Jump to content

Psn HACK - pozor!!!


lomax
 Share

Recommended Posts

Jednomu hackerovi se podařilo kompletně rozlousknout PSN server...co to znamená? nyní si může přečíst konverzaci mezi hráči, má přístup ke všem hrám kdo si někdy zaplatil a může si jestáhnout, je tam uloženo co jste kdy připojili k ps3 (flashka - seznam souboru), no a asik ten největší problém je, že pokud jste si platili něco kartou, tak tam jsou uložený komplet údaje o kartě, adrese, atd. prostě může sní platit kdekoli...a perlička na závěr, vše se automaticky aktualizuje, jakmile se připojíte k netu...

Tohle je epic fail od sony, že si tyhle věci uchovává. Tohle není sviňárna od toho heckra, ale od sony...mám dojem, že bude kotel žalob na Sony

Jak Sony ukládá info o kartě (samo je to upravené, aby se to nedalo použít XXX je secury číslo) - posláno jako prostý text, nijak se to necryptuje

creditCard.paymentMethodId=VISA&creditCard.holderName=Max&creditCard.cardNumber=4558254723658741&creditCard.expireYear=2012&creditCard.expireMonth=2&creditCard.securityCode=XXX&creditCard.address.address1=example street%2024%20&creditCard.address.city=city1%20&creditCard.address.province=abc%20&creditCard.address.postalCode=12345%20

zdroj:

>>>ZDE<<<

psx-scene

kompletní rozhovor na icr kanalu

>>>příjemnou zábavu<<<

Shrnutí konverzace: - infobudu průběžně podávat

- Sony zjistí že hrajete zálohy a to takto:

pokud jde o original tak se uloží na server info

info titleid="BLUS30034_00" disc="18cf5fc49cb4ac7ae9519d5062712350" boot="2011-02-03T20:35:09.00Z" playtime="8875" />

záloha vypadá takto

<info titleid="BLUS30034_00" disc="00000000000000000000000000000000" boot="2011-02-03T20:35:09.00Z" playtime="8875" /

zdá se, že info o hrách se posílá pouze když tu hru jste hráli online. offline hry se neposílají

- data se posílají ihned po přihlašení k účtu (konzolový účet ne PSN)

- sledování konverzací přes chat => nelegální

SONY je největší spyware na světě

Z tohodle bude ještě větší průser než bylo prolomení ps3...

Už se to začíná šířit po ps3 forech jako lavina

Link to comment
Share on other sites

By mě zajímalo, zda k hacku pomohl jailbreak nebo to bylo zcela nezávislý na sobě... Neřekl bych největší spyware, jen už se o SONY ví, že to dělá... osobně mi je jedno, ať si přečtou co píšu... Ale s hrama a kreditkou je to pěkně na..! jak můžou ukládat data z kreditky?! Divim, se že nebanujou konzole, když poznaj, že hrajete ilegálně...

No průser jak se to veme...

SONY má průser, že ukládá citlivá data

A další průser bude mít ten, kdo zveřejnil informace...

Link to comment
Share on other sites

sry za duplikaci. A běžtě někam s tim "vlezdoprdeláci s ofw" Kdybyste si pěstovali obilí a někdo vám ho ukradl, tak byste to nechali jen tak plavat a umřeli hladem?

ne, šel bych za někým kdo mi ho nevzal a požadoval ho zpátky včetně jeho baráku. a když si tak chytrej tak se nauč i používat edit!!!

Link to comment
Share on other sites

army-k - jasně, chtějí se zbavit cfw tak jdou přes mrtvoly. co kdyby se našel hack (plácnu) třeba přes cod: bo? jak to vyřeší? v novým OFW jí bloknou, ty si pak tu hru můžeš akorát tak zarámovat a vystavit na zeď protože jí nespustíš. v pořádku, že ano? teď že si schovávají informace který dokonce ani nemaj ochráněný proti hackerům je taky v pořádku viď?

zaráží mě jak sony háže klacky nebo spíš balvany zákazníkům (i těm co celou dobzu jedou na ofw) pod hnáty a furt se jich ještě zastáváte.

