Sony preparándonos para lo peor

[Psycho Fox]

Sony se lava las manos, remitiéndose a los términos y condiciones de PSN: “Excluimos toda responsabilidad por pérdida de datos o acceso no autorizado en las cuentas Sony online Network y el daño causado a su software o hardware como consecuencia de usar o tener acceso a Sony Online Network”.

Sí,pero como decía antes que en los disclaimers pueden poner lo que le de la gana, otra cosa es que se ajuste a la legalidad vigente, y de no ser así, el disclaimer no les exime de responsabilidades.

Además de las indemnizaciones que comentaba antes Doragasu, leo en una noticia que el coste de la auditoría de seguridad que están llevando a cabo podría estimarse en 24000 millones de dólares:

http://www.vg247.com/2011/04/27/data-security-research-firm-suggests-psn-breach-could-cost-sony-over-24-billion/

Económicamente va a quedar muy tocada y su imagen de marca también. No sé yo si saldrá tan campante de esto, Deka Black.

[Deka Black]

Por loque yo se la imagen de marca de Sony siempre ha estado tocada. En cuanto al dinero que se estan gastando en esto... Sony es mas que PS3. mucho mas. No sufriran tanto como debieran. Solo lo haran los usuarios.

[doragasu]

Por loque yo se la imagen de marca de Sony siempre ha estado tocada. En cuanto al dinero que se estan gastando en esto... Sony es mas que PS3. mucho mas. No sufriran tanto como debieran. Solo lo haran los usuarios.

Corregidme si me equivoco, pero la división SCE de Sony es la parte que más factura de la compañía. Yo no creo que esto les haga dejar de vender consolas, porque cuando salga la NGP con su Uncharted y compañía, seguro que más de uno (entre los que me incluyo) vamos corriendo a por ella por muy cabreados que estemos ahora, pero las cosas como son, dudo muchísimo que vuelva a darles mi número de tarjeta a estos tipos. Y si no fuera por que ya lo tienen, es que no les daba ni mi nombre real ni mi dirección.

Lo que también tengo claro es que esta generación se están cubriendo de gloria de cara a su actitud con los usuarios:

1.- Te quitan el Linux por la cara.
2.- Te quitan soporte de mandos USB no oficiales (adiós a mi Arcade Stick y a jugar a 4 al Virtua Tennis con mandos de PS1+adaptador USB) por la cara.
3.- Te dicen en sus términos y condiciones de contrato, que por mucho que la hayas pagado, la PS3 que tienes en tu casas SIGUE SIENDO SUYA (véase detalles del asunto con eGoHot).
4.- Y ahora para rematar, esto.

Y eso por no hablar de escándalos pasados, como las denuncias a aquél tipo por reprogramar su Aibo, o los rootkits que te colaban en sus discos de música sin ni tan siquiera avisarte.

[pocket_lucho]

No olvides cuando quitaron la retrocompatibilidad o cuando dijeron que la nueva generación empezaría sólo cuando ellos los dijeran...

[doragasu]

Acaba de llegarme este correo, avisando del tema (a buenas horas, anda que no hace que cancelé mi tarjeta):

Estimado cliente de PlayStation Network/Qriocity:

Hemos descubierto que entre el 17 de Abril y el 19 de Abril de 2011, determinada información de usuarios de PlayStation Network y Qriocity fue puesta en compromiso en conexión con una intrusión ilegal no autorizada en nuestro sistema. Como resultado, las medidas que hemos tomado hasta la fecha son las siguientes:

1)    Temporalmente cerrado los servicios de PlayStation Network y Qriocity.

2)    Puesto en contacto con una agencia de seguridad externa de prestigio para conducir una investigación exhaustiva de lo ocurrido; y

3)    Rápidamente tomar las medidas necesarias para fortalecer nuestra infraestructura en red, y reconstruir el sistema ofreciendo una mayor protección de vuestra información personal.

Realmente apreciamos y agradecemos vuestra paciencia, y estamos trabajando muy duro y haciendo todo lo necesario para resolver este problema de una forma rápida y eficiente lo antes posible.

A pesar de estar todavía investigando los detalles de este incidente, creemos que personas no autorizadas han podido obtener vuestra información personal: nombre, dirección (ciudad, provincia, código postal), país, dirección  de correo electrónico, fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network/ Qriocity, y PSN ID.  Es también posible que vuestros datos de perfil así como historial de compra, y dirección de cobro hayan sido obtenidos. Si habéis autorizado una subcuenta asociada a vuestra cuenta principal a otra persona, la misma información de esta persona ha podido ser obtenida. A pesar de no haber evidencia de que los datos de tarjeta de crédito hayan sido obtenidos no podemos negar esta posibilidad. Si has facilitado tus datos de tarjetas de crédito a través de PlayStation Network o Qriocity, debemos contemplar por motivos de seguridad,  la posibilidad de que el número de la tarjeta de crédito (no incluyendo el código de seguridad), y la fecha de expiración de la misma hayan sido también obtenidos.

Por vuestra seguridad, os recomendamos que seáis extremadamente cuidadosos con estafas vía email, correo, o teléfono preguntando cualquier tipo de información personal sensible. Sony nunca se pondría en contacto con vosotros de ninguna manera, incluyendo correo electrónico, preguntando por vuestro número de tarjeta de crédito, número de la seguridad social, identificación de impuestos o cualquier otro tipo de información personal de identidad. Si alguien se pone en contacto preguntando por este tipo de información, os aseguramos que Sony no es la entidad que requiere esta información. Adicionalmente, si usas el mismo nombre y contraseña que los usados para PlayStation Network o Qriocity  para otros servicios o cuentas no relacionados con Sony, recomendamos que también sean modificados.

