Si bien esta última información no ha sido confirmada, la compañía bloqueó todas las cuentas de usuarios que se vieron afectadas (unas 93.000 en total) ya que muchas de estas presentaron algún tipo de actividad luego del ataque.

Como para tranquilizar a los usuarios el jefe del departamento de protección de datos de Sony, Philip Reitinger, señaló que gran parte de los intentos por acceder a los datos de los usuarios fueron debidamente bloqueados, no existiendo ninguna posibilidad de que los atacantes hayan logrado acceder a los datos de las tarjetas de crédito.

Como medida de protección adicional la compañía se contactó por correo con todos los usuarios que se vieron afectados, con la finalidad de que cambien las claves de sus cuentas en el más breve plazo.

Link: An Important Message From Sony’s Chief Information Security Officer (PlayStation Blog)

Es bastante simple. La empresa agregó a sus términos de uso (ese texto largo en el que haces clic en “acepto” al final) el siguiente párrafo:

Si tienes una Disputa con cualquier entidad de Sony o sus directores, funcionarios, empleados o agentes (…) tú y la entidad de Sony con la que tienes la disputa acuerdan buscar una solución sólo mediante arbitraje de acuerdo con los términos de esto en la Sección 15, y no litigar ninguna diputa en la corte. Arbitraje significa que la disputa será resuelta por un árbitro neutral, en lugar de una corte con un juez”

Se trata de una medida bastante polémica por decir lo menos. Hay una sola manera de salvarse de esta cláusula, a todas luces abusiva: si antes de 30 días desde que aceptaste los términos de servicio en tu consola, envías una carta a Sony diciendo que no estás de acuerdo con los términos, de modo que quede una constancia. Sin embargo, esto es algo que nadie sabría de buenas a primeras.

Lo razonable sería que los términos de servicio te permitieran rechazar la “Sección 15″ directamente en el formulario online, sin tener que mandar una carta a Sony Legal en California – cosa que obviamente se hizo para que a la gente le de pereza tomar esta medida. Sony espera que la gente cliquee “acepto” sin leer como siempre, y que si pasa algo – cualquier cosa – que pueda caer bajo el término “disputa”, no puedas demandarlos.

Sony tiene más de 77 millones de usuarios de la PSN alrededor del mundo. Seguramente esta actualización seguirá dando que hablar, pero por mientras, si tienen una PSN, ojo con lo que aceptan.

Link: Sony’s ‘No-Sue’ PlayStation Network Use Clause is Anti-Consumer (PCWorld)

El daño fue tan grande que la compañía decidió mandar un mensaje de tranquilidad a su comunidad de la PSN sumando a sus filas a Philip Reitinger, ex director de la Centro Nacional de Ciber Seguridad (NCSC), organismo dependiente del Departamento de Seguridad Nacional (DHS) de Estados Unidos. Pasará a tener un cargo de vicepresidencia, según informó el propio conglomerado.

Antes de su cargo estatal, Reitinger ya había tenido un cargo ejecutivo en Microsoft, y en Sony no se complican en reconocer que los ataques sufridos por su red son justamente la razón detrás de su incorporación.

Gran anuncio. Quizás también una afrenta para los grupos de hackers. Pero es como cuando uno cambia el antivirus del computador: ¿Alcanzará con este nombramiento?

Link: Sony recruits information security boss after hacking (Reuters)

La demanda cita una serie de testigos confidenciales que aseguran que la seguridad de Sony era débil, agregando además que la compañía despidió a una parte de los encargados de este tema poco antes de los ataques.

“Sony estaba más preocupado de evitar que el servidor de desarrollo fuera hackeado que de proteger la información de los clientes. Quieren protegerse a sí mismos y no a la gente que usa sus servidores”, dice uno de los testigos citados en la demanda.

El documento señala que la japonesa incluso estaba recortando costos en esta área. Dos semanas antes del ataque, Sony despidió a 200 trabajadores de Sony Online Entertainment, “incluyendo una cantidad de empleados del Centro de Operaciones de Redes, que, de acuerdo al Testigo Confidencial 2, es el grupo responsable de preparar y responder a las violaciones de seguridad”.

Esto podría significar que algún empleado enojado colaboró con el hackeo, pero habrá que esperar  a ver si aparece alguna prueba al respecto.

La demanda también menciona que el presidente de Sony, Kazuo Hirai, dijo que tras los ataques las prácticas de seguridad de la empresa serán “puestas al nivel de los estándares de la industria o mejor”, lo que podría interpretarse como una admisión de que antes de los ataques la seguridad estaba por debajo de los estándares.

