Playstation Network: Url exploit hack

Roma 19 Maggio 2011, 10:16

Come riportato da Kotaku e da numerose altre testate anche la giornata di ieri per Sony è stata una giornata non positiva.

Nonostante Sony affermi che

Contrary to some reports, there was no hack involved. In the process of resetting of passwords there was a URL exploit that we have subsequently fixed.

Contrariamente da quanto emerge, non è stato compiuto nessun hack. Nel processo di reset della password era presente un URL exploit che però è stato prontamente corretto.

sul blog Playstation ufficiale, ieri il Playstation Network si è scoperto di nuovo “vittima” di un’altra falla nella sicurezza. Questa volta si tratta di un URL exploit ovvero di un tipo di attacco che sfrutta la predicibilità di un URL per compiere delle azioni non previste, in questo caso udite udite il reset della password. Si Sony, sei veramente in gamba.

Nel dettaglio tecnico (sempre come riportato da Kotaku) vediamo come ciò era possibile.

  1. Andate su https://store.playstation.com/accounts/reset/resetPassword.action?token (normalmente via mail riceverte un URL del tipo https://store.playstation.com/accounts/reset/resetPassword.action?token=YYYYYYYYYYYYYYYYYYYYYYYY )
  2. aprite un’altra scheda e andate su it.playstation.com (o di un’altra nazionalità) e cliccate Login
  3. Successivamente su Recupera password
  4. Inserite l’email della vittima e la data di nascita
  5. Cliccate su continua e poi nella pagina di conferma cliccate su “Resetta usando l’email”
  6. Ritornate sulla tab iniziale e continaute la procedura di convalida
  7. Cambiate password

La procedura è chiara fino al punto 5 dopodiché diventa interpretabile. Da quello che ho potuto capire , come e riporta anche Theregister una volta chiesto di effettuare il reset della password via mail Sony invia al nostro browser un cookie che fa pensare a https://store.playstation.com/accounts/reset/resetPassword.action?token di aver già ricevuto per email il nostro codice. Sony ha già annunciato che il bug è stato prontamente fixato ma la pitafforma che gestisce i login via pc risulta ancora offline.

Inoltre Sony annuncia un programma di protezione dal furto d’identità come “cautela” a noi consumatori nel malaugurato caso che i nostri dati vengano utilizzati per scopi non nobili. Maggiori info sul Blog ufficiale.

Ultimo rumor in materia PSN- Gate proveniente dalla rivista tedesca Computer Bild che afferma

In alcuni casi le versioni del software usate avevano bug che erano state documentate su internet da anni, ad esempio, il servizio OpenSSH 4.4 per crittografare la comunicazione dei dati. L’attuale versione è la 5.7, mentre la versione utilizzata da Sony ha bug già noti da ben cinque anni.

PSN Outage Aggiornamento 16 maggio 2011: Playstation Network di nuovo offline

Roma 16/05/2011 ore 00:01

Dalle 20:oo del 15 Maggio 2011 il PSN è ritornato online  anche in Italia e ciò è durato circa per 3 ore ma udite udite ora è di nuovo offline!!!!!  Incredibile è dir poco dato che non non sembra essere solo l’Italia ad accusare il problema ma sembrerebbe essere qualcosa di più “generale” dato che , interessa anche gli USA. Nuovo attacco cr(h)acker o problema temporaneo dell rollout del PSN? Insomma un altro motivo per rendere i possessori di una PS3 sempre più scontenti e sempre più convinti che ci sia qualcosa che non va in tutto questo, non si può aspettare quasi un mese per riattivare un servizio per poi rimetterlo offline subito. Vergogna Sony!

Update ore 00:12: a quanto pare il network sembra essere a tratti raggiungibile e a tratti no, onde evitare inutili post per dire che il PSN ora è offline mentre ora no vi rimando al blog di Sony per le comunicazioni ufficiali nonché alla home del mio sito per ulteriori sviluppi rilevanti della faccenda. L’utilità di questo  post  forse è solo quella di semplice sfogo di un utente Sony, neanche troppo incallito a dir la verità, che si sente preso in giro anche considerando il fatto che una appena riattivato il PSN già sorgono i primi problemi e ciò per me non è accettabile. Deve rimanere nella memoria di Internet che anche l’avvio del PSN è stato (ma spero che non continui ad essere) difficoltoso, sintomo forse di un azienda vecchia, lenta, e forse con una dirigenza tutta da cambiare. Scusate per lo sfogo, non è un atteggiamento giornalistico, ma forse un blog personale serve anche a questo :) Ad ora comunque il PSN risulta funzionante (in linea con il parziale ripristino annunciato da Sony).

