Kevään suuri PSN-katko (Status 9.6. Elämä normaalissa kuosissa)

[TT-2k]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Jää kuitenkin hämärään, onko tiedossa mitään varsinaista hyvitystä tietojen vuotamisesta - tämä kun ei sitä korvaa.

Kuukauden Plus-jäsenyyden lisäksi kukin alue tarjoaa jotain omaa latauskivaa.

Each territory will be offering selected PlayStation entertainment content for free download. Specific details of this content will be announced in each region soon.

Toki joku voi nillittää, että tässä hyvitetään vain PSN-katkoa, ei itse tietojen vuotamista.

 

[Joohanh]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Toki joku voi nillittää, että tässä hyvitetään vain PSN-katkoa, ei itse tietojen vuotamista.

Kuten juuri minä. Sinänsähän Sony hyvittää huomattavasti enemmänkin kuin MS aikoinaan noiden jouluhässäköidensä aikaan, mutta en katso, että tämä kuitenkaan tietojen vuotamista hyvittää. En toisaalta osaa sanoa, mikä hyvittäisi.

Disclaimer: henkilökohtaisesti en hyvityksiä tarvitse.

 

[Cassu21]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Kun nyt tässä mietin, mitkä salasanat on syytä vaihtaa, niin mistä näkee mitkä tiedot sinne PSN-palveluun on laitettu? Vaaditaanko esim. osoite- ja nimitietoja kirjautuessa PSN:ään, vai pyydetäänkö niitä vain luottokorttitietojen yhteydessä?

 

[TT-2k]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Kun nyt tässä mietin, mitkä salasanat on syytä vaihtaa, niin mistä näkee mitkä tiedot sinne PSN-palveluun on laitettu? Vaaditaanko esim. osoite- ja nimitietoja kirjautuessa PSN:ään, vai pyydetäänkö niitä vain luottokorttitietojen yhteydessä?

Nimi, osoite, sähköpostiosoite, syntymäaika, salaisen kysymyksen vastaus.

Tuolta tiedotustilaisuudesta selvisi myös se, että PSN-tunnuksien salasanoja EI OLTU säilytetty selkokielisinä, vaan yleisen käytännön mukaan ne oli hashattu.

Sony decided to correct an earlier statement, saying that PSN passwords were not encrypted but rather hashed.

Tarkempaa tietoa hashaustavasta ei annettu, eli huonolla tuurilla on käytetty jotain hyvin yksinkertaista ja helposti selvitettävää metodia, paremmalla tuurilla hashaus oli hoidettu reilun suolan kera, eikä alkuperäisen salasanan selvittäminen onnistukaan ihan kädenkäänteessä.

Update! Näemmä Hirai ihan suoraan sanoi, että hyvitykset ovat pelkästään PSN-katkosta. Tietojen vuotamisesta ei tule erillisiä hyvityksiä, ellei sitten tule ihan todistettavia luottokorttipetostapauksia. Ja nekin käsitellään tapauskohtaisesti, eli mitään kaikille annettavaa korvausta ei ole luvassa.

One asked about compensation for the personal data leakage, in terms of credit card charge refunds, free software and the like, and Kaz insisted that the gifts are not compensation for the leak -- Sony is not presently compensating customers for the data leak because it doesn't have any evidence of credit card fraud, and Kaz says if Sony gets such reports it will deal with them on a case-by-case basis.

Lähde: Engadget

 

[jryi]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Tarkempaa tietoa hashaustavasta ei annettu, eli huonolla tuurilla on käytetty jotain hyvin yksinkertaista ja helposti selvitettävää metodia, paremmalla tuurilla hashaus oli hoidettu reilun suolan kera, eikä alkuperäisen salasanan selvittäminen onnistukaan ihan kädenkäänteessä.

No, laskeskelin tuossa joutessani, että jos hashauksessa on käytetty kovasti vanhentunutta MD5-algoritmia, jolla ensin hashataan salasana ja sen jälkeen tuo tiiviste suolan kanssa uudestaan, ja salasana muodostuu kahdeksasta kirjaimesta (isoja ja pieniä sekaisin) ja numerosta, niin salasanataulun murtamiseen menee noin kolme viikkoa kotikoneen grafiikkakortin prosessorilla (tarvittavat laskennat onnistuvat erityisen hyvin juuri grafiikkapiireillä). Laskelmassa oletetaan, että hakkeri tietää myös käytetyn suolan, mutta sehän löytyy sekä PS3:n että PSP:n koodeista.