La demanda pide un castigo “ejemplar” para Sony si actuó de manera negligente en la protección de los datos de sus clientes, además de compensaciones justas para los afectados.

Link: Lawsuit: Sony laid off security staff, unprepared for PS3 hacks (Ars Technica)

Por eso, y también para avisarle al usuario común, un grupo no identificado (no afiliado a Sony ni a grupos de hackers) creó el sitio “Has Sony been hacked this week?” (“¿Han hackeado a Sony esta semana”) que se dedica a contestar esa simple pregunta. ¿Los hackeraron? Sí o no.

Fuera de la respuesta (en letras grandes y rojas), el sitio entrega una historia con los distintos hackeos sufridos por la empresa, desde la caída de la PSN en abril de este año. Además, entrega un link al último comunicado de Sony admitiendo los diversos problemas que van teniendo.

En total, más de 100 millones de cuentas de usuarios de Sony han sido hackeadas desde abril en adelante, revelando una serie de datos personales, entre los que están los números de 13 millones de tarjetas de crédito. Así que sí, es bueno saber si Sony sigue en problemas.

Link: Has Sony Been Hacked This Week?

Como era de esperar, ya hay cientos de miles de personas agolpándose en la red de la consola de Sony para ver con sus propios ojos que es una realidad (y si la compañía cumplió su palabra sobre las ofertas de “Welcome Back”) y ello mismo ha hecho que aparezcan unos más que comprensibles mensajes de errores, pero lo concreto es que todo está operativo. Y no se extrañen ni pataleen si no encuentran los famosos regalos compensatorios, porque es lo único que aún no será habilitado porque se encuentra aún en fase de pruebas.

Así, aparentemente se pone punto final a más de un mes de la pesadilla de Sony a causa de la serie de ataques de hackers a su servicio, pero aún se teme que no sea así. Por ello, la japonesa ha incrementado su seguridad y esperamos que alcance.

Cuéntennos cómo les va a ustedes.

Link: PlayStation Store is Available and Updated Now (PlayStation Blog)

La compañía japonesa sostuvo que ha “implementado considerables mejoras en seguridad” después de los ataques que sufrió, pero aún así se teme -y es casi una certeza- que volverá a sufrir los embates de los hackers. En los tres casos asiáticos que quedarán pendientes, se trata de intervenciones gubernamentales que exigen lineamientos más estrictos respecto de la seguridad.

Habrá que ver cómo soportan dichas “considerables mejoras”. Veremos si se cumple esta promesa y si es que no vuelven a ser derribados nuevamente.

Link: Full PSN Services, including PlayStation Store, Return This Week (PlayStation Blog)

Sony afirmó que ha trabajado muy de cerca con empresas de seguridad para que los servicios sean “más seguros que nunca”. El gobierno japonés había mantenido a la PSN abajo en el país, ya que no estaba seguro de que las medidas tomadas por la empresa eran suficientes.

La PSN sufrió un hackeo en abril, en el que los atacantes lograron acceder a bases de datos de usuarios del servicio. Sony debió cerrar los servidores por varias semanas para reponer la seguridad y arreglar los problemas. El servicio volvió primero a Estados Unidos y Europa, pero Asia estaba pendiente.

Link: Sony set to revive PSN in Japan (CNET)

Se trata de otra inyección de SQL. El hacker dejó un mensaje diciendo que no se trata de un hackeo sofisticado, sino que “sólo queremos avergonzar a Sony un poco más”.

La parte buena es que entre los datos que sacaron no hay nombres, contraseñas ni ningún tipo de información personal. Los atacantes señalaron que hay dos bases de datos más en el sitio que son vulnerables, aunque no queda claro si contienen información importante o no.

Sony ha sido el objetivo de múltiples ataques después de que se destapara la vulneración de la PSN. Quizás sea imposible para Sony parchar todos los hoyos que tiene. O quizás nunca se tomaron la seguridad muy en serio, pero si ese es el caso, después de los últimos hackeos diarios ya deberían haber tomado algunas medidas al respecto. Veremos si seguirán ocurriendo, o si habrá algún cambio.

Link: Sony Music Japan hacked through SQL injection flaw (Sophos)

Sony cerró la opción de acceso a varios sitios usando la cuenta de PSN (como los foros de PlayStation) y la web que se utiliza para cambiar las contraseñas fue retirado. Diversos blogs comprobaron directamente que la vulnerabilidad existía.

Sony reconoció el problema diciendo que quienes todavía están tratando de cambiar sus contraseñas “no podrán hacerlo por el momento. Esto se debe a una mantención esencial y en el presente todavía no está claro cuánto demorará”.

Los usuarios sí podrán seguir conectándose a través de la consola, ya que el problema sólo afectaría a la web.

