Brecha de seguridad en Playstation Network

Sony se excluye "toda responsabilidad" del robo de datos
Así se puede leer en sus términos y condiciones.

El hackeo de PSN y todo lo que está conllevando no cesa cuando ya ha pasado más de una semana desde que los usuarios de Playstation 3 vieran que no podían jugar online a su consola. Tal y como comenta la revista inglesa Edge, Sony se sacude cualquier responsabilidad por robo o pérdida de datos, según los términos y condiciones de la misma: “Excluimos toda responsabilidad por pérdida de datos o acceso no autorizado en las cuentas Sony online Network y el daño causado a su software o hardware como consecuencia de usar o tener acceso a Sony Online Network”. Una autoridad independiente del Reino Unido, Information Commissioners Office, ya ha dicho ante esto que si hay violación de los datos personales, pueden recibir una multa de importantes cantidades de dinero.

Sony investiga el posible robo de información bancaria en PSN
Las consecuencias del ataque a PSN están en boca de todo tipo de analistas y expertos. Un experto en protección de datos explicó a la BBC que estos sistemas de red como el de Sony están “forzados a sacrificar seguridad a favor de un uso mucho más sencillo”. Como ejemplo, habla de las entidades financieras, que tienen “sitios mucho más sofisticados” en los que “se usan dos factores de autentificación” que frenan cualquier acción como la sucedida en PSN. “En este caso sólo usamos una ID y una contraseña, y eso es arriesgado”, añadió Blaine Price a la cadena inglesa. Por su parte, David Emm, de Kaspersky Labs, excplicó también que precisamente los “enlaces individuales” son siempre “los más vulnerables”. Y añadió que era importante no usar las mismas contraseñas para distintos usos.

Por último, y curándose en salud, Sony ya ha empezado a mandar correos a todos sus usuarios para que hagan uso de algunas recomendaciones a modo de precaución. Los jugadores españoles empezaron a recibir ayer en sus cuentas un correo de la compañía sugiriendo, entre otras cosas, cambiar la contraseña de PSN cuando vuelva a estar operativa, y sugiriendo que “por motivos de seguridad” mirar regularmente el saldo y movimientos en las cuentas corrientes que no haya traspasos extraños. En el correo no pueden asegurar que datos de la tarjeta no hayan sido sustraídos. Algunas entidades financieras están ya al corriente de la situación y han cancelado tarjetas con movimientos no autorizados.

kuriel escribió:el duran fate, se ha ido a por una xbox esta tarde, jejejeje, la cambia por la ps3 y paga 30 pavos

Hay 2.2 millones de datos de Tarjetas de Crédito de usuarios de PSN a la venta

De acuerdo con Kevin Stevens, un experto en seguridad online de TrendMicro, ha comentado en su Twitter que “los criminales cibernéticos” están dispuestos a vender las listas que supuestamente contiene los datos de las tarjetas de crédito de 2,2 millones de miembros de la red PlayStation Network.

Más tarde agregó que Sony había ofrecido a los criminales la oportunidad de comprar de nuevo la información, pero se negaron. La base de datos robada y que quieren vender al mejor postor se dice que puede alcanzar los 100.000 $ y que contiene los nombres del titular de la tarjeta, las direcciones , números de teléfono, direcciones de correo electrónico, fechas de nacimiento y, quizás lo más importante, todos los detalles de tarjeta de crédito, el estado de caducidad y el código de seguridad.

Mientras tanto Sony nos dice que “no tienen pruebas de que los números de las tarjetas de crédito fueron robados” en el ataque a PlayStation Network, aunque si han recomendado a la gente que tome precauciones con respecto a sus tarjetas y cuentas bancarias.

Stevens asegura que los detalles de esta venta se encuentran en los foros ilegales de “carders” (personas que trabajan en el fraude de tarjetas de crédito), donde estarían circulando las tarjetas de crédito de miles de personas registradas en PSN.

Todavía que se sepa, no se ha dado ningún caso de fraude con estas tarjetas, pero viendo la dimensión que este problema está alcanzando, no sería de extrañar que fuese cuestión de tiempo ver los primeros casos. Quizás la mejor solución será dar de baja las tarjetas utilizadas en PSN…

Super Raditz escribió:Delga2 lee bien la noticia, que eso no lo dice Sony, lo dice un experto en seguridad online ajeno a Sony. Esta gente debe saber donde se venden estas cosas...