Todennäköisemmin on kuitenkin käytetty SHA1:tä, jolloin murtaminen muuttuu jokusta kertaluokkaa aikaavievemmäksi, mutta on edelleenkin täysin triviaalia.

Pointti on se, että jos tämän salasanataulun varastanut hakkeri tai kuka tahansa muu ko. tietoon käsiksi päässyt taho haluaa murtaa juuri sinun salasanasi, niin on vain ajan kysymys, koska riske realisoituu. Et voi tehdä enää muuta, kuin vaihtaa salasanasi kaikissa palveluissa, joissa olet käyttänyt samaa sähköposti-salasana-paria.

 

[Cobretti]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Tuolta tiedotustilaisuudesta selvisi myös se, että PSN-tunnuksien salasanoja EI OLTU säilytetty selkokielisinä, vaan yleisen käytännön mukaan ne oli hashattu.

Juu, tuo sanottiin aika selkästi kun joku asiasta vielä tarkentavaa kysymystä teki. Yritin siis livenä kuunnella tuota.

Eipä silti, että ymmärtäisin mikä "hashaus" on, mutta ainakaan eivät olleet täysin suojaamatta kuten (aika yleisesti) on spekuloitu.

 

[Joohanh]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Pointti on se, että jos tämän salasanataulun varastanut hakkeri tai kuka tahansa muu ko. tietoon käsiksi päässyt taho haluaa murtaa juuri sinun salasanasi, niin on vain ajan kysymys, koska riske realisoituu. Et voi tehdä enää muuta, kuin vaihtaa salasanasi kaikissa palveluissa, joissa olet käyttänyt samaa sähköposti-salasana-paria.

Toisaalta tämä tarkoittaa myös sitä, että tietokantaan käsiksi päässyt henkilö todella tahtoo nimenomaan oman salasanan, ja on valmis tekemään kuukauden duunia sen eteen. Minusta kyseessä on myös jokseenkin turvallisuutta (turvallisuudentunnetta?) lisäävä tekijä.

Mutta kaipa minäkin alan noita kohtapuoliin vaihtelemaan, ties mitä vihollisia sitä on tullut tehtyä internetissä seikkaillessa.

 

[Cobretti]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Et voi tehdä enää muuta, kuin vaihtaa salasanasi kaikissa palveluissa, joissa olet käyttänyt samaa sähköposti-salasana-paria.

Ihan vain mielenkiinnosta.. Onko se Sonyn (tai minkään muunkaan ns. ulkopuolisen tahon) vika jos käyttää yhtä salasanaa kaikissa palveluissa? Minusta se on oma vika jos saa nyt hammasta purren muuttaa salasanoja sen takia että on käyttänyt samaa kaikkialla. Kyllä nyt ainakin 2-3 erilaista pitäisi käyttää (esim. tyyliin yksi PSN, yksi Live, ja yksi Amazon+nettikaupat - tms).

(En väitä, että tätä tarkoitit - mutta kiinnosti vain mainita..)

 

[Pleieri]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Hieman myöhässä tulen tähän aiheeseen niin en kaikkea löydä täältä. Eli onko siis pelkästään PSN-id:n salasanat jne. vuotanut vai onko myös käytetyn sähköpostitilin esim. hotmailin salasana mahdollisesti vuotanut?

 

[Curvex]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Hieman myöhässä tulen tähän aiheeseen niin en kaikkea löydä täältä. Eli onko siis pelkästään PSN-id:n salasanat jne. vuotanut vai onko myös käytetyn sähköpostitilin esim. hotmailin salasana mahdollisesti vuotanut?

Mistäpä ne sen hotmailin salasanan olisi saanut? Niin, ei mistään, eihän hotmailin salasana liity mitenkään psn:ään, ellei se satu olemaan sama kun se psn:n salasana.

 

[Oliver]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Kun nyt tässä mietin, mitkä salasanat on syytä vaihtaa, niin mistä näkee mitkä tiedot sinne PSN-palveluun on laitettu? Vaaditaanko esim. osoite- ja nimitietoja kirjautuessa PSN:ään, vai pyydetäänkö niitä vain luottokorttitietojen yhteydessä?