Para sumarle aristas al tema, el CEO de Sony, Howard Stringer, calificó el hackeo a la PSN como un “hipo” en la compañía. “Ningún sistema es 100% seguro. Este es un hipo en el camino a un futuro en red”, afirmó a la agencia Bloomberg.

Sin embargo, el ataque sin duda afectará los planes de la compañía de enlazar televisores, teléfonos y computadores a una sola red de contenidos interconectada entre equipos de Sony. Nadie quiere perder datos del celular además de los de la PlayStation.

Mientras tanto, en Japón el gobierno todavía no autoriza el retorno de la PSN, ya que todavía está insatisfecho con las medidas de seguridad de la empresa.

Actualización: Sony niega que haya sido un hackeo. En el blog oficial, Patrick Seybold explica que “en el proceso de resetear passwords, hubo un exploit de la URL que hemos reparado”. Seybold recomendó a quienes no hayan cambiado sus contraseñas, hacerlo directamente desde la PS3. No hay indicaciones de cuándo volverá a funcionar el servicio en la web.

Links:
- Not so fast: Sony’s PlayStation Network hacked again (The Next Web)
- PSN passwords system suffers from exploit? (PlayStation Universe)
- Sony’s PSN password page exploit (Eurogamer)
- Sony’s Stringer calls hacker attack a ‘hiccup’ in company’s online strategy (Bloomberg)

Warner Bros. Interactive Entertainment quiere aprovechar al máximo el universo de Batman, el juego Arkham Asylum fue un éxito y su secuela, Arkham City, se espera con muchísima expectativa. Y ¿qué tal si hubiese un juego de disparos en primera persona de Batman? ¿Gusta la idea? Sí pero Batman no mata ¿Entonces? Pues será sin Batman pero en Ciudad Gótica.

Así es, WB Interactive ha anunciado Gotham Impostors que básicamente es un First Person Shooter dentro de esta ficticia ciudad. No habrá superhéroes, los personajes a usar serán humanos disfrazados de Batmans o Jokerz (según el bando que más le guste al usuario). El modo de juego está planeado de 4 vs. 4.

La premisa de este juego es que Ciudad Gótica está llena de vigilantes y villanos amateurs, inspirados en Batman y El Guasón respectivamente. Y que, obviamente, no tienen otra cosa que hacer que pelearse.

El estudio Monolith (F.E.A.R.) es quien está desarrollando el videojuego, estará disponible vía descarga en XBLA, PSN y PC. Aún no se sabe la fecha de salida de este título pero seguro que se verá algo de él durante el próximo E3 2011.

Links:
- Monolith anuncia Gothan City Impostors, un PF multijugador en Ciudad Gotica (Niubie)
- Batman-Themed FPS coming from Condemned Developer Monlith (Gamasutra)

Estos asuntos son: que la compañía complete sus medidas anti-hackeo, anunciadas el 1 de mayo pasado; y que la empresa tome medidas adicionales para asegurar que los números de tarjetas de crédito y otros datos  privados no serán expuestos al usar los servicios online de Sony nuevamente en el futuro.

Para los usuarios no nipones, cabe tener en cuenta que si Japón está pidiendo esto es porque no está muy seguro de que las cosas estén funcionando muy bien. De todas maneras, las demandas son bastante razonables y Sony probablemente ya está trabajando en eso (para todo el mundo y no sólo para los japoneses).

Link: Japan restart of Sony Online Games Services not yet approved (Dow Jones vía Engadget)

(cc) Sony

Parece que la PlayStation Network (PSN) vuelve a la normalidad poco a poco y Sony ha restablecido ya el servicio para Europa y Estados Unidos, cancelado por el ataque de piratas informáticos que dejó sin protección a los datos personales de más de 77 millones de usuarios.

Aún es necesario algo más de tiempo para la total recuperación del sistema online y desde la compañía nipona recuerdan la necesidad de restaurar la contraseña de acceso a PSN y de los otros servicios afectados, Qriocity y Sony Online Enterteinment (SOE).

Sony no tiene constancia que los autores del ataque hayan accedido a los datos bancarios de los usuarios de PSN, aunque si reconocen que es probable que si lo hayan hecho con los de SOE, aunque no con las contraseñas. Un mal asunto en ambos casos de todos modos.

La plataforma aún sigue siendo sometida a revisión para evitar nuevos ataques y Sony ha anunciado el lanzamiento de una “campaña de bienvenida” para relanzar su servicio. Necesitaran mucho más si quieren recuperar la confianza de sus usuarios dada la chapuza que han cometido.