Para evitar un posible robo de identidad o perdida financiera, recomendamos revisar regularmente el saldo y movimientos realizados en vuestras cuentas corrientes.
Os agradecemos vuestra paciencia hasta haber completado la investigación de este incidente, y sentimos mucho las posibles molestias ocasionadas. Nuestros equipos están trabajando sin descanso, y nuestros servicios serán restablecidos lo antes posible. Sony se toma la protección de la información muy en serio y continuará trabajando para asegurarse de que medidas adicionales son tomadas para proteger dicha información. Proveer un servicio de entretenimiento seguro y de calidad para nuestros consumidores es nuestra prioridad principal.

Para mayor información contáctenos en es.playstation.com/psnoutage.

Sinceramente,
Sony Network Entertainment and Sony Computer Entertainment Teams

Sony Network Entertainment  Europe Ltd (anteriormente conocida como  PlayStation Network Europe Ltd) es subsidiaria de Sony Computer Entertainment Ltd administradora de datos para PlayStation Network/Qriocity información personal.

Seguiremos informando.

[Deka Black]

Huy, que \"rapidos\" en \"avisar\".

[Albert]

La cosa es bien seria.

La lista de unos 4000 usuarios que está circulando por ahí es verídica. Aunque todos estén diciendo que no lo es porque las claves no coincidan, hay muchas que sí lo hacen con sus direcciones de correo electrónico (seguro que todos conocemos gente que usa las mismas claves para todo).

El caso es que ya son varias las personas que han podido comprobar que todas estas personas tienen el mail de PSN. Y los apodos también coinciden.

Quién tacha a esta lista (y las que van a ir apareciendo) de falsa por estar circulando desde mediados de enero, debería darse cuenta de lo que esto supone. El tema se remonta bastante atrás.

El tema es muy serio señores.

[Deka Black]

La cuestion esel daño que ha hecho alos encargados de seguridad de datos de otras compañias. Quiero decir, los que hacen bien su trabajo. Algino habrá, digo yo-

[doragasu]

Además de esa lista de 4000 personas (que no he visto y por tanto no se hasta dónde es verídica), también hay rumores de que en foros underground se está vendiendo una lista al mejor postor con todos los datos privados ADEMÁS de los datos de TARJETA incluyendo el código CVV2.

Por cierto, Sony ha confirmado que los datos de usuario salvo los de tarjeta, se guardaban SIN CIFRAR, en texto plano. Y conociendo lo bien que se les dan los números aleatorios para el cifrado, no me extrañaría que los números de tarjeta haya costado poco desencriptarlos.

[NekOkapi]

Ya veréis la cara de poker que se le va a quedar a de la recepción del Hotel Palace de Tokio cuando le llegue una carta para Mr. Okapi. xD

[Deka Black]

¿¿¿???

[NekOkapi]

Jo, si te lo explico pierde su gracia pero en fin.

Además de esa lista de 4000 personas (que no he visto y por tanto no se hasta dónde es verídica), también hay rumores de que en foros underground se está vendiendo una lista al mejor postor con todos los datos privados ADEMÁS de los datos de TARJETA incluyendo el código CVV2.

A ver. Las direcciones reales de los usuarios Calle, pais... no vale para nada, primero porque es un volumen inmanejable con una dispersión geográfica inviable para ninguna compañía cuyo único punto común es que te gustan los videojuegos y segundo porque la mitad de los datos son falsos, mi cuenta de la PSN japonesa me pedía una dirección y dí la del Hotel (no se si Emperator, Palace de Tokio) y a correr. El otro dato que si puede interesar son las direcciones de correo, pero ya existen empresas que te los venden y de forma legal.

Lo único que preocupa son las tarjetas de crédito pero esas según afirman están encriptadas.

[doragasu]

Sin duda lo que más importa son los datos de tarjeta, pero discrepo en que es \"lo único que preocupa\". Claro, siempre y cuando hablemos de datos reales, y no los datos que tú y yo hemos dado para crearnos nuestras cuentas japonesa y americana.

Un dato muy importante que no estaba cifrado es la contraseña de usuario. Muchos usuarios usan la misma contraseña para todo, con lo que ya pueden meterse en el correo electrónico de esos usuarios (si aún no han cambiado la contraseña y las preguntas secretas) y ahí buscar datos. Hay mucha gente incauta por ahí que dentro de su correo puede dejar información valiosa, nunca se sabe.

Y el resto de datos unidos a la posesión del correo de la víctima, son capaces para conseguir otro tipo de información utilizando ingeniería social. Si yo soy por ejemplo Amazon y te mando un correo para que pinches en un enlace y vuelvas a poner tu tarjeta, pues no picarás. Si en ese mismo correo pongo datos personales completos y tu historial de compras (que también tienen), pues seguramente tampoco piques, pero igual ya te entra alguna duda, y mucha gente seguro que pica.

También puede usarse el correo de la víctima para pedir dinero a familiares/conocidos, y cosas así. Los hackers de verdad como Kevin Mitnick no son como los que pintan en las pelis. Los reales tiran mucho de Ingeniería Social, y para esto es muy importante tener este tipo de información.

[Deka Black]

Vamos, que e suna jodienda bien grande. Y... NekOkapi, perderla no la ha perdido, te lo aseguro.

[Psycho Fox]

Para los fasebonuseros que tengan PS3, a estas horas ya se puede iniciar sesión en la Playstation Network.

Hay que actualizar la consola a la nueva versión de firmware, y al iniciar sesión te pide que cambies la contraseña.

Yo no he tenido problemas en realizar estos pasos. Todo parece estar en su sitio, menos mal.