PSN-kirjautumisessahan on käytössä sähköpostiosoite, jonka voit tarkistaa vaikka heti yrittämällä kirjautua PS3:lla verkkoon. Jos tuohon sähköpostiin on sama salasana kuin PSN-kirjautumisessa, niin se on syytä vaihtaa välittömästi.
Ja jos tuon sähköpostin @-merkkiä edeltävä osa (tai koko osoite) ja/tai "Gamertag" on käytössä muilla sivustoilla saman salasanan kanssa, niin kannattaa nekin vaihtaa.

Salasanoja on tosiaan muutenkin hyvä vaihtaa edes kerran vuodessa (juu, ei se itseltäkään aina onnistu...) ja käyttää numeroita sanan seassa vaikka tyyliin "k0ns0l1pel1".
Tuommoinen suomi/l33t-yhdistelmä tarpeeksi pitkän sanan kanssa (10-merkkiä tai yli) tuottaa yleensä aika turvallisen salasanan. Varsinkaan englantia ei kannata salasanoissa käyttää edes l33tin kanssa.

 

[Cobretti]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Hieman myöhässä tulen tähän aiheeseen niin en kaikkea löydä täältä. Eli onko siis pelkästään PSN-id:n salasanat jne. vuotanut vai onko myös käytetyn sähköpostitilin esim. hotmailin salasana mahdollisesti vuotanut?

Luonnollisesti kenenkään muun kuin sinun ei pitäisi tietää oman e-mailisi salasanaa. Mutta pointti on tietenkin se, että jos käytät samaa salasanaa SEKÄ e-mailin ETTÄ PS3:n kanssa (PSN), niin vaihda e-mailisi salasana.

...ja/tai "Gamertag" on käytössä..

Sori pilkun viilaaminen, mutta tarkoitat "PSN ID".

 

[Oliver]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Sori pilkun viilaaminen, mutta tarkoitat "PSN ID".

Mjoo, mutta "Gamertag" on MS:n paras keksintö sitten... öö... DOSin. (Ja juu juu, ei ne sitä(kään) keksinyt)

 

[jryi]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Toisaalta tämä tarkoittaa myös sitä, että tietokantaan käsiksi päässyt henkilö todella tahtoo nimenomaan oman salasanan, ja on valmis tekemään kuukauden duunia sen eteen. Minusta kyseessä on myös jokseenkin turvallisuutta (turvallisuudentunnetta?) lisäävä tekijä.

Tässä on kyllä sellainen varjopuoli, että tuollaisen järjestelmällisen brute force -hyökkäyksen seurauksena voi luoda ihan kattavan listan järjestelmässä käytetyistä salasanoista.

Jos käytettävissä on tarpeeksi paljon kovalevyn kulmaa, niin sille voi alkaa kerätä noita salasanoja. Käytännössä tämä on aivan älyttömän yksinkertaista. Kopioidaan vain se koodinpätkä, jolla Sonyn systeemeissä salasanat hashataan ja aletaan käydä läpi kaikki mahdolliset merkkijonot: aaaaaaaa, aaaaaaab, ...

Näistä luodut tiivisteet (mä käytän yleensä suomenkielisessä materiaalissa tuollaista käännöstä) isketään tietokantaan, ja lopputukoksena on kattava lista käytetyistä salasanoista ja niitä vastaavista tiivisteistä. Kun sitten halutaan jonkin tietyn tilin salasana, niin ei muuta kuin listalta haetaan käyttäjätunnus ja sen salasanatiiviste, sitten tuon tiivisteen perusteella poimitaan omasta tietokannasta sitä vastaava selkokielinen salasana. Helppoa kuin heinänteko.

Tämä ongelma ei ole mitenkään pelkästään PSN:ää koskeva. Vastaavassa muodossa olevat salasanataulut ovat ihan arkipäivää kaikissa unix-järjestelmissä ja vaikka KonsoliFIN-foorumin käyttäjätietokannassa. Siksi tuohon salasanatauluun käsiksi pääseminen täytyy tehdä mahdollisimman vaikeaksi, ja tässä kohtaa Sony epäonnistui pahasti.

 

[IronParasite]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Spoileri

The company will also rollout the PlayStation Network and Qriocity “Welcome Back” program, to be offered worldwide, which will be tailored to specific markets to provide our consumers with a selection of service options and premium content as an expression of the company’s appreciation for their patience, support and continued loyalty.