Link: Sony restablece parcialmente PlayStation Network en Europa y EEUU (El Mundo)

La compañía está todavía adoptando mejores medidas de seguridad, agregó. Sony debió cerrar la PSN el 20 de abril debido a un posible robo de información por parte de atacantes informáticos. El servicio ha permanecido suspendido desde entonces, y la compañía se ha resistido a entregar una fecha fija para la solución de los problemas.

Mientras tanto, Sony anunció juegos gratis y un mes de PlayStation Plus gratuito para todos los usuarios como compensación.

Link: Sony’s PlayStation, Qriocity services remain shut, ‘uncertain’ on restart (Bloomberg)

Si bien la compañía ya había anunciado que compensaría a los suscriptores de la PSN con un paquete que incluye: una descarga gratuita, 30 días de PlayStation Plus y 30 días de Music Unlimited para los suscriptores de Qriocity; ahora anuncian nuevos “beneficios” para los sufridos usuarios del servicio.

En concreto la compañía ofrecerá a los usuarios de una PS3 dos juegos gratis que podrán escoger de una lista de cinco, mientras que los dueños de una PSP podrán elegir la misma cantidad de juegos pero de una lista de cuatro.

La compañía aún no especifica cuáles serán los títulos que estarán disponibles ni cuál será la compensación para los usuarios del servicio en otras latitudes (esta sólo es válida para Europa). Tal vez es hora de que en Sony se pongan serios y solucionen de una vez por todas los problemas con la PSN, para luego ver la forma como compensarán a sus usuarios.

Link: Sobre la garantía de SCEE contra el robo de identidad (PlayStation Blog Vía Niubie)

Si dices que eres Anonymous, y haces algo como Anonymous, entonces Anonymous lo hizo. Sólo porque el resto de Anonymous no esté de acuerdo, no significa que Anonymous no lo haya hecho”

Parece un trabalenguas, pero eso es lo que dijo un “miembro veterano de Anonymous” al Financial Times respecto del ataque a Sony que ha puesto en riesgo los datos personales de unos 100 millones de clientes, incluyendo varios millones de números de tarjeta de crédito.

“El hacker que hizo esto estaba apoyando los movimientos de OpSony“, declaró otro activista al periódico. Según su teoría, un grupo dentro de Anonymous fue “más allá” de lo que se había planeado originalmente, que era simplemente interrumpir los servicios de la compañía, y accedieron a los servidores y detalles de cuentas, descargando bases de datos.

Uno de los hackers señaló que había visto discusiones sobre detalles técnicos de las vulnerabilidades de Sony que permitieron a los atacantes entrar a los servidores, en los chats de Anonymous, poco antes de la intrusión.

Por la naturaleza de Anonymous – un grupo distribuido y sin cabeza, donde nadie sabe quién es miembro y quién no – es difícil decir si fue o no fue Anonymous. Sony ya ha indicado que sus sospechas recaen sobre este grupo, mientras que los comunicados oficiales de Anonymous dicen que ellos no han tenido que ver con el robo.

Link: Hackers admit Anonymous likely behind Sony attacks (Financial Times)

Según publica CNET, el ataque se realizaría este fin de semana y apuntaría a atacar el sitio web de la empresa. Sin embargo, el ataque no sería nada de simpático hacia los usuarios ya afectados: el plan sería publicar todo – o al menos una parte – de la información que han sean capaces de copiar de los servidores de Sony, lo que podría incluir nombres de usuarios, tarjetas de crédito, direcciones, etc. Los hackers dicen ya tener acceso a algunos de los servidores de la compañía.

Si el ataque resulta cierto y es exitoso, sería un golpe más a la devastada seguridad de Sony, cuyos servidores fueron atacados a mediados de abril, causando una posible filtración de información de 100 millones de clientes.

El hackeo a Sony está siendo investigado por el FBI, el Departamento de Justicia, el Congreso de Estados Unidos y la fiscalía de Nueva York, además de por autoridades en Inglaterra, Canadá y Taiwán.

Disculpa de Howard Stringer

Hasta ahora, la única disculpa que había lanzado Sony provino de Kaz Hirai, vicepresidente ejecutivo de la empresa. Ahora, el CEO de la compañía, Howard Stringer, por fin salió a decir algo respecto de la vulneración de sus servidores.

Como compañía, nos disculpamos por los inconvenientes y preocupaciones causados por este ataque. Les aseguro que los recursos de esta compañía han sido enfocados a investigar la naturaleza e impacto del ciberataque que hemos experimentado y en repararlo. Estamos trabajando con el FBI y otras agencias legales en el mundo para atrapar a los responsables”, dijo Stringer en el blog oficial de PlayStation.