Link to comment
Share on other sites

Dalsi z dukazu S0nY SkilLzZ :lol: ajaj jeste ze sem platil vzdy kuponem.To s tema zalohama je vtipny :D To uvidej a nic nezmuzou heh :D (Zatím) nicmene tak ted urcite vsichni CFWckari co jsou online jsou jasny a ted je jen na tom jestli ten hacker to umi jenom cist nebo i upravovat (by pak sla miniaplikace ktera by pres nej upravila potrebny udaj) (uz si muzeme delat co chceme)

EDIT: :lol: muze si vse precist a "koupit si jakoukoliv hru"

EDIT 2: Pekna svinarna ze sony monitoruje zpravy

EDIT 3: Sleduje co mas na flashce urcite neni legalni nebo si myslite ze jo?

Link to comment
Share on other sites

toto je jednoduse FAIL od sony , pokud jsou někde uložena taková data jako čísla kreditek i s security kody a není to nijak sifrované tak za to SONY nese vešktrou zodpovednost a je poviná (sony) uhradit všechny škody napachané hackerem který se tam dostal , ale problem je že pokud se vám ztratí peníze z učtu tak asi težko budete dokazovat že za to muže zrovna sony s jejich takhle deravou databazí kreditek .... holt težko říct jestli tohle sony položí a zničí

Link to comment
Share on other sites

xD Sony tohle rozhodne neznici nikdo nepujde proti sony a kdyz tak to nebude mit vaznejsi dopad....JSte naivni, takova spolecnost jako je Sony si muze delat ,,co chce,, zacne to banovanim ps3(psp nebanovali protoze by se neprodavalo) a skonci buhvi kde .... To je jako kdyz vsichni chteli znicit microsoft za nekvalitni windows vista :D

Link to comment
Share on other sites

@ceky:

Sony to totálně nepoloží, jede v tv, a dalších věcech...POUZE v dnešní době, kdy si každá nadnárodní společnost s obratem Xset mld ročně zakládá na důvěryhodnosti a tradici jména společnosti, tak tohle bude znamenat odliv zákazníků, rapidně se sníží prodej konzolí(ps3, psp, psp go a aj chystané novince ps mobile). Navíc pokud je vše pravda, tak za tohle dostanou obrovský pokuty, odliv investorů...tohle je pro SONY obrovská rána a nikdo ti dneska neřekne její dopady...jen se podívej na výroční zprávu za rok 2010 a pak se podívej na zprávu 2011

Další věc je ta, že tohle nahrává konkurenci(v tomhle případě MS a Xboxu), časem možná wii2

Dovolím si zaspekulovat a odhaduju, že proběhnou kontroly od úřadů a pak teprve bude maso...tohle je "pouze" špička ledovce...Vlastnit databázi spuštěných aplikací je nehoráznej byznys. Máš vůbec představu kolik stojí marketingovej průzkum co zrovna dneska frčí, co hráči hrajou? S touhle databází Sony přesně věděla, po čem muži touží. Mohla tak zadávat vývojářům co mají vymyslet, věděla kdy se jim investice vrátí atd atd atd...

Kurde nezáleží na tom, jestli pirátim nebo kupuju origošky, tady jde o marketing a vydělání $... HLAVNĚ k čemu je sony moje kreditka? aby věděli kolik tam mám peněz a jsem ochoten utratit za nákup hry, addonu, atd

btw, dáváš příklad k M$ a vistám, schválně, koupil sis je? jak chceš napadat něco co nevlastníš? jak chceš napadat něco k čemu znáš podmínky, licenční ujednání? U Sony se nikde v lic. podmínkách nepsalo, že bude uchovávat tvoje data, nikde jsi jim k tomu nedal souhlas!

Link to comment
Share on other sites

Uz to nekdo otestoval ?

