Bienvenido(a), Visitante. Por favor, ingresa o regístrate.

Ingresar con nombre de usuario, contraseña y duración de la sesión
 

Autor Hilo: Sony preparándonos para lo peor (Leído 7747 veces)

doragasu

  • T-600
  • Mensajes: 2 314
  • Si no está roto, ¡yo lo arreglo!
    • Kernel Hacks
Tras 5 días de la PSNetwork caída, Sony confirma que están investigando el robo de datos personales de los usuarios, como por ejemplo datos de tarjetas de débito/crédito. A mí como usuario de PSNetwork ya me han dado por saco, porque si bien es cierto que los posibles cargos que me pueda hacer el chorizo los cubre el seguro de la tarjeta (o al menos hasta un límite), el mal trago en caso de que esto ocurra, no te lo quita nadie, por lo que ya me veo solicitando al banco una tarjeta nueva con numeración alternativa.

El mayor problema si uno no da la tarjeta de baja, es que estos datos a menudo son vendidos a terceros, con lo que puede llevar muchos meses el que empieces a ver \"cargos raros\" en tu tarjeta.

La cosa es muy seria, porque si esto le ha ocurrido a Sony, significa que le puede pasar a cualquiera. Yo hasta ahora pensaba que esos servicios eran fiables, pero a partir de ahora me tocará comprarme una cybertarjeta para este tipo de cosas :(.

Copio y pego un análisis que he leído en otro foro (siento no saber quién es el usuario que lo escribió inicialmente para referenciarlo):

Citar
Hola, aunque no es mi area especifica, me dedico a otra rama de la informatica, basicamente lo que puede estar sucediendo, si el daño ha sido catastrofico y eso parece, es:



1.- Detectaron la intrusion.

2.- Ante la gravedad, se desconecto el sistema

3.-Analizaron el posible alcance

4.-Una vez analizado, se consdero que la mejor opcion era re-hacerlo entero. (Este es el punto importante. Si alguien dispuso de tiempo y acceso ilimitado, no pueden estar seguros que no dejase nada por el sistema y analizar todo el sistema es mas complejo y requiere mucho mas tiempo que diseñar un sistema nuevo)

5.-Se diseña el nuevo sistema (papel y muchas reuniones)

6.-Se empieza a trabajar en la nueva estructura.

7.-Se analiza su comportamiento y estabilidad hasta que sea optimo y pase todos los test necesarios (os garantizo que son muchos)

8.-Se restaura la ultima copia de seguridad no corrupta de datos de los usuarios



Mientras estos pasos se dan, se analiza la intrusion, datos puesto en peligro y como accedieron, para poder implemetar mayor seguridad en el nuevo sistema.



De igual modo, mientras se hace todo esto, se analizan los bakcup existentes y se comprueba su integridad.



Como opcion, es posible que ante el daño causado y ya que el sistema se tenia que parar y re-hacer, se acompañe con otras medidas antifraude que ataje a los frim piratas existentes.



¿Tiempo? Mucho tiempo, esto no sucede de un dia para otro. Tener en cuenta que necesitaron meses antes del lanzamiento de la PS3 para poner todo sistema apunto y ahora van a contrareloj. Y aunque parte del sistema antiguo sea valido, otra parte no, hay que hacerla desde cero, asi que seran bastantes dias antes de poner en marcha de nuevo el sistema.



Pensar que si como usuarios es un fastidio no poder jugar online, como empresa SONY pierde millones cada dia que pasa con el sistema apagado (ventas en la store, desprestigio de marca, compensacion a las desarrolladoras por la no prestacion de servicio, etc) asi que ellos son los primeros interesados en que esto se resuelva lo antes posible, pero cuando suceden estas cosas, la seguridad prima por encima de cualquier otra consideracion.



Una vez visto o mejor dicho, una vez supuesto el alcance del problema ( mas que nada por que la informacion que nos dan es mas bien escueta) esto va para largo. Y mejor que sea asi. De nada serviria ir a la prisa y a la carrera y dejar de nuevo puertas abiertas a los intrusos. Dar por descontado que SONY va a intentar por todos los medios que esto no se repita y tardaran lo que tengan que tardar, el daño ya esta causado, asi que de perdidos...al rio.



Luego vendra el momento de las reclamaciones, denuncias, solicitud de compensaciones, etc, etc.

Deka Black

  • T-600
  • Mensajes: 9 661
Y este lo han dtectado. a saber enque casos habrá habido robos de este tipo y de deteccion nada.
A straight line may be the shortest distance between two points, but it is by no means the most interesting. - (Third Doctor in The Time Warrior)

Albert

  • Administrador
  • T-600
  • Mensajes: 3 540
Desde luego se están luciendo con este asunto, la verdad. La gente está bien calentita y no es para menos.



Psycho Fox

  • T-400
  • Mensajes: 524
  • Zorro viejo
Yo también ando con la mosca tras la oreja. Menos mal que empleo cybertarjeta y suelo meter la pasta casi justa antes de comprar algo, pero si la cosa se confirma la cancelaré por si acaso.

...Y vamos ya para una semana sin online. No quiero ni pensar lo cabreados que estarán quienes utilicen servicios de pago como el juego DC Universe Online (requiere una suscripción mensual). Están en su derecho de pedirle cuentas a Sony por interrupción prolongada del servicio.