Stringer agregó que “no hay evidencia confirmada de que alguna información personal o de tarjetas de crédito haya sido mal utilizada”. También anunció un plan para mejorar las medidas de seguridad para “proteger tu información mejor que nunca” y señaló que habrá un seguro contra robo de identidad de US$1 millón por usuario, “para cubrir costos de restaurar la identidad, gastos legales y pérdidas sufridas hasta 12 meses después del robo de identidad”, aunque sólo para usuarios estadounidenses.

Stringer señaló que las medidas que se aplicarán en otros países serán anunciadas más adelante, aunque cuando vuelva la PSN habrá un paquete de regalo que incluirá un mes gratis de PlayStation Plus.

El CEO dijo además que la PlayStation Network volverá a estar operativa “en los próximos días”, después de tres semanas de estar offline. Todos los usuarios deberán cambiar sus contraseñas para ingresar.

Link: Exclusive: Third attack against Sony planned (CNET)

(cc) Joey Yen

Siguiendo con la telenovela que ha protagonizado Sony en las últimas semanas, llega una nueva información que hará que los pocos usuarios de PSN que no estaban enojados con la empresa ahora lo estén.

El doctor en Ciencias de la Computación de la Universidad de Purdue, Gene Spafford, declaró hoy en una investigación que realiza una comisión del Congreso en Estados Unidos, que Sony estaba usando software desactualizado en sus servidores, y que sabía que eso era así meses antes de que ocurriera el hackeo.

Spafford explicó que existen foros donde expertos en seguridad independientes a la compañía monitorean los sistemas de Sony e informan a la empresa respecto de posibles problemas en sus sistemas.

Según Spafford, los expertos informaron a Sony sobre grandes (muy grandes) problemas en los servidores tres meses antes del hackeo. Sony estaba corriendo la PSN sobre un servidor que tenía una versión no actualizada de Apache. Además no había un Firewall instalado. Esto significaba que cualquier vulnerabilidad conocida para esa versión de Apache (que había sido parchada en las versiones posteriores) podía ser explotada fácilmente. Sin un Firewall, la tarea se hacía todavía más simple.

Si los dichos de Spafford son correctos, esto implica una negligencia de parte de Sony, por correr software desactualizado en servidores donde había información confidencial y protegida. Peor aún resulta el que la compañía estuviese informada de la situación y que no hiciera nada para remediarlo. Así, las cosas no están pintando nada bien para la compañía.

Link: Data security expert: Sony knew it was using obsolete software months in advance (Consumer Reports)

Sony afirmó ayer que el ataque que vulneró sus servidores se realizó al mismo tiempo que Anonymous lanzaba un masivo DDoS en su contra, de modo que la empresa estaba distraída defendiéndose de ese ataque cuando los hackers entraron a robar información. Anonymous lanzó efectivamente ataques contra Sony, en defensa de GeoHot, después de que la japonesa demandara al chico por crear el jailbreak de la PS3.

“Si se realiza una investigación honesta y legítima sobre el robo de tarjetas de crédito, Anonymous será encontrado inocente”, afirmó la agrupación en un comunicado.

Aunque somos un grupo distribuido y descentralizado, nuestro ‘liderazgo’ no aprueba el robo de tarjetas de crédito. Estamos preocupados de la erosión de la privacidad, los usos justos, el aumento del feudalismo corporativo, el abuso de poder y las justificaciones de ejecutivos y líderes que se creen inmunes personal y financieramente por las acciones que toman en nombre de las corporaciones y oficinas públicas”.

El robo de datos efectivamente sería algo inusual para Anonymous, que típicamente se encarga de molestar a empresas que actúan (según su criterio) en contra de la libertad de expresión y ciertas causas políticas. De todos modos, Anonymous no niega directamente su participación en el ataque a la PSN – sólo niega haber robado información y tarjetas de crédito. Sony ya sugirió ayer que Anonymous quizás actuó en conjunto con un segundo grupo que robó la información – o bien ese otro grupo se aprovechó del ataque de Anonymous. Como sea, la investigación está pendiente.

Hackers atacaron la PSN el 19 de abril, forzando a Sony a desconectar la red, que tiene más de 77 millones de usuarios. Desde entonces, el servicio ha estado sin funcionar, y a eso se han ido sumando más servicios afectados, como SOE. Se estima que más de 100 millones de cuentas pueden estar comprometidas.

Link: Anonymous denies involvement in PlayStation Network credit card theft scandal (Venture Beat)

Los investigadores pertenecen a una empresa llamada Data Forte, que es encabezada por un ex agente del servicio de investigación criminal de la Naval (NCIS), y trabajarán con agentes del FBI en dilucidar el caso.

