Playstation.com (Playstation Network) ist etwa drei Jahre nach dem letzten Hack wieder in Gefahr, von Cyberkriminellen übernommen zu werden. Der Datenschützer Aria Akhavan schickte dem Unternehmen vor mehr als zwei Wochen Details bezüglich einer brisanten Sicherheitslücke zu. Die Lücke besteht noch immer. Unter Ausnutzung des Bugs können Hacker vollen Zugriff auf die Server des PlayStation Netzwerkes und möglicherweise auf die Daten von mehr als 110 Millionen PSN-Kunden erhalten. Der letzte Vollzugriff von Cyberkriminellen erfolgte im Frühjahr 2011. Damals wurden möglicherweise sogar die Kreditkartendetails der Kunden entwendet.
Update: Mehrere Wochen später wurde die Lücke geschlossen.
Playstation.com ist Sonys Online-Community und Webshop für alle Geräte der PlayStation-Konsolenfamilie. Die häufig genutzte Webseite mit weit über 20 Millionen Seitenzugriffen monatlich könnte derzeit erneut gehackt werden. Bereits im Frühjahr 2011 wurden von Sony-Mitarbeitern unbefugte Zugriffe auf unzählige Nutzerdaten festgestellt. Unbekannte hatten sich Zugriff auf die Zugangsdaten, Namen und Anschriften der PSN-Kunden beschafft. Außerdem wurden dabei möglicherweise die Profilangaben inklusive der Rechnungsanschriften, ein Verzeichnis aller getätigten Käufe und die Sicherheitsfragen und Antworten für eine Wiederherstellung der Passwörter von den Servern kopiert. Sony konnte es zudem nicht ausschließen, dass sich die Hacker im April 2011 Zugriff auf die Kreditkartendetails besorgt haben.
Das Schreckensszenario könnte sich schon bald wiederholen. Nach Angaben des Wiener Datenschützers Aria Akhavan wäre es unter Ausnutzung einer brisanten Sicherheitslücke möglich, die Zugangsdaten des Administrators vom PlayStation Network zu erhalten. Die Existenz der Lücke wurde von anderen Datenschützern bereits bestätigt, Cyberkriminellen wäre somit erneut ein Vollzugriff auf die Webserver des japanischen Herstellers möglich. Die Beschaffenheit der Lücke darf vorerst nicht beschrieben werden, weil diese noch immer ausgenutzt werden kann.
Kontakt zu Sony: Sisyphos wäre neidisch auf uns
Bereits am Donnerstag, den 9. Oktober 2014 übermittelte Aria Akhavan die Details der von ihm entdeckten Lücke an die Pressestelle der US-Niederlassung von Sony. Er erhielt allerdings keine Antwort auf seine Anfrage. Die kritische Sicherheitslücke besteht weiterhin ohne jede Änderung. Leider gibt es auf den Webseiten des japanischen Herstellers keinen Ort, wo man Sicherheitslücken melden kann. Das ist auch der Grund, warum sich Akhavan an den Pressekontakt von Sony gewendet hat. Wir haben unser Glück ein paar Tage später versucht. Beim Versuch der Pressestelle eine Nachricht zu schicken, erhielten wir lediglich die Nachricht „There is some technical problem. Please try again later.“ Leider kam diese Fehlermeldung immer wieder.
Fehlende Zuständigkeiten und andere technische Probleme
Doch das war noch nicht alles. Die laut Sony.de zuständige PR- Agentur in Stuttgart reagierte zwar augenblicklich auf unsere E-Mail. Ein Vertreter des Stuttgarter Unternehmens schrieb uns aber, man sei nicht zuständig und verwies uns auf eine Medienagentur in München. Auf unsere E-Mail vom 15.10. an mehrere Mitarbeiter und die Kontaktanfrage bei Xing erhielten wir aus München keinerlei Antwort.
Am Folgetag riefen wir an. Uns wurde mitgeteilt, man habe das Problem zwischenzeitlich den Sony-Technikern in Großbritannien übermittelt. Die seien jetzt „dran“, hieß es am Telefon. Am Freitag, den 17. Oktober erfolgte ein weiterer Anruf – neue Erkenntnisse konnten aber noch nicht bekannt gegeben werden. Anfang der Woche danach kündigten wir per E-Mail an, die Sicherheitslücke am 23.10. hier bei den Sternstimmen bekannt geben zu wollen. Daraufhin wurde jegliche Kommunikation eingestellt. Offensichtlich wollte man sich von Dritten keinen Termin zur Schließung der Lücke geben lassen, was auch nicht geplant war. Da die erste Mitteilung aber bereits am 9.10. erfolgte, sollte das Sicherheitsproblem zeitnah gelöst werden, um die Daten der mittlerweile über 110 Millionen Nutzer zu schützen.
