Diit.cz - Novinky a informace o hardware, software a internetu

Změna hesla do PlayStation Network nestačí, je žádoucí změnit i e-mail

Playstation 3 Slim
Sony PlayStation Network a další služby, od nichž se údaje uživatelů dostaly po útoku z minulého měsíce do nepovolaných rukou, budou ještě nějaký čas i přes znovuzprovoznění čelit potížím, z nichž ten základní problém tkví v samotném způsobu zabezpečení. Řada uživatelů si myslí, že postačí jen změnit heslo a jsou opět za vodou. Realita je taková, že to není pravda, mezi údaji vytaženými z databáze Sony jsou totiž i takové, s jejichž pomocí je možné změnit. A tyto údaje mají útočníci k dispozici…

Zkrátka a dobře heslo změnit nestačí, protože kdokoli, kdo zná e-mailovou adresu a datum narození uživatele, což jsou údaje, které patří mezi uniklé, si může vaše heslo znovu změnit na libovolné vlastní. Je potřeba změnit i e-mailovou adresu, nejlépe na takovou, kterou pro žádný jiný účel nepoužíváte. A především je potřeba to udělat dříve, než to udělají útočníci a původní uživatel tak definitivně ztratí přístup ke svému účtu.

Redakce Nileveia si to vyzkoušela na vlastní kůži, vytvořila nový účet, předala domluvené třetí straně (aby bylo zajištěno, že se „útočník“ připojuje odjinud) e-mail a použité datum narození, nikoli však heslo. A za chvilku už se redaktoři nebyli schopni přihlásit pod jejich heslem, protože třetí strana si na základě těchto údajů vytvořila heslo nové. Zakrátko jim také přišel e-mail o tom, že si změnili heslo a pokud ne, že mají kontaktovat podporu. To následně udělali s vysvětlením toho, co prováděli, načež Sony stránku s obnovou hesla odstavila. Převzetí účtu za pomoci e-mailu a data narození vyžadovalo určitý drobný „hack“ v podobě užití odkazu s blíže nespecifikovanou úpravou, prý aby nedávali útočníkům návod (detaily hodlají zveřejnit, až budou mít jistotu, že uvedený postup nebude funkční). Na nás to působí tak, že zabezpečení systému bylo opět krajně nedokonalé, když bylo možné bez přístupu do registrované e-mailové schránky změnit heslo (že by si Sony v prohlížeči prostřednictvím URL předávala e-mailovou adresu, na níž má zaslat heslo či údaje pro jeho obnovení? ;-).

I přesto je doporučováno změnit e-mailovou adresu, protože jedině tak je zajištěno, že data, která si útočníci zkopírovali z databáze Sony, nepůjde použít pro získání přístupu k účtu. Sony tvrdí, že chybu opravila a stránku brzy zpřístupní, takže onen „hack“ by měl být neproveditelný, ale jeden nikdy neví, zvláště u Sony. Redakce Nileveia silně doporučuje změnit e-mailovou adresu a použít takovou, která nebude použita na nic jiného a nebude nikde zveřejněna. To je ostatně nejlepší způsob, jak si ochránit i řadu jiných registrací, např. v e-shopech a podobně, vyhnete se tím i zneužití adresy v případě jejího vyzrazení jednou z užívaných služeb.

Zdroje: 

WIFT "WIFT" WIFT

Bývalý dlouholetý redaktor internetového magazínu CDR-Server / Deep in IT, který se věnoval psaní článků o IT a souvisejících věcech téměř od založení CD-R serveru. Od roku 2014 už psaní článků fakticky pověsil na hřebík.

více článků, blogů a informací o autorovi

Diskuse ke článku Změna hesla do PlayStation Network nestačí, je žádoucí změnit i e-mail

Pátek, 20 Květen 2011 - 12:33 | Grovik | No vzhledem k tomu jak SONY data skladovalo, tak...
Pátek, 20 Květen 2011 - 12:32 | Grovik | To je tak když někdo sulcuje kde jaký údaj a ani...
Pátek, 20 Květen 2011 - 11:10 | x3m | A pre istotu si zmente meno, datum narodenia a...
Pátek, 20 Květen 2011 - 11:02 | Eser | To je tak hrozně složitý zavolat/zajít do banky a...
Pátek, 20 Květen 2011 - 05:55 | Filip Neuman | Co se tyka cisel karet jednou se rika, ze je maji...
Pátek, 20 Květen 2011 - 05:53 | Filip Neuman | No predstava mit kvuli kazde registraci novy...
Čtvrtek, 19 Květen 2011 - 22:19 | ukuIeIe | Nemají ani čísla karet, ani CVV.
Čtvrtek, 19 Květen 2011 - 20:48 | Klima | asi si ted nainstalovali firewall :)
Čtvrtek, 19 Květen 2011 - 16:45 | Jacek Weglarz | a jeste jmeno a prijmeni
Čtvrtek, 19 Květen 2011 - 16:07 | Heron | JJ výrazně. A s tímto jim prý pomáhal Symantec :-...

Zobrazit diskusi