La medida de Sony viene un poco tarde que digamos, siguiendo la tendencia que ha mantenido la empresa en este caso. Hoy se dio a conocer también que la compañía se tardó 2 días en contactar al FBI después de descubrir que un intruso había estado en sus bases de datos.

Para peor, los ejecutivos no se reunieron con los funcionarios de la agencia gubernamental hasta cinco días después, según revela una carta enviada por la compañía al Congreso, en respuesta a su solicitud de información sobre cómo se protegió a los consumidores. La carta tiene fecha del 3 de mayo y está firmada por el presidente del directorio de Sony, Kazuo Hirai.

Como medidas adicionales, Sony también contrató a detectives de ciberseguridad de la empresa Guidance Software y consultores de Protiviti, una empresa especializada en detectar riesgos. La japonesa también contrató a un bufete de abogados, Baker & Mckenzie, que seguro necesitará para la serie de cuestionamientos en su contra que se están acumulando, en relación a la protección y seguridad de la información privada de usuarios, y que podrían derivar en juicios civiles o hasta criminales en su contra.

Entre los datos filtrados hay nombres, direcciones, correos electrónicos, fechas de nacimiento, teléfonos, y posiblemente tarjetas de crédito, de alrededor de 100 millones de cuentas. Habrá que esperar cuál es el resultado de las investigaciones, de las que no se ha dado a conocer nada todavía.

Links:
- Sony hires investigators to catch hackers (NYTimes)
- Sony waited 2 days after breach to contact FBI (Reuters)

Según investigadores de la firma de seguridad Trend Micro, esa base de datos (que incluye también nombres, direcciones, nicknames y contraseñas de 70 millones de clientes) ya está siendo discutida en múltiples foros de hackers, incluyendo indicaciones de que quienes se introdujeron en la PSN pretenden vender la lista de tarjetas de crédito por unos US$100.000 o más.

De acuerdo a Kevin Stevens, investigador de la empresa, uno de los foristas le dijo que los intrusos incluso habían intentado venderle la base de datos de vuelta a Sony, pero que no habían recibido respuesta de la compañía.

Aunque está confirmado que se habla de la base de datos en los foros, no hay acceso a la base de datos misma (por lo que no está claro si existe realmente o si sólo es gente especulando o inventando).

Patrick Seybold, vocero de Sony en este asunto, ha dicho que “a mi entender, no es cierto que se le ofreció a Sony la oportunidad de comprar la lista”. Seybold había dicho ya anteriormente que “la lista completa con tarjetas de crédito estaba cifrada y no tenemos evidencia de que haya sido sustraída”.

Sin embargo, Sony ha sido tan “cauto” – por decirlo de alguna manera – con sus informaciones, que no sabemos si creerles ya o no. Contrario a las afirmaciones de la empresa, en los foros se dice que los hackers accedieron a la base de datos principal de Sony, lo que debiera haberles dado acceso a todo – incluyendo las tarjetas. También hay información detallada respecto de los servidores que usa la compañía japonesa, lo que revela que hay bastante conocimiento sobre los sistemas que fueron atacados.

Aparentemente, los hackers habrían usado el jailbreak de la PS3 primero, y habrían accedido con esta consola crackeada a los servidores de la empresa.

Todavía no se sabe quién está detrás de los ataques, aunque el FBI está colaborando con la investigación en Estados Unidos.

Link: Hackers claim to have PlayStation users’ card data (NYTimes)

Pues bien, hoy ya se produjo la primera demanda contra Sony por el entuerto. Fue presentada por el estadounidense Kristopher Johns, que acusa a la japonesa de no tomar el “cuidado razonable para proteger, encriptar y asegurar los datos privados y sensibles de sus usuarios”.

Además, el demandante asegura que Sony se tardó demasiado en notificarle a él y a los demás clientes que sus datos habían sido expuestos, lo que derivó en que la compañía no les permitiera “tomar una decisión informada sobre si cambiar los números de las tarjetas de crédito, cerrar las cuentas expuestas, revisar sus informes de crédito o tomar otras acciones de mitigación”.

La demanda busca compensación monetaria por los daños generados y un monitoreo gratuito de la tarjeta de crédito, entre otros.

Link: Sony sued for PlayStation Network data breach (Cnet)

Más tarde y por acá mismo Cony reseñaba que desde Sony habían confirmado que los hackers de la PSN sustrajeron información de los usuarios. Y es precisamente ése el punto que genera la solicitud de FACUA-Consumidores en Acción, para que la Agencia Española de Protección de Datos (AEPD) abra una investigación sobre Sony por el agujero de seguridad en su red de juegos online PlayStation Network: Piden investigar si la empresa vulneró el principio de seguridad de los datos.

