Playstation Network: Url exploit hack

Roma 19 Maggio 2011, 10:16

Come riportato da Kotaku e da numerose altre testate anche la giornata di ieri per Sony è stata una giornata non positiva.

Nonostante Sony affermi che

Contrary to some reports, there was no hack involved. In the process of resetting of passwords there was a URL exploit that we have subsequently fixed.

Contrariamente da quanto emerge, non è stato compiuto nessun hack. Nel processo di reset della password era presente un URL exploit che però è stato prontamente corretto.

sul blog Playstation ufficiale, ieri il Playstation Network si è scoperto di nuovo “vittima” di un’altra falla nella sicurezza. Questa volta si tratta di un URL exploit ovvero di un tipo di attacco che sfrutta la predicibilità di un URL per compiere delle azioni non previste, in questo caso udite udite il reset della password. Si Sony, sei veramente in gamba.

Nel dettaglio tecnico (sempre come riportato da Kotaku) vediamo come ciò era possibile.

  1. Andate su https://store.playstation.com/accounts/reset/resetPassword.action?token (normalmente via mail riceverte un URL del tipo https://store.playstation.com/accounts/reset/resetPassword.action?token=YYYYYYYYYYYYYYYYYYYYYYYY )
  2. aprite un’altra scheda e andate su it.playstation.com (o di un’altra nazionalità) e cliccate Login
  3. Successivamente su Recupera password
  4. Inserite l’email della vittima e la data di nascita
  5. Cliccate su continua e poi nella pagina di conferma cliccate su “Resetta usando l’email”
  6. Ritornate sulla tab iniziale e continaute la procedura di convalida
  7. Cambiate password

La procedura è chiara fino al punto 5 dopodiché diventa interpretabile. Da quello che ho potuto capire , come e riporta anche Theregister una volta chiesto di effettuare il reset della password via mail Sony invia al nostro browser un cookie che fa pensare a https://store.playstation.com/accounts/reset/resetPassword.action?token di aver già ricevuto per email il nostro codice. Sony ha già annunciato che il bug è stato prontamente fixato ma la pitafforma che gestisce i login via pc risulta ancora offline.

Inoltre Sony annuncia un programma di protezione dal furto d’identità come “cautela” a noi consumatori nel malaugurato caso che i nostri dati vengano utilizzati per scopi non nobili. Maggiori info sul Blog ufficiale.

Ultimo rumor in materia PSN- Gate proveniente dalla rivista tedesca Computer Bild che afferma

In alcuni casi le versioni del software usate avevano bug che erano state documentate su internet da anni, ad esempio, il servizio OpenSSH 4.4 per crittografare la comunicazione dei dati. L’attuale versione è la 5.7, mentre la versione utilizzata da Sony ha bug già noti da ben cinque anni.

About these ads

2 Risposte to “Playstation Network: Url exploit hack”

  1. michele Says:

    io quando accedo alla mail subito dopo aver cliccato il link e inserisco il la composizione di numeri e lettere mi da errore….. AIUTATEMI

    • ptrac3 Says:

      strano descrivi in particolare cosa ti succede cosi in caso ti posso aiutare ;) ps:se non l’hai gia fatto chiedi anche nel forum ufficiale Playstation , ci sono tante persone che ti possono aiutare : )


Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger cliccano Mi Piace per questo: