Unsicherheiten bei der Passwort-Rücksetzung des Playstation Network [3. Update]
Sony hat seine Web-Server zur Rücksetzung des Passwortes des Playstation Network abgeschaltet, nachdem Berichte über ein erneutes Sicherheitsleck auftauchten.
Knapp zwei Tage, nachdem das Playstation Network teilweise wieder hochgefahren wurde, ist offenbar ein erneutes Sicherheitsleck aufgetreten. So melden die Online-Seite Nyleveia sowie ein Anwender aus dem Neogaf-Forum, dass es einem ihnen bekannten Angreifer gelungen sei, das Passwort eines fremden PSN-Accounts zu ändern. Dazu musste der Angreifer lediglich die E-Mail-Adresse und das Geburtsdatum des PSN-Mitglieds kennen. Diese Informationen gehören zu den persönlichen Daten, die die Datendiebe bei ihrem Einbruch in das PSN Mitte April erbeuten konnten.
Nyleveia hat nach der Entdeckung Sony kontaktiert. Wenige Stunden später wurden die Webserver, auf denen PSN-Anwender über einen Browser ihr Passwort ändern konnten, vom Netz genommen. Sony bestätigte Nyleveia, dass es derzeit nicht möglich sei, sein Passwort über die per Mail verschickten Links zu ändern. Allerdings seien die internen Passwort-Server des PSN nicht betroffen. Über eine PS3 oder PSP kann man sich weiterhin am PSN anmelden und sein Passwort ändern. Dies ist nur von Geräten aus möglich, die vor dem PSN-Ausfall bereits für den Account aktiviert waren.
Sobald ein Angreifer das Passwort eines fremden Accounts ändert, bekommt der Besitzer zunächst eine Bestätigungs-Mail zur Rücksetzung des Passworts und anschließend eine Mail, dass das Passwort erfolgreich geändert wurde. Laut dieser soll sich der wahre Besitzer mit dem Support von Sony in Verbindung setzen, wenn die Passwortänderung nicht von ihm selbst vorgenommen wurde. Anwender sollten auf derartige Mails umgehend reagieren. Hat ein Fremder einmal das Passwort eines Accounts geändert, so hat er vollen Zugriff und kann anschließend Daten des Accounts einsehen und verändern – inklusive der zugehörigen Mail-Adresse.
Nach dem ursprünglichen Zeitplan will Sony spätestens zum 31. Mai den Playstation Store wieder eröffnen. Als Kompensation für den Ausfall bietet der Konzern Anwendern eine Auswahl von kostenlosen Spielen an. PS3-Anwender können sich zwei Titel aus Little Big Planet, Wipeout HD, Ratchet & Clank: Quest for Booty, Super Stardust HD oder Hustle Kings aussuchen. Für die PSP werden Little Big Planet, Modnation Racers, Everybodys Golf 2 und Buzz Junior Jungle Party angeboten. Außerdem bekommen Anwender einen Gratis-Monat für den Playstation-Plus-Service. Das Angebot gilt für 30 Tage nach der Neueröffnung des Playstation Store.
Update: Inzwischen hat Sony auf seiner Blog-Seite das Sicherheitsloch bestätigt. Schuld sei jedoch kein Hack, sondern ein "URL exploit", der inzwischen behoben worden sei. Allerdings sind die Webseiten zur Passwortänderung noch immer offline.
2. Update: Nach einer genaueren Analyse der berichteten Fälle könnte das Sicherheitsproblem auch auf den Rechnern der Anwender vorliegen. Sony verschickt bei der Passwort-Rücksetzung über seine Webserver zunächst eine Mail für den Passwort-Reset. Darin enthalten ist ein Link mit einem 64-stelligen Sicherheits-Token. Dieser Token ist zufällig und soll sicherstellen, dass nur der Empfänger der Mail das Passwort tatsächlich ändern kann. Das Erraten eines gültigen Tokens ist bei der gegebenen Länge so gut wie unmöglich. Ein Angreifer könnte jedoch die Passwort-Reset-Mail mitlesen und so an den Link gelangen.
Das kann entweder der Administrator des Mail-Servers sein, oder aber ein Angreifer mit einem Netzwerk-Sniffer, der sich im selben LAN aufhält. Gegen einen derartigen Angriff kann man sich schützen, indem man seine Mail über eine per SSL gesicherte Verbindung abruft. Sofern der Mail-Server-Betreiber dies unterstützt, genügt es etwa unter Thunderbird bei Verbindungssicherheit STARTTLS oder SSL/TLs zu wählen (siehe Foto). Unter Umständen muss man den Mail-Client danach neu starten.
Ein weiteres Sicherheitsleck stellen Trojaner auf den Rechnern der Anwender dar, die Mails mitlesen -- vor solchen schützt keine SSL-Verbindung, sondern nur ein ausgiebiger Viren-Scan. Da dieser Tage weltweit 100 Millionen PSN- und SOE-Anwender Mails mit der Aufforderung zur Passwortänderung erhalten, dürften diese auch einen Großteil von Rechnern erreichen, die mit Trojanern verseucht sind. Im Unterschied dazu gibt es derlei Trojaner auf PS3- und PSP-Konsolen nicht, weshalb Sony PSN-Server für die Passwortänderung über die Konsolen nicht abgeschaltet hat.
Derartige Sicherheitsprobleme des Mail-Sniffings betreffen jedoch nicht Sony allein, sondern sämtliche Systeme, die eine Passwort-Änderung per Mail-Überprüfung anbieten. Um sich davor zu schützen, sollten Anwender ihre Mail über eine gesicherte SSL-Verbindung abrufen, ihren Rechner mit einem Viren-Scanner überprüfen und absichern.
3. Update: Wie das Online-Magazin The Register mit Berufung auf ein Interview mit dem Betreiber der Seite Nyleveia meldet, wurden die Passwort-Rücksetzungen doch nicht mit einer Mail-Sniffing-Attacke gekapert. Der Meldung zufolge haben Sonys Server außer dem 64-stelligen Mail-Token auch einen Browser-Cookie akzeptiert, wenn der Angreifer über den Link "https://store.playstation.com/accounts/reset/resetPassword.action?token" eine Passwortänderung vornehmen wollte. Ein passender Cookie wurde offenbar von Sonys Webserver bei der Anfrage nach einem Passwort-Reset automatisch ausgegeben, wodurch der Angreifer leichtes Spiel hatte. Mit der Abschaltung des Webservers sei die knapp zwei Tage offene Sicherheitslücke geschlossen worden. (hag)