En un comunicado publicado en su Web, FACUA ha demandado a la AEPD que determine si Sony ha vulnerado el “principio de seguridad de los datos”, regulado en el artículo 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, por no contar con las suficientes medidas de seguridad en su red. Dicha norma establece específicamente que:

El responsable del fichero (que contiene los datos de los usuarios), y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos”.

Destacan desde FACUA que nombres, direcciones, contraseñas e historiales de compra de cerca de 70 millones de usuarios a nivel mundial son parte de los archivos de la comunidad PlayStation Network que se han visto expuestos tras la entrada ilegal de un intruso. Esperan que las autoridades españolas encargadas de la privacidad establezcan las responsabilidades correspondientes en caso de que haya existido la vulneración de datos que suponen.

Falta esperar si la Agencia Española de Protección de Datos decide o no abrir la investigación solicitada, lo cual dependerá de la recepción de denuncias por parte de ciudadanos que se sientan afectados. En ese caso, estaríamos a la espera de los resultados de dicha investigación para comentárselos.

Link: FACUA pide a Protección de Datos que abra una investigación a Sony por el agujero de seguridad en PlayStation Network (FACUA)

La información viene a aparecer recién seis días después de que se cayera la PSN y nueve días desde que se produjo la intrusión, una demora bastante inaceptable.

Sony señaló en el blog de PlayStation que:

Hemos descubierto que entre el 17 y el 19 de abril de 2011, cierta información de cuentas de usuario de PlayStation Network y Qriocity se vio comprometida en conexión con una intrusión ilegal y no autorizada en nuestra red”.

La información filtrada correspondería a: nombre, dirección, país, correo electrónico, cumpleaños, PSN ID e información sobre registros de pago (boletas).

“Aunque no hay evidencia en este momento de que se haya extraído información de tarjetas de crédito, no podemos descartar la posibilidad“, agrega el comunicado.

Sony llamó a los usuarios de PSN a estar atentos a posibles correos con estafas, llamados telefónicos fraudulentos o correos que intenten extraer más información personal. La empresa también recomendó cambiar el password de tu cuenta de PSN apenas vuelva a restablecerse el servicio (y si usabas esa misma contraseña en otro lado, cámbiala también).

Sony espera que la PlayStation Network vuelva a operar en “alrededor de una semana”.

Link: Update on PlayStation Network and Qriocity (PlayStation blog vía Niubie)

Al parecer la reciente “caída” de la red PlayStation Network (PSN) no será la única consecuencia que deberán enfrentar los usuarios del servicio, ya que Sony aún no logra determinar si producto del mismo ataque externo sufrido los datos de los usuarios quedaron expuestos a los atacantes.

Recordemos que a mediados de la semana pasada los usuarios de consolas PlayStation comenzaron a reclamar debido a que no podían ingresar al servicio PSN. La compañía inicialmente se limitó a reportar que efectivamente el servicio presentaba problemas para, posteriormente, reconocer que la caída había sido producida por un ataque externo del que aún no se logran recuperar.

Lamentablemente para los usuarios las noticias no son muy buenas, ya que la investigación que lleva adelante la compañía aún no logra determinar con claridad si la información personal o los datos de las tarjetas de crédito que figuraban registrados en el servicio fueron vulnerados, lo que naturalmente cambia el escenario al que se encuentran enfrentados los usuarios.

Según informaciones aparecidas esta mañana, parte de los ataques se habrían enfocado precisamente en los servidores donde se almacena la información de los usuarios.

Si bien desde la compañía aseguran que mantendrán informados a los usuarios si es que su información cayó en manos de los inescrupulosos atacantes, de confirmarse este último hecho quedará en entredicho la seguridad con la que se mantenía dicha información.

Link: Sony Yet to Determine Scope of PlayStation Network Attack (PCWorld)

Según publica PlayStation Universe con información de una fuente de PlayStation en Europa, la PSN sufrió de ataques de denegación de servicio que dañaron los servidores. Además, recibió ataques concentrados en los servidores que registran la información de cuentas de usuario, y se hackearon cuentas de administradores.

Como consecuencia, Sony desconectó la PSN y está en proceso de restaurar respaldos en nuevos servidores con nuevas cuentas de administración, lo que lógicamente toma tiempo. Según la fuente anónima, los servidores japoneses volverían a funcionar mañana, mientras que al resto les tomaría un día más – así que posiblemente la PSN vuelva a aparecer el miércoles.

De todos modos, no es una información oficial. Sony ha entregado pocos detalles sobre lo que sucedió realmente y no está clara la extensión de los daños causados por el ataque.