Playstation Network: „Wir sind jetzt dran.“
Das war übrigens nicht die erste Lücke, die der 19-jährige Aria Akhavan gemeldet hat. Kürzlich berichtete der MDR über einen Bug bei Trusted Shops. Auch dort erfolgte eine Reaktion erst nach der Anfrage des Redakteurs Michael Voß.
Da die Kommunikation eingestellt wurde, blieben uns zwei Alternativen. Entweder bis zum Sankt-Nimmerleins-Tag warten, oder den Beitrag veröffentlichen ohne die Lücke konkret beschreiben zu können. Ansonsten wäre der Artikel indirekt eine Anstiftung zu einer illegalen Handlung. Ich als Autor wäre somit indirekt verantwortlich für die Durchführung von Straftaten Dritter. Und natürlich zum Teil sogar verantwortlich für mögliche Schäden durch einen Hack, die sehr hoch ausfallen dürften. Nach einem Vollzugriff von Cyberkriminellen muss im Regelfall die Webseite sicherheitshalber für mehrere Tage komplett vom Netz genommen werden. Im schlimmsten Fall könnte neben den juristischen Konsequenzen der Rufschädigung auch eine deftige Schadenersatzforderung erfolgen. Auch wenn nichts dergleichen angekündigt wurde: Viel prekärer könnte sich die Situation für einen Journalisten kaum darstellen. Aufgrund der Hackerparagrafen ist deutschen Datenschützern schon das Prüfen der Absicherung einer Webseite verboten. Deswegen schalten immer mehr Personen bei der Kommunikation mit den Unternehmen Journalisten dazwischen, um sich selbst vor Strafen zu schützen.
„Ich melde keine Lücken mehr.“
Ein anderer Datenschützer aus NRW gab kürzlich bekannt, dass er grundsätzlich keine Lücken mehr meldet. Das habe dem Münsteraner im Laufe der letzten Jahre sehr viel Zeit gekostet. Dieses Verhalten wird nämlich von vielen Unternehmen als unerwünscht und „unliebsam“ angesehen. Dem Datenschützer war es vor einigen Jahren gelungen, ohne spezielles Fachwissen Zugang zu einem anderen Gaming-Netzwerk und den Konstruktionsplänen einer damals noch unveröffentlichten Spielkonsole zu erlangen. Was er dafür brauchte, war lediglich ein wenig Zeit und Google als Suchmaschine.
Die einzige Reaktion des betroffenen US-Konzerns bestand darin ihn dazu zu drängen, einen Vertrag zu unterschreiben, der ihn dazu verpflichten sollte, keinerlei Details über den Bug bekannt zu geben. Die Firma hatte es unterlassen, die eigenen Server in der Form umzustellen, dass man für den Zugriff einen Usernamen und Passwort benötigte. Die Suchergebnisse von Google hatten den Datenschützer aus dem Raum Münster dazu verleitet, einen Blick auf die externen Server zu werfen. Er sei damals halt jung gewesen und „da glaubt man eben noch, man würde eine gute Tat vollbringen, wenn man den Kontakt aufnimmt.“ Diesen „Fehler“ würde er jetzt nicht mehr machen. Anhand der dort hinterlegten Informationen wäre es leicht gewesen, das dortige Gaming-Netzwerk zu blockieren. Auch hätte die Konkurrenz und die Presse verfrüht Details über die neue Konsolenreihe erfahren können.
Was können die Kunden vom PlayStation Network tun?
Leider gar nichts. Die Absicherung der eigenen Webseite kann nur von Sony selbst vorgenommen werden. Die Kundendaten liegen auf den Servern von Sony, nicht auf der eigenen Festplatte. Die Nutzung der Online-Community und des Webshops unter Playstation.com können die Besitzer einer Playstation zudem nicht gänzlich vermeiden. Man darf gespannt sein, wie sich der Fall etwa dreieinhalb Jahre nach dem letzten großen Hack des PlayStation Networks entwickeln wird.
Bildquelle: Screenshots von Playstation.com. Hacker an der Tastatur von Zodman – (CC BY-SA 2.0)
Der Artikel erschien zeitgleich bei Tarnkappe.info und Stern.de.
2 Gedanken zu „Sonys Playstation Network könnte gehackt werden“