Los españoles afectados por el hackeo de PSN no podrían reclamar

Mañana se dará a conocer a través de una rueda de prensa oficial la decisión de Sony Computer Entertainment y las medidas que tomará la compañía por el hackeo de Playstation Network y la posterior liberación de datos. Hoy sabemos a través de La Voz de Asturias que los jugadores españoles afectados por el affaire podrían no estar autorizados para reclamar daños en caso de que se produzcan.

Según el abogado Samuel Parra, experto en privacidad consultado por el periódico, "Hay que esperar a la investigación de la AEPD pero, si los datos los ha recogido la matriz, la agencia no podrá hacer nada. Es muy sencillo: la representación de Sony en España no ha cometido ninguna infracción por la pérdida de los datos porque nunca los habría tenido". Entiéndase por matriz Sony América, responsable directa de los datos.

Y es que la división norteamericana de la firma de Playstation sería la encargada de almacenar y cuidar estas bases de datos, no así Sony España. No obstante, el abogado no descarta la posibilidad de que Sony España sí registre las bases de datos locales, aunque éstas podrían haber sido transferidas a otro país para su gestión, hecho que según el abogado "es como si te hubieras registrado en una página de California",

Lo cierto es que la pasada semana, FACUA solicitaba a Protección de Datos en España que iniciara una investigación por el robo de información sensible de los jugadores, petición que ha terminado promoviendo la citada investigación, actualmente en proceso. Habrá que esperar a los próximos días para conocer qué división de la firma debe depurar responsabilidades.

--------------------------------------------------------------------------------------------

Playstation Network volverá parcialmente la próxima semana

El directivo de Sony Computer Entertainment Kaz Hirai ofreció hace escasas horas una rueda de prensa en Japón con motivo del hackeo de Playstation Network y ha confirmado que el servicio retornará parcialmente esta próxima semana. La red Playstation Network funcionará al completo a lo largo de este mes de mayo. Esta vuelta parcial incluye juego online en PSP y PS3, acceso a Qriocity, acceso a la modificación de cuentas y de contraseñas, a las descargas de películas sin expirar desde MediaGo, a Playstation Home, a la lista de amigos y al chat.

El servicio de compra de contenidos digitales Playstation Store se mantendrá inactivo por el momento y volverá a funcionar algún día de mayo sin especificar. Esta revisión técnica de la red PSN incluye automatización de la monitorización para captar actividades no autorizadas, mayores niveles de protección y encriptación, mejoras en los sistemas de detección de intrusiones y firewalls adicionales. También moverán la información a un nuevo centro de datos. Sony aseguró que de 78 millones de cuentas de PSN, al menos 10 millones incluían información sensible de tarjetas de crédito a cuyos jugadores recomienda vigilar de cerca los movimientos bancarios y cambiar las contraseñas de otros servicios.

La distribución territorial de las cuentas es la siguiente: 31 millones en Estados Unidos, 9,2 en Reino Unido, 7,5 en Japón, 3,5 en Canadá, 2,9 en España, etc. Podéis consultar la distribución geográfica de las cuentas aquí. La multinacional estima que a la red estaban conectadas 37 millones de Playstation 3 y 16 millones de PSP. "Este acto criminal tendrá gran impacto no solo en los consumidores, también en la industria. El ataque ilegal desvela la necesidad de mejorar las protecciones en la seguridad informática", explicó Hirai. El directivo japonés asegura que Sony se "toma muy en serio la seguridad de los datos de sus usuarios".

"La empresa ha trabajado contrarreloj para recuperar la actividad de los servicios y está haciendo todo lo posible para incrementar las medidas de seguridad. [...] Hemos aprendido una lección sobre la confianza que tienen nuestros consumidores con nosotros y por ello lanzaremos un programa de recompensas para demostrar nuestra gratitud por su paciencia durante la caída del servicio a la vez que trabajamos para devolver todo a la normalidad", explicó en rueda de prensa el directivo de SCE.