Mientras algunos especulan que el desastre es responsabilidad de Anonymous – que amenazó reiteradamente a Sony por el caso de GeoHot – el colectivo de ciberactivistas negó estar detrás de los ataques, aunque no se descarta que algunos miembros de Anonymous hayan actuado de forma independiente en botar la PSN.

Ojalá Sony pueda entregar algunas explicaciones más sobre qué es lo que pasó realmente una vez que se restablezca el servicio.

Link: PSN hackers attacked Admin Dev accounts, services returning in a day or two, SCEE source claims (PSU)

La cosa no termina ahí: además dicen poder banear cualquier otra consola que quieran - siempre que conozcan el número único asignado a esa consola. No hay más detalles al respecto, pero esta información ha hecho algunos suponer que básicamente lo que están haciendo estos tipos es cambiar el número de identidad de una consola baneada por otra que no lo esté.

Así que si tienes una PS3 legal, ten cuidado si aparece alguien preguntándote cuál es la ID de tu consola y no la entregues aún si te la pide alguien con un avatar muy sexy. Como sea, la “guerra” entre Sony y los jailbreakers está lejos de terminar y sólo promete volverse más espinuda en el futuro.

Link: PSN hack lets users unban themselves, ban others (Destructoid)

“Al identificar sistemas de PlayStation 3 que transgreden nuestras reglas y terminar su habilidad de conectarse a la PSN, estamos protegiendo nuestro negocio y preservando las experiencias de juego honestas que los usuarios esperan y se merecen”, dijo el gerente de medios sociales de Sony, Jeff Rubenstein en el blog oficial de la empresa.

Ahora, la duda que saltó de esta amenaza es: ¿cómo puede ser que Sony sepa cuando alguien con una consola hackeada se conecta?

Un hacker anónimo dijo a Ars Technica haberse infiltrado en la PSN y descubierto la respuesta a esta pregunta, y no es muy bonita. Si resulta ser cierto, Sony observa cada cosa que uno hace con la consola, manteniendo registros detallados todo el tiempo.

“Sony es el mayor espía de la historia… recolectan muchos datos. Todos los dispositivos conectados entregan valores enviados a los servidores de Sony”, señala el hacker. Según dice, Sony sabe qué tipo de controles usas, qué dispositivos USB están conectados a tu consola, qué tipo de televisor estás usando, etc.

Supuestamente, la información es almacenada online y se actualiza cada vez que enciendes el sistema. Sony no se ha referido al tema de modo oficial, mientras que el hacker permanece anónimo, de manera que es difícil probar sus acusaciones.

Links:
- Report: PSN hacked, showing stunning lack of credit card security (Ars Technica)
- Official statement regarding PS3 circumvention devices and pirated software (Sony vía Niubie)

El nuevo firmware corresponde al 3.42 y es catalogado como de “instalación obligatoria” por lo que, en teoría, aquellos usuarios que no lo instalen no podrán acceder a la red de juegos en línea PlayStation Network (PSN); aunque algunos reportes de los mismos usuarios aclaran que aún es posible acceder al servicio PSN sin haber actualizado sus consolas.

Con seguridad al interior de la compañía desean mantener la promesa de que la PS3 es la consola más segura del mercado, vamos a ver si esto sigue siendo así o aparecen nuevos métodos que permitan hackearla en las próximas semanas.

Link: PS3 System Software Update (Vía Game Spot)

Con seguridad fueron muchos los que se alegraron al conocer la noticia de que, finalmente, la PS3 había sido hackeada con un método bastante simple.

Claro que esta excelente noticia para los usuarios definitivamente no ha caído nada de bien al interior de Sony, quienes ya preparan su contraataque de una manera bastante conocida en el mundo de las consolas: banear las cuentas de usuario.

Según los creadores del Jailbreak para la PS3 su método resulta absolutamente seguro para ser utilizado en la red de juegos en línea de Sony (PSN), pero al parecer esto no sería tan efectivo debido a que en la compañía japonesa ya habrían identificado el ID del Backup Manager utilizado por el PSJailbreak (LAUN-12345).

Con esta información Sony estaría en condiciones de seguir los pasos de Microsoft y banear las cuentas de los usuarios que inicien su sesión en el Playstation Network. Con esto los jugadores quedarán imposibilitados de jugar en línea, ni tampoco recibir las futuras actualizaciones del firmware de la consola.

Entonces ahora la decisión de aplicar el PSJailbreak depende de cada usuario. ¿Cuál sería la tuya?

Links:
- Sony Can Detect ‘Jailbroken’ PlayStation 3s(TFTS)
- PSJailbreak Detectable and Bannable on PSN (PS3Hax)