Btw jak se rika ... to co je zamcene se da stejne i odemknout ...tohle neni jen u Ps3 ... ale uznavam ze tohle je dost velka chyba kde se jedna o prevazne PENEZNI ztratu a to doslova

Dnes velkym firmam jako je SONY nic nerikaji prava uzivatelu ... jen vyrobce a jeho podminek ... to ze dostanou nejakou pokutku .. Ha bude to castka kterou ani neuciti ... tohle me natom nejvice sere ...

kazdy se dela co chce ale nic s tim nenadelate

Edit: a kdyz uz se vi jak Sony rozpozna zalohu od originalky je nejake reseni jak tomu zamezit ? nejspis upravenej Eboot ?

Link to comment
Share on other sites

Jak Sony ukládá info o kartě (samo je to upravené, aby se to nedalo použít XXX je secury číslo) - posláno jako prostý text, nijak se to necryptuje

creditCard.paymentMethodId=VISA&creditCard.holderName=Max&creditCard.cardNumber=4558254723658741&creditCard.expireYear=2012&creditCard.expireMonth=2&creditCard.securityCode=XXX&creditCard.address.address1=example street%2024%20&creditCard.address.city=city1%20&creditCard.address.province=abc%20&creditCard.address.postalCode=12345%20

Tak tohle mi potvrdilo mojí doměnku :arrow: Mě přes ten jejich cedník vybrali kreditku takže k ty databázy musel někdo mít přístup už dříve :cry: Jak jinak by někdo mohl vycucat údaje o kreditce ,kterou sem platil jen na PSN a jinak nikde jinde !? (Právě kvůli tomu placení na PSN sem si ji pořídil ) :cry: Ale naštěstí sem to zjistil brzo a nahlásil to do banky jako neopravněný výběr/platba a šlo to přes pojistku karty :? Takže tímhle u mě jako značka klesla Sony dost hluboko :cry: Dycky sem měl za to že Sony celkem slušně pečuje o svoje zákazníky, ale tohle je fakt k zblití :blejt: Nemluvě o tom že můžou sledovat soubory na ext. zařízeních :blejt: Těm asi nic neříkájí citlivé údaje :hurted: Bych zabanánoval Sony za to jejich jednání s uživateli PS3 a jak zacházej vůbec s citlivejma datama jak s kupou hnoje :blejt:
Link to comment
Share on other sites

Jak to tak vypadá, problém okolo kreditek je trochu jinde:

The section on "sensitive information" seems to contain a lot of filler, and doesn't make too much sense. He claims that Sony uses HTTPS/SSL, but that this "isn't good enough". He then goes off topic about how Sony is a large network and that the ip addresses of this large network are all publicly accessible. This is all true, but does not contribute to his argument that the information is not secure.

Let's get to the HTTPS/SSL issue.

When an SSL session is negotiated by your PS3 with Sony's servers, you fetch a certificate from the PS3 server that is authenticated against a CA, verifying that the server claims to be who it says it is. In that certificate is the server's public key, which is used by the client to encrypt information to send to it. Information cannot be decrypted by the public key, only by the server's private key, which only it possesses.

So the information being sent to Sony is encrypted, and it's using SSL, the accepted standard for banks, remote terminal sessions, your gmail, and generally anything else of importance. There are no current flaws in this protocol when implemented correctly.

The ability to forge a client certificate on the PS3 weakens this somewhat, but not directly, and the paper fails to describe this. But I think I can identify what he's trying to get at.

The PS3 needs to have a trusted root certificate from a Certifying Authority (CA) stored in the console in order to verify that when contacted by a system claiming to be a Sony PSN server, it can verify that is really is a PSN server. (This is the same mechanism that identifies your bank to be who they claim to be.) The ability to create custom firmware (CFW) means that a hacker could distribute a CFW that possesses an altered, additional, or different trusted root CA.

Recall whenever your web browser gave you an alert upon finding an expired certificate, or probably more appropriately, a self-signed certificate. If you're using HTTPS on a home router, you probably have one of these. Since there is no pre-loaded root CA on your system, you need to decide if you can trust it yourself.

By having a CFW loaded, you're never prompted for this, and unless you audit the code yourself, you won't know if there's other root certificates loaded. Any that are loaded are assumed trusted.