Un mes gratis de PSN Plus

Todos los afectados por el hackeo de Playstation Network serán recompensados con un mes gratis del servicio Playstation Network Plus, que permite el acceso a contenidos anticipados, ofertas especiales, betas y descargas de juegos sin coste adicional. Quienes ya estén suscritos al servicio recibirán un mes gratis. La compañía también promete contenidos gratuitos y específicos para cada región que se anunciarán próximamente y que buscan compensar a los jugadores en esta acción que han bautizado como "Pack de Bienvenida". Los usuarios de Qriocity también serán compensados con un mes de suscripción gratuita.

------------------------------------------------------------------------------------------

FACUA recomienda anular inmediatamente las tarjetas utilizadas en PSN

FACUA-Consumidores en Acción ha emitido un comunicado en el que califica la brecha de seguridad en PlayStation Network de "grave irresponsabilidad y una inaceptable falta de respeto a los usuarios" y aconseja a todos aquellos que hayan utilizado una tarjeta de crédito para hacer compras en este servicio que anulen sus tarjetas de inmediato y soliciten una nueva.

"FACUA considera necesario adoptar esta medida de precaución ante la posibilidad de que las tarjetas de débito o crédito puedan ser utilizadas de forma fraudulenta tras el robo masivo de datos del que ha sido objeto la plataforma de la multinacional japonesa Sony", recomienda la asociación de consumidores, al considerar "que los datos con los que se hizo un cracker puedan ser suficientes para sacar dinero o realizar compras usando las cuentas bancarias de los clientes de PSN."

FACUA recomienda solicitar a las entidades financieras que anulen las tarjetas explicando expresamente que es una medida de precaución ante el posible fraude. La asociación señala que no debería cobrarse a los usuarios ninguna cantidad por la sustitución por otra tarjeta nueva, dado que se trata de una medida para prevenir una estafa bancaria. No obstante, si determinadas entidades imponen el pago de cantidades por la emisión de una nueva tarjeta, FACUA señala que los usuarios pueden reclamar a Sony el pago de las mismas.

Al mismo tiempo, se aconseja a los usuarios que utilicen la misma contraseña de PSN en otros sitios web el cambio inmediato de la misma para evitar que puedan acceder quienes se hagan con los datos robados a Sony.

Novedades 01/05/2011:

ALGUNOS SERVICIOS DE PLAYSTATION NETWORK Y QRIOCITY ESTARÁN DISPONIBLES ESTA SEMANA

La ejecución por fases de Servicios Globales Comenzará Regionalmente; Sistema de Seguridad Mejorado para Proporcionar una Mayor Protección de la Información Personal.

1 de Mayo de 2011, Tokio - Sony Computer Entertainment (SCE) y Sony Network Entertainment International (SNEI, la compañía), ha anunciado que pronto comenzará la restauración regional por fases de los servicios de PlayStation®Network y Qriocity™, comenzando por activación de juegos, música, y video. La compañía ha anunciado también una serie de pasos inmediatos para aumentar la seguridad de la red y un nuevo programa de apreciación del cliente para agradecer su paciencia y lealtad.

A razón de un ataque cibernético en el centro de datos de San Diego, California, E.E.U.U., SNEI apagó los servicios de PlayStation®Network y Qriocity, y llevó a cabo una extensa auditoría del sistema involucrando varias firmas expertas en seguridad informática durante varios días. Desde entonces, la compañía ha implementado una serie de nuevas medidas de seguridad para ofrecer una mayor protección de información personal. SNEI y sus expertos asociados, han conducido extensas pruebas para verificar la solidez y calidad de la seguridad de los servicios de PlayStation®Network y Qriocity. Habiendo tomado estás medidas, SCE y SNEI planean comenzar la restauración en fases de dichos servicios por región en breve.
La primera fase comprende la ejecución de lo siguiente (no se reduce a):

Restauración de juegos en red de los sistemas PlayStation®3 (PS3) y PSP® (PlayStation®Portable).
Esto incluye títulos que requieran verificación en red y juegos descargados.
Acceso a Music Unlimited para usuarios suscritos a Qriocity para PS3/PSP.
Gestión de cuentas y restablecimiento de contraseña.
Acceso a alquiler de películas activo en PS3, PSP, y Media Go.
PlayStation®Home.
Lista de amigos.
Funciones de chat.
Trabajando mano a mano con varias firmas externas de seguridad informática, la compañía ha implementado significantes medidas de seguridad para detectar actividad no autorizada y ofrecer mayor protección y seguridad de información personal a los consumidores. La compañía está creando también la posición de Jefe de Seguridad de Información, que estará reportando directamente a Shinji Hasejima, Jefe de Información de Sony Corporation, añadiendo así una nueva posición experta y responsable de la protección de datos, como suplemento al personal existente de seguridad de información.