Ore 18:40 Ora il PSN sembra essere stabile e dovrebbe essere arrivata a tutti gli utenti Playstation Network una mail che informa gli utenti della riattivazione del servizio, email nella quale Sony afferma un ripristino entro i prossimi giorni dello Store nonché il pacchetto di bentornato.

PSN Outage: aggiornamento 15 Maggio 2011 Playstation network italiano Online

Roma 15/05/2011 ore 21:00

Finalmente dopo gli annunci, dopo la messa online di USA e a seguire alcuni stati dell’Europa ecco che ora anche qui in Italia il servizio Playstation Netowk ritorna online con un parziale ripristino delle funzionalità che lo ricordiamo sono essenzialmente:

  • Trofei e lista amici, chat
  • Multyplayer Online
  • Qriocity e Music Unlimited
  • Playstation Home
Appena effettuato il login vi verrà chiesto di cambiare la password del vostro account, fatto ciò il PSN sarà (parzialmente) vostro! Sony afferma che entro la fine di Maggio saranno operative tutte le funzionalità del network tra cui Playstation Store, affitto e vendita di film e quant’altro avevamo prima che ora però risulta non funzionante. :) Happy PSN’ing ! Ce l’hanno fatta!!
Per informazioni più dettagliate visitate http://it.playstation.com/psn/

PSN Outage: Aggiornamento 15 Maggio 2011 firmware 3.61 update

Roma, 15/5/2011

Questo è un brutto periodo per Sony, che con il passare dei giorni con il Playstation Network (PSN)  ancora offline rischia di subire ingenti perdite derivanti anche dal crescente disappunto di sviluppatori di terze parti che fondano il loro business sulla piattaforma online di Sony. Come riporta questo articolo  IndustryGamers.com è riuscita a trapela in rete il testo originale della lettera inviata da Rob Dyer, SVP di Publisher Relations della Sony a tutti gli sviluppatori. Questo il testo tradotto:

Gentili partner 
Come sapete, le informazioni di alcuni account dei servizi di PlayStation NetworkQriocity, e Sony Online Entertainment sono stati compromessi nel corso di un attacco criminale contro il nostro network.
Vorrei però assicuravi, in quanto partner PlayStation, che è la priorità di Sony ripristinare l’operatività del nostro network e fare in modo che il business torni ai livelli precedenti questa crisi nel minor tempo possibile.
Stiamo lavorando giorno e notte per ripristinare il servizio, ma questo avverrà solo quando potremo assicurare che il network è in grado di operare in modo sicuro e protetto.
Nel contempo vorremmo esprimere il nostro massimo apprezzamento per la pazienza, comprensione e benevolenza dimostrata.
In quanto importanti partner ci proponiamo di mantenere aperte le linee di comunicazione in modo che siate a conoscenza del nostro progresso.
Il nostro obiettivo è stato quello di rafforzare la sicurezza delle reti, proteggere i dati del cliente e ottenere i servizi di back on line il più rapidamente possibile.
Faremo del nostro meglio per rispondere a tutte le vostre richieste e faremo tutto il possibile per sostenervi.

Per quanto riguarda le notizia prettamente tecniche riguardo al proseguire della vicenda PSN gate oggi sembra essere una giornata particolarmente densa di soprese. Come si evince dalle ultime notizie l’attacco al Playstation Network sarebbe stato compiuto da un server appartenente al servizio EC2 di Amazon. In particolare mascherandosi dietro un finto pseudonimo i malintenzionati hanno difatti noleggiato uno dei server del gruppo, allestendolo al meglio per organizzare l’attacco da sferrare nei confronti del colosso giapponese. Per il momento però Amazon ha preferito non commentare la vicenda alimentando così la curiosità del misterioso attacco al PSN.

Vero scoop del giorno però è l’update del firmware Playstation 3 che ora risulta aggiornato alla versione 3.61. Infatti provando ad effettuare il login su PSN si viene reindirizzati al download del nuovo firmware, finalmente il PSN da qualche segno di vita. Forse ,stavolta veramente, potremo tornare a breve a giocare online.