Here's where we get to the "third-party DNS" that he mentions. Assuming you're not running your own DNS server (to say nothing of if it's secured) it is possible that the DNS server you connect to could be spoofed to identify a Sony PSN server's host name as a different IP. At that point, assuming you're running a CFW that has a crafted root CA loaded, the PS3 will recieve the spoofed address, the altered certificate will identify the server as legitimate, and a connection will be established. Voila, your information is being sent.

So the short of this:

- Your information is not being sent in the clear, but is being sent via industry standard HTTPS/SSL.

For an attack to succeed:

- An attacker must persuade you to load a CFW that has a self-signed root certificate loaded on it

- the attacker must successfully poison the DNS cache of a DNS server that YOU use

- the attacker must then wait/hope/pray that you connect to the server he spoofed so that you can authenticate to him.

That, ladies and gentlemen, is a pretty tall order, though it's by no means implausible. But it is the sort of issue that gets a lot of attention these days (and is a large part of the reason why certificate validation has become so visible in web browsers as of late.)

So if you're not using a CFW, then you're pretty safe. If you are, then you need to ensure that no other forged or crafted root CAs exist, and that you are using a relativity secure DNS server. In my opinion, any DNS server by a major ISP should be more than sufficient.

Uživatelé s OFW jsou v pořádku. Ti, kteří si nainstalovali CFW, navíc ještě z nějakého pochybného zdroje, mohou mít smůlu, pokud se připojí k falešnému PSN a budou posílat informace.

http://arstechnica.com/gaming/news/2011/02/report-psn-hacked-showing-stunning-lack-of-credit-card-security.ars

Link to comment
Share on other sites

Kdy všichni pochopíte, že ke VŠEMU co teď Sony dělá jste VY dali souhlas? Už jen zaregistrováním do konzole. Sony má právo uchovávat citlivé údaje, pokud je nikdo nehackne. To jen díky hackerům se veškeré informace dostaly ven, a můžou je lidi zneužít. Sony na tom nemá zásluhu, to jen VY, kteří podporujete CFW. Kdyby tu všichni měli OFW, ani jedno jediné téma jako je tohle by nevzniklo. Za všechny problémy si můžete sami, všude je výsloveně psáno, že se nesmí jakkoli upravovat konzole. A nezapomeňte, neznalost pravidel neomlouvá. Ať jsou napsána kdekoli a jakkoli. Raději tu přestaňte brečet.

K tomu "Sony je největší spyware" - a co třeba Google? Ten taky kontroluje emaily. Seznam? teoreticky i Česká Pošta. Všichni, kdo pracují s informacemi je musí kontrolovat. A kdo říká, že je Sony čte? Fakt si myslíte, že Sony zajímá, kdy ste dali kolik headshotů a že máte zrovna menstruaci?

Warning:

zaráží mě jak sony háže klacky nebo spíš balvany zákazníkům (i těm co celou dobzu jedou na ofw) pod hnáty a furt se jich ještě zastáváte.

Já jim přeju, protože nebýt hackerů, nic z toho by se nedělo. Sony se nedivím, choval bych se ještě přísněji.

Nesnášim hackery, co musí všechny takhle po***** - vždyť jen kvůli nim tu trpí i poctiví majitelé! A to je v pořádku?

Sony tohle neppoloží, ale bude mít obrovské ztráty a velkou díru v reputaci. Už takhle mají problémy a kvůli hackerům mohou přijít i na dlažbu.

Navíc, jak tu psal Nanaki nade mnou, vypadá to, že brečíte na špatném hrobě - ke kreditkám se dostanou jen tehdy, máte-li CFW.

Ano, jsem zaujatý proti hackerům, co se do všeho serou a musí vše po*****, jen proto, že oni TOHLE chtějí. Nemají na to žádné právo, ovlivňovat poctivé zákazníky i celou firmu. Nebýt hackerů, všichni by byli spokojení. Nebylo by zapotřebí žádných opatření a ani byste o ničem nevěděli, a ač je to legální, neskuhrali byste.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use. Privacy Policy