Deka Black

  • T-600
  • Mensajes: 9 661
¿En su derecho? desde luego. otra cosa es que le shagan caso.
A straight line may be the shortest distance between two points, but it is by no means the most interesting. - (Third Doctor in The Time Warrior)

Psycho Fox

  • T-400
  • Mensajes: 524
  • Zorro viejo
Sí, como siempre luego habría que escudriñar como está la legislación para estos casos y cuales son los términos de las condiciones legales que aceptas cuando te conectas a la PSN (aunque éstos no tienen porque tener una base legal, es decir, en ocasiones las compañías ponen cosas en estos disclaimers para \"lavarse las manos\" que no se ajustan a las leyes vigentes).

En fin, veremos en qué queda todo esto. Hay teorías también de que el paro de la PSN podría deberse a un reciente custom firmware que permitiría el acceso a todo el contenido de la store. Pero todo son conjeturas, ya que en Sony no han concretado en que consiste el \"ataque externo\".

doragasu

  • T-600
  • Mensajes: 2 314
  • Si no está roto, ¡yo lo arreglo!
    • Kernel Hacks
A los que usan servicios de pago, como el citado DC Universe o los de Playstation Plus, sin duda deberían compensarlos. Microsoft cada vez que tienen alguna caída del Live tiene algún detalle. Por ejemplo la última caída que tuvo regaló juegos a los afectados. Sony sin embargo no se yo si esperar algo...

Deka Black

  • T-600
  • Mensajes: 9 661
Sea cual sea la empresa. por bueoque sea su historial en estos casos... Nunca esperes nada bueno. Los regalos son \"de consolacion\" o para que muchos se callen. Los que no hacen nada... peor aun.
A straight line may be the shortest distance between two points, but it is by no means the most interesting. - (Third Doctor in The Time Warrior)

Albert

  • Administrador
  • T-600
  • Mensajes: 3 540
Madre mía la que han liado. Sony acaba de confirmar que todos los datos pueden estar comprometidos...

¡Con dos cojones!



Deka Black

  • T-600
  • Mensajes: 9 661
¿Y tu crees que aun asi saldran perdiendo? no te hagas ilusiones.
A straight line may be the shortest distance between two points, but it is by no means the most interesting. - (Third Doctor in The Time Warrior)

Albert

  • Administrador
  • T-600
  • Mensajes: 3 540
Esto no es moco de pavo. Y no quiero que salgan perdiendo, créeme. El problema es que no sólo ellos pueden salir perdiendo con este asunto.

¡Lo único que os puedo decir ahora mismo, es que esto con mi Dreamcast no pasaba!



NekOkapi

  • T-500
  • Mensajes: 997
Se supone que las contraseñas se guardan encriptadas con algoritmos de una sola dirección. Es imposible pasar de una clave encriptada a una clave sin encriptar. Eso quiere decir que no tienen vuelta atrás. Metes tu clave, se encripta y se compara con la encriptada. Si son iguales, pasas.
De igual forma, las tarjetas de crédito, según normativa VISA/MASTERCARD no deben almacenarse en servidores que tengan acceso directo a internet. Y de guardarse en dichos servidores tienen que estar de nuevo encriptadas. De no ser así esas bases de datos son periodicamente auditadas.
Si SONY no ha encriptado las contraseñas con algoritmos unidireccionales y almacenado las tarjetas sin encriptar, desde luego tiene un CERO absoluto en su sistema de protección de datos.


el_vampiro_bronceado

  • Humano
  • Mensajes: 28
Estoy con Deka. Y lo que ha pasado ya que no hayan detectado. Y no hablo sólo por Sony ni por el ámbito del videojuego.

doragasu

  • T-600
  • Mensajes: 2 314
  • Si no está roto, ¡yo lo arreglo!
    • Kernel Hacks
Cita de: \"NekOkapi\" post=6222
Se supone que las contraseñas se guardan encriptadas con algoritmos de una sola dirección. Es imposible pasar de una clave encriptada a una clave sin encriptar. Eso quiere decir que no tienen vuelta atrás. Metes tu clave, se encripta y se compara con la encriptada. Si son iguales, pasas.
De igual forma, las tarjetas de crédito, según normativa VISA/MASTERCARD no deben almacenarse en servidores que tengan acceso directo a internet. Y de guardarse en dichos servidores tienen que estar de nuevo encriptadas. De no ser así esas bases de datos son periodicamente auditadas.
Si SONY no ha encriptado las contraseñas con algoritmos unidireccionales y almacenado las tarjetas sin encriptar, desde luego tiene un CERO absoluto en su sistema de protección de datos.


El método que comentas es el que usa por ejemplo Linux para guardar las contraseñas de usuario. No guarda la contraseña sino un \"hash\" de la misma.

Desde luego, esto sí que es un EPIC FAIL así en mayúsculas, y no lo del Team Overfl0w. Por lo que se deduce del comunicado oficial que por fin han publicado, no debían de guardar nada encriptado. Confirman que el hacker ha obtenido información privada como direcciones, nombres de usuario y contraseñas, IDs de PSN y que aunque hasta ahora no tienen ninguna prueba de ello, también podría haber accedido a los datos de tarjeta de crédito/débito (excluyendo el código de seguridad).

Después de esto, no se qué pensaréis vosotros, pero para mí la imagen de seguridad de Sony ha quedado por debajo del subsuelo. Si se confirma el acceso a los números de tarjeta, creo yo que será el FAIL más gordo de la reciente historia de Internet.

Walter Fulmer

  • T-70
  • Mensajes: 143
Cita de: \"Men_drugo\" post=6221
Esto no es moco de pavo. Y no quiero que salgan perdiendo, créeme. El problema es que no sólo ellos pueden salir perdiendo con este asunto.

¡Lo único que os puedo decir ahora mismo, es que esto con mi Dreamcast no pasaba!


Lo que pasaba con la Dreamcast es que se reseteaba xD