Central components of the "Welcome Back" programme will include:

Each territory will be offering selected PlayStation entertainment content for free download. Specific details of this content will be announced in each region soon.
All existing PlayStation Network customers will be provided with 30 days free membership in the PlayStation Plus premium service. Current members of PlayStation Plus will receive 30 days free service.

Vai että tälläinen kiitos tulossa psn-käyttäjien kärsivällisyydestä.

 

[spineshank]

Mitä tuohon kuukauden ilmaiseen PSN+-palveluun tulee, onhan se varmasti hyvää PR:ää Sonylle

Paitsi, että tapaus oli niin paskaa peeärrää sonylle, että se tulee vaikuttamaan vielä seuraavankin sukupolven myynteihin.
Tuosta kompensaatiosta. Hyödyttää itseäni ihan v'tun vähän sillä olen jo +-tilaaja ja aion pysyäkin sellaisena uuteen sukupolveen asti, joten itselleni tuosta ei ole mitään hyötyä.
Halvalla te myytte yksityisyytenne, kun noin vähään olette tyytyväisiä.
Parit vapaavalintaiset pelit/dlc:t olisi ollut parempi.

 

[Oliver]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Paitsi, että tapaus oli niin paskaa peeärrää sonylle, että se tulee vaikuttamaan vielä seuraavankin sukupolven myynteihin.

Tuskin tuota kukaan muistaa seuraavan sukupolven tullessa. Vai kuinka monen (itseni lisäksi ) uskot välttelevän seuraavan Xboxin ostoa nykyisen konsolin yli miljardin dollarin huoltorumbafiaskon vuoksi. "Y'know, things break"

 

[tlilja]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Paitsi, että tapaus oli niin paskaa peeärrää sonylle, että se tulee vaikuttamaan vielä seuraavankin sukupolven myynteihin.

Niin kauan kuin luottokorttitietoja ei ole lähtenyt kävelemään eikä valtaosa käyttäjistä joudu vaihtamaan lukemattomien palveluiden salasanoja, tätä tapahtumaa tuskin "peruskäyttäjä" muistaa muutaman kuukauden päästä. Jos omalle kohdalle ei mitään hallaa ilmene, tuskin itsekään muistan enää tätä tapahtumaa vuodenvaihteessa.

 

[Weldomite]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Siis ei nyt kannata luulla, että nämä jäivät ainoiksi hyökkäyksiksi Sonya ja PSN:n vastaan. Sony sai paikattua pari kriittistä aukkoa, mutta luultavasti siellä niitä riittää. Voihan olla, että sellainen ihmekin tapahtuu, että Sony saa kerralla kuntoon, mutta jotenkaan en sitä näin lyhyellä korjausajalla usko tapahtuneen. Tekivät ehkä sen vaikeammaksi toteuttaa, mutta eipä ole ensimmäinen kerta kun vastuksen lisääminen on tuonut voin lisää kokeilijoita apajille.

PR:n kannalta 3 japsin pyllistys riitti pelastamaan maineen, koska eihän kukaan voi olla vihainen tuon jälkeen. Vähän pyydellään anteeksi offline-tilannetta ja elämä jatkuu. Pelaajat möivät käyttäjä- ja luottokorttitietonsa kuukauden PSN+ ajasta ja dmg-control on täydellisesti onnistunut.

Kukaan ei tätä muista enää muutaman kuukauden jälkeen. Mutta entäpä jos se ei jää ainoaksi?

 

[hartzu]

Vastaus: Huhtikuun suuri PSN-katko (Status: ei toimi, PSN-käyttäjätietoja varastettu, vaihda salasan

Vähän pyydellään anteeksi offline-tilannetta ja elämä jatkuu. Pelaajat möivät käyttäjä- ja luottokorttitietonsa kuukauden PSN+ ajasta ja dmg-control on täydellisesti onnistunut.

Miten esim. Play.com tai Amazon hyvittivät tai anteeksipyytelivät? Ei tainnut kuulua mitään. Tai Apple luvatta suorittamaansa käyttäjien seurantaa?

Voitko täsmentää mitä itse toivoit Sonyn tässä tapauksessa tehneen jollei anteeksipyyntö ja hyvityksenä tarjotut palvelut kelpaa?