Mit einer tiefen Verbeugung haben sich Playstation-Chef Kaz Hirai und andere Sony-Manager in Tokio für den Diebstahl von Nutzerdaten aus dem Playstation Network entschuldigt. Das Unternehmen will den Anwendern Hilfe gegen Identitätsdiebstahl und mit Geschenken Wiedergutmachung leisten.
"Uns ist die Sicherheit der Informationen über unsere Kunden sehr wichtig und wir möchten den Kunden helfen, ihre persönlichen Daten zu schützen", sagte Kaz Hirai, Chef der Playstation-Sparte von Sony auf einer Pressekonferenz in Tokio. In der kommenden Woche sollen nach und nach die Dienste von PSN und Qriocity wiederhergestellt werden. Bei der ersten Anmeldung müssen die Benutzer dann ihr Passwort ändern. Dazu wird die Playstation 3 automatisch mit einer neuen Firmware versehen.
Der Account wird danach bei der Neuanmeldung mit der PS3 verknüpft, auf der er reaktiviert wird. Bei anderen Geräten, etwa für Qriocity, solle eine Bestätigung per E-Mail nötig sein, erklärte das Unternehmen. Es empfiehlt sich also, zunächst das Kennwort des Mailaccounts zu ändern, über den der eigene PSN-Account verwaltet wird - vor allem, falls die Kennwörter für diesen Account und das PSN identisch waren. Zusätzlich will Sony ein noch nicht genauer beschriebenes Programm zum Schutz gegen Identitätsdiebstahl starten. Die Gestaltung dieses Programm soll an die Bedingungen des jeweiligen Landes angepasst werden.
Das gilt auch für das Paket "Willkommen zurück", das einer Mitteilung von Sony zufolge lokal unterschiedlich gestaltet werden soll. Fest steht aber schon, dass alle PSN-Nutzer kostenlose Inhalte wie beispielsweise Spiele zum Download erhalten sollen. Darüber hinaus will Sony den Anwendern die Accounts für 30 Tage für die Dienste des Pakets "Premium Plus" freischalten. Wer dieses Paket bereits gebucht hat, soll eine 30-tägige kostenlose Mitgliedschaft erhalten.
Sony betonte, dass es nach wie vor keine konkreten Hinweise darauf gebe, dass auch die Daten von Kreditkarten aus dem PSN gestohlen wurden. Laut Kaz Hirai gab es rund zehn Millionen aktive Kreditkarten in den Datenbanken. Anwendern, denen durch einen Austausch der Kreditkarte Kosten entstehen, will Sony diese ersetzen. Es gebe bisher aber keinen Hinweis auf Betrügereien mit Kreditkartendaten aus dem PSN, erklärte das Unternehmen weiter. Die Ermittlungen führt das FBI.
In Zukunft will Sony sein Netzwerk besser schützen. Dazu werden unter anderem zusätzliche Firewalls eingerichtet und die Verschlüsselung von Daten verbessert. Das Unternehmen wurde seit Bekanntwerden des Angriffs heftig kritisiert, weil Benutzerdaten wie Name, Anschrift und PSN-Passwort unverschlüsselt gespeichert wurden.
Einbruch über Lücken im Anwendungsserver
Ansatzweise erklärte Sony auch, wie der Einbruch in das Playstation Network zustande kam. Die Angreifer sollen zunächst eine "Schwäche in einem Server für Webanwendungen" ausgenutzt haben. Dadurch gelang es ihnen, ein Programm auf dem Server auszuführen, das ihnen Zugriffe auf die Datenbanken erlaubte. Hacker hatten in IRC-Chats bereits im vergangenen Jahr kritisiert, dass Sony löchrige alte Versionen des Apache-Webservers einsetzte.
Es scheint sich also um eine geradezu klassische Einbruchsmethode zu handeln, bei der mittels eines trojanischen Pferdes Sicherheitsmechanismen Schritt für Schritt überwunden wurden. Sonys Grafiken aus der Pressekonferenz zeigen, dass es zwischen den verschiedenen Servern auch Firewalls gab. Sony bezeichnete den Angriff als "sehr ausgeklügelt und von einer geschickten Person" stammend, die dabei auch Maßnahmen zur Verschleierung der Aktionen ergriffen habe. Daher sei erst am 20. April festgestellt worden, dass es zwischen dem 17. und 19. April unberechtigte Zugriffe auf die Server gegeben hatte.
Update 03.05.
Tokio (dpa) - Jetzt könnten es schon 100 Millionen gehackte Kunden-Konten sein: Sony hat den Einbruch in einen weiteren Online-Dienst festgestellt. Bei der PC-Spieletochter Sony Online Entertainment könnte es auch um tausende Bankkonten-Informationen aus Deutschland gehen.
Der gigantische Datendiebstahl bei Sony weitet sich noch aus: Hacker klauten auch Informationen von bis zu 24,6 Millionen Kunden des Computerspiele-Dienstes. Unter den Datensätzen der Tochter Sony Online Entertainment könnten rund 12 700 Kreditkarten-Informationen und 10 700 Bankkonten-Daten von Nutzern auch aus Deutschland und Österreich sein, wie der Konzern am Dienstag (2. Mai) mitteilte. Diese stammten aus einer «veralteten» Datenbank von 2007, hieß es. Mit dem PC-Spieledienst wären insgesamt mehr als 100 Millionen Kundenkonten bei Sony bei der Hacker-Attacke geknackt worden.
Sony betonte, der Einbruch sei erst am Montag japanischer Zeit entdeckt worden, im Zuge der Ermittlungen zur Hacker-Attacke auf das PlayStation Network für Konsolenspieler sowie den Musik- und Videoservice Qriocity. Bei Sony Online Entertainment (SOE) seien die Unbekannten bereits am 16. und 17. April eingedrungen, also noch vor der Attacke auf das PlayStation-Netz und Qriocity vom 17. bis 19. April. Wie zuvor schon die beiden anderen Internet-Angebote wurde auch der Dienst von Sony Online Entertainment vom Netz genommen. Bei dem PC-Spieledienst können Nutzer gegeneinander im Netz antreten, etwa in einem Rollenspiel wie «EverQuest».