Aria Akhavan fand eine kritische Sicherheitslücke im PlayStation Network, die noch immer offen ist. Die Kontaktaufnahme gestaltete sich sehr kompliziert.
Etwa drei Jahre nach dem letzten Hack ist die Webseite Playstation.com (PlayStation Network) erneut in Gefahr. Sony blieb trotz einer Meldung durch Aria Akhavan rund zwei Wochen untätig, die kritische Sicherheitslücke ist weiterhin offen. Unsere Kontaktaufnahme gestaltete sich ebenfalls schwierig.
Ein Bug im Playstation Network
Bereits im Frühjahr 2011 wurde bekannt gegeben, dass Hacker illegalen Zugriff auf die Daten von rund 110 Millionen Nutzern erlangt haben. Der Zugriff umfasste die Namen und Passwörter für den Login, die Anschriften, möglicherweise Profilangaben, alle Käufe innerhalb des PlayStation-Netzwerks, die Sicherheitsfragen für die Wiederherstellung der Passwörter und vieles mehr. Sony-Techniker konnten nicht ausschließen, dass man sich ebenfalls im April 2011 Zugang zu den Kreditkartendetails der Kunden vom PSN-Network verschafft hat.
Im schlimmsten Fall könnte sich ein solcher Hack schon bald wiederholen. Aria Akhavan fand heraus, dass es bei playstation.com eine neue kritische Sicherheitslücke gibt. Unter Ausnutzung der Lücke kann man die Zugangsdaten des Administrators erlangen und Vollzugriff auf die Datenbanken erhalten. Details dazu können wir leider derzeit nicht veröffentlichen, weil der Bug noch immer funktioniert.
Kontaktaufnahme gestaltet sich schwierig
Aria Akhavan übermittelte die Details zur Lücke im Playstation Network bereits am 9. Oktober. Weil es dort (wie eigentlich nirgendwo) einen Ansprechpartner für IT Sicherheit gibt, schrieb er seine Nachricht an die Pressestelle von Sony USA. Einige Tage später erhielten wir beim Versuch eine Nachricht zu übermitteln ständig die Fehlermeldung „There is some technical problem. Please try again later.“ Daran hat sich über Tage nichts geändert.
Auch die bis heute bei sony.de angegebene Pressestelle für deutsche und österreichische Journalisten ist nicht aktuell. Ein Stuttgarter Unternehmen antwortete uns, eine PR-Agentur aus München sei jetzt für Sony zuständig. Als nach über 24 Stunden aus München keine Antwort auf unsere Anfrage per Xing und E-Mail eintraf, riefen wir am 16. Oktober dort an. Man habe die Angelegenheit an die Techniker der britischen Sony-Niederlassung geschickt, hieß es. Die Behebung der Lücke sei in Arbeit. Am 17.10. rief der süddeutsche PR-Mitarbeiter erneut an, neue Informationen waren aber keine verfügbar. Danach wurden wir nicht mehr informiert. Der Mitarbeiter in München hat auch die Kontaktdaten des Datenschützers, um eine direkte Kommunikation mit den Technikern zu ermöglichen. Doch auch Herr Akhavan hat seitdem nichts mehr gehört.
Ungeduld bestraft?
Am Montag der Folgewoche kündigte ich per E-Mail an, die Sicherheitslücke am 23. Oktober bei Stern.de und weiteren Medien bekannt geben zu wollen. Zu diesem Zeitpunkt hatten die Angeschriebenen noch vier Tage Zeit, um zu reagieren. Stattdessen erfolgte gar keine Reaktion mehr. München schweigt sich seit meiner Ankündigung aus. Offenbar wird unsere Ungeduld bestraft. Das PSN-Netzwerk ist eines der größten Gaming-Netzwerke überhaupt. Wenn weit über 110 Millionen Kundendaten betroffen sind, darf man dann nicht mal ungeduldig werden? Um mich und den Stern vor möglichen zivil- und strafrechtlichen Konsequenzen zu schützen, wurden alle Details zur Lücke aus dem Artikel entfernt. Dritte haben die Lücke kürzlich überprüft und mussten feststellen, dass man sie noch immer ausnutzen kann. Das war übrigens nicht der erste Bug, den der Datenschützer gemeldet hat.
„Ich melde keine Lücken mehr.“
Ein anderer Bekannter von mir, der im Raum Münster wohnt, schrieb mir kürzlich, dass er sich nicht mehr die Mühe mit der Unternehmenskommunikation macht. Da seine Hinweise grundsätzlich negativ aufgenommen wurden, hat er die Meldung von Sicherheitslücken komplett eingestellt. Nur durch die (wenn auch umfangreiche) Bedienung von Google gelang es ihm vor einigen Jahren, Zugang zu einem anderen Gaming-Netzwerk und den Konstruktionsplänen einer damals noch nicht veröffentlichten Spielkonsole zu erhalten. Der Hersteller aus den USA hatte seine Server schlichtweg nicht gegen Zugriffe von außen abgesichert. Als Reaktion erfolgte an den Google-Hacker kein Dankeschön, sondern nur ein bindender Vertrag, den er letztlich auch unterschrieben hat. Der Münsteraner musste sich dazu verpflichten, keine Details zur geplanten Hardware oder der Lücke in der Öffentlichkeit bekannt zu machen.
Er habe aus der Sache gelernt, schrieb er mir. Damals sei er jung und naiv gewesen und wollte einfach nur helfen. Diesen „Fehler“ würde er nicht mehr begehen. Andere Datenschützer haben leider ähnliche Erfahrungen gemacht. Das Melden von Lücken ist bei den meisten Unternehmen unerwünscht. Geholfen ist damit nur Cyberkriminellen, die derartige Lücken zum eigenen Vorteil ausnutzen.
Nun denn. Drei Tage nach Ablauf der Frist erscheint dieser Artikel. Man darf gespannt sein, wie sich der Fall etwa dreieinhalb Jahre nach dem letzten großen Hack entwickeln wird. Bleibt zu hoffen, dass künftig keine Daten in die falschen Hände geraten. Hoffentlich gibt Sony jetzt ein wenig Gas. Oder es könnte früher oder später etwas richtig Böses passieren…
Tarnkappe.info