nu, at indbuddet i PlayStation Network også gav dem 2,2 millioner brugeres kreditkortoplysninger. Sony afviser påstanden blankt.

Flere sikkerhedseksperter siger nu, at diskussioner i flere hackerfora bekræfter mistanken om, at de hackere, der brød ind i Sonys PlayStation Network (PSN) i sidste uge, også slap af sted med brugernes kreditkortoplysninger. Det skriver Nick Bilton på bloggen NY Times Bits.

De opsnappede indlæg indikerer, at hackerne var i besiddelse af databaser, der inkluderede oplysninger om brugernes navne, adresser, brugernavne, kodeord og nu altså også kreditkortoplysningerne fra de 2,2 millioner PSN-brugere.

Læs også: Sony: Hackerne stjal alle brugernavne og adgangskoder

Sony har tidligere bekræftet, at hackerne fik fat i alle disse oplysninger ? på nær kreditkortoplysningerne, som Sony siger, at man endnu ikke har overblik over, om blev stjålet eller ej.

Sikkerhedsekspert Kevin Stevens fra Trend Micro udtaler, at også han har set indlæg fra hackere om Sonys databaser på forskellige fora, og at hackerne angiveligt håbede på at kunne sælge kreditkortoplysningerne for op imod 100.000 dollars.

Derudover skulle hackerne også have tilbudt Sony at købe oplysningerne tilbage. En påstand, som Sony imidlertid afviser.

»Så vidt jeg ved, så er der ingen sandhed i påstanden om, at Sony skulle have været blevet tilbudt at købe listen tilbage,« udtaler Patrick Seybold, der er chef for kommunikation og sociale medier i Sony.

Han pointerer, at Sonys database med kreditkortoplysningerne var krypteret, og at der endnu ikke ligger nogle håndfaste beviser for, at hackerne fik fat i de følsomme oplysninger. Omvendt kan Sony dog heller ikke udelukke muligheden.

»Sony siger, at kreditkortoplysningerne var krypterede, men vi kan læse, at hackerne angiveligt kom helt ind i hoveddatabasen, som ville have givet dem adgang til alt, inklusive kreditkortnumrene,« udtaler Mathew Solnik, der er sikkerhedskonsulent ved iSEC Partners.

Selv om flere sikkerhedseksperter har bekræftet snakken på de forskellige hackerfora, så har de ingen mulighed for at af- eller bekræfte, om brugerne rent faktisk taler sandt.

Men Methew Solnik udtaler, at hackerne i de pågældende fora havde kendskab til detaljer om de servere, som Sony bruger. Og det kunne indikere, at de rent faktisk har et direkte kendskab til angrebet, mener han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Andersen

Hjælp mig lige til at forstå, hvorfor det overhovedet er nødvendigt for Sony at opbevare folks kreditkortoplysninger? - Jeg er med på at PSN er et abonnement, men jeg forestillede mig egentlig at kreditkortsystemet muliggører sådanne abonnementer mellem en kunde og en leverandør, hvor kreditkortet kun er nødvendigt ifbm med tegningen af abonnementet?

  • 0
  • 0
#3 Gert Peter Brigsted

Det er jo heller ikke det eneste sted, hvor opbevaring af kortoplysninger finder sted. Et andet eksempel er Apple, hvor man kan købe musik og apps kun ved at angive koden til sit Apple-ID. Det er smart ikke at skulle hive sit kort frem hver gang, og indtaste alle oplysningerne hver gang man vil bruge 6/8/10 kroner. Samtidig fordrer det dog også, at virksomheden holder en streng sikkerhedspolitik omkring de data de opbevarer.

Jeg vil opfordre folk med PS3 til at holde et vågent øje med den konto der er tilknyttet deres kort, og eventuelt bestille nye kort ved deres bank.

  • 0
  • 0
#5 Peter Andersen

Jo, jeg er med på at det er fordi at man vil undgå at indtaste kortdata hver gang man små-shopper - men jeg forestillede mig bare, at der f.eks ved indgåelse af aftalen og indtastning af kortdata, blev genereret en slags "nøgle" af visa/whatever, som kun sony kunne bruge til træk af småbeløb - og som en hacker ikke vil ha' glæde af at stjæle overhovedet, også fordi at aftalen eller "nøglen" ugyldiggøres? Lidt alá en pbs aftale. Der er sikkert et smart ord for det princip.

At opbevare selve kortdata lyder da ikke specielt klogt. Gør danske netbutikker også det?

  • 0
  • 0
#6 Jesper Nielsen

Lidt alá en pbs aftale. Der er sikkert et smart ord for det princip.

Det er også sådan det fungerer i Danmark. Du skal have en tillægsaftale om abonnementsbetalinger til din indløsningsaftale. Så kan du hæve på kundens kort, som du lyster - uden at du selv som butik skal gemme kortdata, og dermed PCI-certificeres.

At opbevare selve kortdata lyder da ikke specielt klogt. Gør danske netbutikker også det?

Ikke ret mange.

  • 0
  • 0
#8 Henrik Mikael Kristensen

Idéen er at du kan lave en masse køb af spil og tilbehør til spil uden at hive kreditkortet frem hele tiden. Det er en del af forretningsmodellen at folk hurtigt kan bruge alle deres penge i små rater :)

Steam gør det også, men her kan man frit vælge om kortoplysningerne skal gemmes eller ej, når man er ved at indtaste dem.

  • 0
  • 0
#9 Robert Mygind

Hos en betalingsgateway tilbyder man løsninger hvor slutkunden indtaster kortnummer direkte i et vindue. Herefter gemmes kortdata sikkert hos udbyderen, fremaderette referes til et ID fra butikkens side når der skal trækkes penge på kundens kort.

Men i dette tilfælde vil jeg tro at Sony selv er det der hedder PCI DSS certificeret af VISA og Mastercard og derfor godt må opbevare kortdata selv, de er så underlagt nøjagtigt samme krav som der findes til en betalingsgateway.

På denne side findes herundover information om hvad en betalingsløsning er og hvilke led der findes i en betaling, det giver et ok overblik over kortdatas vej igennem systemet, selv om den er skrevet til et andet brug. (se billedet)

  • 0
  • 0
Log ind eller Opret konto for at kommentere