Четыре дня спустя после возобновления работы PlayStation Network, Sony
прекратила работу страниц восстановления логина и пароля из-за сведений о том,
что они содержат серьёзную уязвимость, которая активно использовалась для
похищения учетных данных пользователей.
Дэниэл Пилкингтон рассказал, что уязвимость, о которой впервые
сообщил сайт новостей игровой индустрии Nyleveia.com, требовала от хакеров
лишь знание даты рождения и email-адреса, на который зарегистрирована учетная
запись пользователя. Он наблюдал за развитием обсуждений в чате и обнаружил, что
некоторое количество человек использовали уязвимость чтобы "получить контроль
над неизвестным количеством учетных записей".
"Были все шансы на то, что эту уязвимость могли использовать злоумышленники,
но мы полагаем Sony достаточно быстро среагировала", - заметил Пилкингтон.
Он пояснил, что после того, как компания заблокировала страницы, у
злоумышленников уже не будет возможности проведения атак.
После публикации этой статьи компания сообщила в своём блоге: "Мы временно
приостановили обслуживание страниц смены паролей PSN и Qriocity. В ответ на
некоторые сообщения мы заявляем, что взлома системы зарегистрировано не было. В
процессе восстановления паролей мы обнаружили уязвимость, которую мы в
последствие исправили".
Пилкингтон сообщил, что он следил за своей учетной записью. Sony не
конкретизировала данных ни о URL-эксплойте, ни о том когда данные веб-страницы
будут снова функционировать. Защитные меры и параметры смены пароля,
используемые в приставке PlayStation, продолжают работать нормально.
Этот грубый промах вызывает новые сомнения в способности Sony сделать работу
PlayStation Network безопасной, в то время как компания пытается вновь завоевать
доверие официальных властей и 77 миллионов пользователей. Sony прекратила
обслуживание 20 апреля, обнаружив то что ключевые части её сети пострадали от
преступного вторжения, в результате которого
были похищены имена,
логины, пароли, даты рождения, адреса и другая конфиденциальная информация всех
пользователей. Руководство компании сообщило, что они не могут исключить
возможности того, что
данные о кредитных картах пользователей также были похищены.
Пилкингтон сказал, что сначала он относился к факту уязвимости скептически до
того момента, как один из участников IRC-чата продемонстрировал действие атаки
на тестовом аккаунте, предложенном Nyleveia .
"Вторжение было возможно произвести через любой аккаунт с известным почтовым
адресом и датой рождения, не зависимо от того был поменян пароль или нет, или к
какому региону была привязана учетная запись", - заявляется на сайте. "Атака
была продемонстрирована на одном из наших пустых аккаунтов, после чего мы смогли
повторить показанный способ сами. В качестве доказательства работы этого способа
мы поменяли пароль одного из пользователей по его собственной просьбе".
Пилкингтон сообщил, что он отправил подробности уполномоченному по связям с
общественностью компании Sony по email, страницы входа в систему были
заблокированы через 15 минут после того, как пришел ответ.
Пилкингтон описал процесс использования уязвимости так:
Эксплойт обходил систему генерации одноразовых паролей, используемую Sony для
смены пользовательских паролей PSN. Злоумышленники могли бы выполнить атаку
зайдя на https://store.playstation.com/accounts/reset/resetPassword.action?token,
а потом, в отдельной вкладке браузера, открыть другую страницу на
us.playstation.com и следовать процедуре смены пароля, которая требовала лишь
дату рождения и email-адрес, привязанный к аккаунту. После этого хакер мог бы
вернуться на первую вкладку и вооружившись куки, только что предоставленными
серверами Sony, завершить процесс введением кода с картинки. После этого,
злоумышленник мог изменить пароль жертвы.
"Страница
https://store.playstation.com/accounts/reset/resetPassword.action?token работает
как будто ты перешел по единственной уникальной ссылке, присланной тебе от Sony
для того, чтобы заполнить вторую страницу для смены пароля", - сообщил
Пилкингтон во время обмена сообщениями. Он заметил, что "наименее вероятно" то,
что этот метод был кем-нибудь замечен до вечера вторника.
Уязвимость, по словам Пилкингтона, угрожает пользователям PSN с понедельника,
когда сеть возобновила работу после 24 дней продолжительного бездействия. На
европейском блоге компании сообщается, что службы аутентификации были отключены
для PlayStation.com, форумов PlayStation, блога PlayStation и таких
дополнительных служб как Qriocity.com, Music Unlimited и т.п.
"К сожалению это значит что те, кто всё ещё пытаются сменить пароль через
Playstation.com или Qriocity.com на данный момент времени не смогут сделать
этого из-за необходимого технического обслуживания, время окончания которого
пока неизвестно", - сообщается в блоге Sony.
Sony просит всех пользователей PSN сменить пароли до того, как службы будут
вновь введены в эксплуатацию. Удаление
страниц смены пароля
значит то, что на настоящий момент пользователи могут переустановить пароли
только через их приставки PlayStation, на которые сбой в работе не
распространился.
PSN возобновила свою работу почти во всём мире, кроме Японии, т.к.
правительство страны сомневается в её безопасности.
