Das System zum Zurücksetzen der Passwörter eures "Playstation Network"-Accounts ist unsicher, wie die US-Seite Nyleveia.com berichtet. Angreifer benötigen nur die "E-Mail"-Adresse und das Geburtsdatum eines Users um fremde Accounts über Passwort-Zurücksetzungsverfahren auf PlayStation.com und andere Sony-Pages zu übernehmen. Sony hat bereits mit der Abschaltung betrefflicher Websites reagiert, auch wenn die wahren Gründe dahinter mal wieder erst über Dritte an die Öffentlichkeit getragen werden mussten.

Der US-Seite Nyleveia.com wurden die Infos über die Sicherheitslücke in Sonys Password-Reset-System zugespielt, kurz vorher schickten die Japaner das PSN und verschiedene damit verbundene Websites in den Wartungsmodus - angeblich aus organisatorischen Gründen. Schon in Sonys Stellungnahme bezüglich dieser "Wartungsarbeiten" kam das "E-Mail"-System zur Zurücksetzung der Userpasswörter zwar zur Sprache, von schwerwiegenden Exploits war da aber noch nicht die Rede.

Um den Exploit auszunutzen benötigen die Angreifer nur zwei Informationen über einen Account, die sie sich über Solziale Netzwerke sehr leicht beschaffen können: Verwendete "E-Mail"-Adressen und Geburtsdaten.

Das reicht aus um das Passwort zu ändern und damit den fremden Account zu übernehmen. Der Besitzer des Accounts erhält eine lapidare Email von Sony, die ihn über die Passwortänderung informiert.

Der Betreiber von Nylevia.com hat Sony bereits über diese Sicherheitslücke informiert und empfiehlt als Notlösung folgendes:

• "Ich würde vorschlagen, dass ihr nun eure Konten sichert, indem ihr eine völlig neue E-Mail-Adresse erstellt, die ihr nirgendwo anders benutzt und diese für euren PSN-Account verwendet."

Bisher wurden von Sony nur die Webseiten abgeschaltet, auf denen man sich mit seinem PSN-Account einloggen konnte. Das PlayStation Network auf den Konsolen ist mittlerweile wieder aktiv und kann zum Spielen genutzt werden.

[NeoGAF]

[Eurogamer]

Eigentlich hatte Sony die Sicherheits-Technik des PlayStation Networks mithilfe externer Experten runderneuert, nachdem es von schwerwiegenden Datendiebstählen durch Hacker-Eingriffe erschüttert wurde. Es wäre eine echte Blamage, falls jetzt tatsächlich nur wenige Tage nach dem Comeback des Services wiederholt unglaubliche Mängel der Online-Security aufgetan werden konnten.