Sony entschuldigt sich und verschenkt Premium-Accounts (Up.)

"Uns ist die Sicherheit der Informationen über unsere Kunden sehr wichtig und wir möchten den Kunden helfen, ihre persönlichen Daten zu schützen", sagte Kaz Hirai, Chef der Playstation-Sparte von Sony auf einer Pressekonferenz in Tokio. In der kommenden Woche sollen nach und nach die Dienste von PSN und Qriocity wiederhergestellt werden. Bei der ersten Anmeldung müssen die Benutzer dann ihr Passwort ändern. Dazu wird die Playstation 3 automatisch mit einer neuen Firmware versehen.

Der Account wird danach bei der Neuanmeldung mit der PS3 verknüpft, auf der er reaktiviert wird. Bei anderen Geräten, etwa für Qriocity, solle eine Bestätigung per E-Mail nötig sein, erklärte das Unternehmen. Es empfiehlt sich also, zunächst das Kennwort des Mailaccounts zu ändern, über den der eigene PSN-Account verwaltet wird - vor allem, falls die Kennwörter für diesen Account und das PSN identisch waren. Zusätzlich will Sony ein noch nicht genauer beschriebenes Programm zum Schutz gegen Identitätsdiebstahl starten. Die Gestaltung dieses Programm soll an die Bedingungen des jeweiligen Landes angepasst werden.

Das gilt auch für das Paket "Willkommen zurück", das einer Mitteilung von Sony zufolge lokal unterschiedlich gestaltet werden soll. Fest steht aber schon, dass alle PSN-Nutzer kostenlose Inhalte wie beispielsweise Spiele zum Download erhalten sollen. Darüber hinaus will Sony den Anwendern die Accounts für 30 Tage für die Dienste des Pakets "Premium Plus" freischalten. Wer dieses Paket bereits gebucht hat, soll eine 30-tägige kostenlose Mitgliedschaft erhalten.

Sony betonte, dass es nach wie vor keine konkreten Hinweise darauf gebe, dass auch die Daten von Kreditkarten aus dem PSN gestohlen wurden. Laut Kaz Hirai gab es rund zehn Millionen aktive Kreditkarten in den Datenbanken. Anwendern, denen durch einen Austausch der Kreditkarte Kosten entstehen, will Sony diese ersetzen. Es gebe bisher aber keinen Hinweis auf Betrügereien mit Kreditkartendaten aus dem PSN, erklärte das Unternehmen weiter. Die Ermittlungen führt das FBI.

• 

Struktur des Angriffs laut Sony

In Zukunft will Sony sein Netzwerk besser schützen. Dazu werden unter anderem zusätzliche Firewalls eingerichtet und die Verschlüsselung von Daten verbessert. Das Unternehmen wurde seit Bekanntwerden des Angriffs heftig kritisiert, weil Benutzerdaten wie Name, Anschrift und PSN-Passwort unverschlüsselt gespeichert wurden.

Einbruch über Lücken im Anwendungsserver

Ansatzweise erklärte Sony auch, wie der Einbruch in das Playstation Network zustande kam. Die Angreifer sollen zunächst eine "Schwäche in einem Server für Webanwendungen" ausgenutzt haben. Dadurch gelang es ihnen, ein Programm auf dem Server auszuführen, das ihnen Zugriffe auf die Datenbanken erlaubte. Hacker hatten in IRC-Chats bereits im vergangenen Jahr kritisiert, dass Sony löchrige alte Versionen des Apache-Webservers einsetzte.

Es scheint sich also um eine geradezu klassische Einbruchsmethode zu handeln, bei der mittels eines trojanischen Pferdes Sicherheitsmechanismen Schritt für Schritt überwunden wurden. Sonys Grafiken aus der Pressekonferenz zeigen, dass es zwischen den verschiedenen Servern auch Firewalls gab. Sony bezeichnete den Angriff als "sehr ausgeklügelt und von einer geschickten Person" stammend, die dabei auch Maßnahmen zur Verschleierung der Aktionen ergriffen habe. Daher sei erst am 20. April festgestellt worden, dass es zwischen dem 17. und 19. April unberechtigte Zugriffe auf die Server gegeben hatte.

Nachtrag vom 2. Mai 2011, 11:00 Uhr

Der Artikel wurde um einen Mitschnitt der Pressekonferenz von Sony erweitert.