Mostrando entradas con la etiqueta errores de seguridad como un agujero negro de grandes. Mostrar todas las entradas
Mostrando entradas con la etiqueta errores de seguridad como un agujero negro de grandes. Mostrar todas las entradas

miércoles, 27 de abril de 2011

Sony la caga otra vez:posible robo masivo de datos personales en PSN


Playstation network es el "online" de sony. No se caracteriza por su estabilidad, pero es (o era) una apuesta decidida de sony por el los modelos de negocio online... cuando el otro día, la "apagaron" sin mediar muchas explicaciones, pensé que podía ser por una de dos razones:

1) la habían cagado con algún tema de seguridad
2) iban a cagarla (es decir, iban a  intentar atajar el tema del pirateo con algún cambio gilipollas que molestaría a los usuarios y no lograría molestar a los hackers más de un par de días antes de saltárselo)

Dado el historial de sony, supuse que era lo segundo. Pero...¡ay!, subestimé la capacidad de cagarla del mismo equipo que considera que el número 4 es siempre un número aleatorio...

Resulta que, en palabras de Sony:

creemos que personas no autorizadas han podido obtener vuestra información personal: nombre, dirección (ciudad, provincia, código postal), país, dirección  de correo electrónico, fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network/ Qriocity, y PSN ID.  Es también posible que vuestros datos de perfil así como historial de compra, y dirección de cobro(ciudad, provincia, código postal), y preguntas de seguridad de acceso a vuestras cuentas de PlayStation Network/ Qriocity hayan sido obtenidos.[...]. A pesar de no haber evidencia de que los datos de tarjeta de crédito hayan sido obtenidos no podemos negar esta posibilidad. Si has facilitado tus datos de tarjetas de crédito a través de PlayStation Network o Qriocity, debemos contemplar por motivos de seguridad,  la posibilidad de que el número de la tarjeta de crédito (no incluyendo el código de seguridad), y la fecha de expiración de la misma hayan sido también obtenidos.

(las negritas son mías)

Ehm... vale... a ver... usuario, email, dirección... hum... vale... pero...¿contraseña? ¿¿¿CONTRASEÑA??? 
¿hay alguien en sony que sepa lo que es md5 o han implementado la función md5 con un "return 4;", como hicieron con el random?




Es muy fácil hablar a toro pasado, y, sobre todo, sin saber todavía de dónde ha venido la intrusión y cuál era la arquitectura del sistema de seguridad de la PSNetwork, y más teniendo en cuenta que cualquier programador que se precie sabe que TODOS los sistemas tienen agujeros de seguridad,...pero hay cosas MUY básicas que un sistema del tamaño de la Playstation Network debería observar (si no lo hace todavía):

  • Nunca, nunca, nunca, se debe poder acceder a tus bases de datos desde FUERA de tu red de confianza. En la puta vida. Ni siquiera al backend de clientes. Si quieres que alguien acceda desde fuera, por VPN segura.
  • Ninguna API web de tu sistema de servidor debe poder acceder a todos los datos de todos los usuarios; ni de una sola vez, ni mediante sucesivas llamadas automatizables (se pueden utilizar sistemas de reto variables)
  • El acceso a tu sistema para obtener datos sensibles se debe hacer mediante APIs que permitan autenticación, las claves nunca deben viajar en claro, los accesos críticos de seguridad deberían ir por SSL.
  • Las claves de los usuarios deben ir, como mínimo, hasheadas* en MD5 (y con un valor "salt" para evitar ataques con rainbow tables, como bien ha apuntado un follower)
  • Por si le echan la culpa a (directa o indirectamente) a GeoHotz y otros conocidos hackers: La seguridad de tu entorno servidor NUNCA puede depender de la seguridad de tu entorno cliente; Si depende de alguna manera, la has cagado bien.
  • Si te pones muy paranoico, los datos de tarjetas de crédito NO deberían estar almacenados en la misma máquina que los del usuario; se puede diseñar un sistema en el que se genere un hash de autorización con salt (parecido a oAuth); de esta manera, cuando el usuario compra algo, se usa este hash para identificar la tarjeta en una base de datos de medios de pago exclusivamente accesible por la máquina que pide el pago

Ahora, según Sony, tendremos que dedicarnos a mirar detenidamente si en nuestras cuentas se producen "movimientos" sospechosos. Cojonudo. No tenía yo otra cosa que hacer....


*mil perdones por el palabro. Escribo esto de carrerilla a las 2 a.m :-P



¿quieres leer más tiras? Entra en el listado de tiras y escoge!

Puedes usar esta tira libremente,
cumpliendo tan solo esta licencia CC:
Creative Commons License