Las nuevas medidas de seguridad implementadas son las siguientes (no se reducen a):
Monitorización automática de software y gestión de la configuración para prevenir y defenderse contra posibles nuevos ataques.
Aumento de los niveles de protección y encriptación.
Aumento de la capacidad de detección de intrusiones de software dentro de la red, acceso no autorizado, y patrones de actividad inusual.
Implementación de firewalls adicionales.
La compañía ha acelerado el plan de mover el sistema a un nuevo centro de datos en una localización diferente que ha estado en construcción y desarrollo durante meses. Además, la PS3 tendrá un sistema obligatorio de actualización que requerirá a los usuarios registrados el cambiar su contraseña antes de iniciar sesión en el servicio. Como medida de seguridad extra del sistema, solo será posible cambiar la contraseña en la PS3 donde se activó la cuenta, o através de confirmación del correo electrónico, un paso definitivo para la protección de los datos del consumidor.

La compañía está conduciendo una investigación exhaustiva y trabajando intensamente con la aplicación de la ley para encontrar y perseguir a los responsables de esta intrusión ilegal.

“Este acto criminal contra nuestra red ha tenido un impacto significativo no solo en nuestros consumidores sino en la industria en su totalidad. Estos ataques ilegales obviamente subrayan el problema generalizado de la seguridad cibernética. Nosotros nos tomamos la seguridad de la información de nuestros consumidores muy en serio, y estamos comprometidos a proteger la información personal de nuestros consumidores. Además, la organización ha trabajado día y noche para restablecer los servicios en red, y lo hará una vez haya verificado el aumento de los niveles de seguridad de nuestra red,” ha dicho Kazuo Hirai, Presidente ejecutivo adjunto de Sony Corporation. “Nuestra audiencia global de PlayStation®Network y Qriocity ha sido interrumpida. Hemos aprendido la lección sobre la valiosa relación con nuestros consumidores en el camino, y por eso mismo, vamos a lanzar un programa de apreciación al cliente para consumidores registrados y expresar así nuestra gratitud por su lealtad durante el cierre de la red, trabajando más duro para restaurar y recuperar su confianza en nosotros y nuestros servicios".

Sony Online reconoce una "intrusión" y el robo de datos
Más de 20.000 números de tarjetas robados. España entre los países afectados.

l cierre de servidores de Sony Online Entertainment (SOE) ya tiene justificación: una intrusión externa. Como ya sucedió con Playstation Network, el soporte digital de los juegos de la división online de Sony ha sido atacado por una fuente desconocida, tal y como ha reconocido la compañía en un comunicado.

"Las investigaciones sobre la intrusión ilegal realizadas por SOE han descubierto que los hackers podrían haber obtenido información personal de los clientes de los sistemas de SOE", explica el comunicado. "No existe evidencia alguna de que nuestra base de datos principal de tarjetas de crédito se haya visto comprometida", adelanta.

El comunicado asegura que la información de más de 20.000 tarjetas -algunas de ellas registradas en bases de datos desfasadas, de 2007- se habrían filtrado, no incluyéndose los códigos de seguridad. Los jugadores españoles están entre los afectados, según el comunicado. Alemania, Austria y Holanda también están afectadas.

La multinacional se disculpa y afirma que temporalmente desactiva los servidores y los servicios de sus juegos, que analizará la situación e iniciará una investigación profunda sobre el asunto y que tomará las acciones de seguridad necesarias. "Agradecemos la paciencia de los clientes", insiste en Sony Online Entertainment.

Aunque como indica SOE la base de datos principal de información financiera no se ha visto afectada por el ataque, sí que se han obtenido datos de tarjetas no tan recientes."Avisaremos a nuestros clientes afectados", explican.