¿Sony almacena las contraseñas sin cifrar?

Hoy, como muchos (futuros ex-)usuarios de la PSN Network, he recibido un mail de Sony diciendome que han atacado la base de datos de PSN Network y han podido robar mis datos personales.

No existe sistema 100% seguro e impenetrable y afirmo que jamás lo existirá.

Puedo entender por tanto que se realice un ataque y roben la valiosa base de datos.

Pero lo que me parece INADMISIBLE es leer lo siguiente del comunicado oficial:

fecha de nacimiento, nombre de acceso y contraseña de PlayStation Network/ Qriocity

No especifican nada de cómo está almacenada la contraseña.

Cualquier webmaster amateur, sabe que las contraseñas JAMÁS deben de almacenarse como tal.

El procedimiento habitual es realizar un cálculo hash sobre la contraseña y almacenar este resultado en la BBDD.

Cuando un usuario quiere autenticarse, basta con calcular el hash al valor introducido como contraseña y enviarlo al servidor.

Si ambos hash coinciden, bingo, es Fulano.

Si por ejemplo tu contraseña es “mypassword”, el hash con md5 seria: 34819d7beeabb9260a5c854bc85b3e44 (si queréis probarlo en GNU/Linux, echo -n “mypassword” | md5sum).

En fin, estoy realmente enfadado con la noticia y espero que den detalles de cómo almacenan las contraseñas.

Como he leido hoy en Twitter: “menos abogados y más ingenieros de calidad

¬¬

ACTUALIZACIÓN: Sony no afirma que se hayan efectuado el robo de los datos de las tarjetas de crédito.  Hay que estar atentos a los movimientos bancarios y denunciar cualquier cargo no realizado lo antes posibles (creo que hay un plazo para anular cobros).

ACTUALIZACIÓN 2:  Añado una conversación obtenida en red IRC donde “hackers” hablan sobre la poca seguridad de los servidores de PSN Network. La fuente original esta en PSX-SCENE.

PSN Hacker IRC Log

2 Responses to ¿Sony almacena las contraseñas sin cifrar?

  1. arpiman dice:

    A mi lo que mas me duele aunque actualmente no este del lado de Sony (solo tengo Xbox y Wii por ahora) es que una reputacion y un esfuerzo de quince años estan desapareciendo en cuestion de dias, a Sony le va a costar muchisimo recuperarse de esto por no decir que estan hundidos.

    Aun no sabe nadie si se han filtrado datos de tarjetas de credito, pero como acabe siendo real Sony no se va a poder levantar de esto. Tambien es alucinante la mayoria de usuarios que ponian la misma contraseña a todo (vi en Twitter a algunas personas quejandose de que ahora tenian que cambiarle la contraseña a todo xD), y me hace “gracia” que habiendo tantos modos para no usar tu tarjetal real, como PayPal por ejemlo, haya tantos usuarios que si la han usado.

    Y por desgracia la unica solucion va a ser un online de pago para Playstation… Un saludo ^^

    • Chema dice:

      Cierto, yo pago siempre que puedo con PayPal. Supongo que por cuestiones de tarifas o políticas Sony no lo usa.

      Entre lo del OtherOS, el ataque a Geohot y ahora esto, como bien dices, se están cargando su reputación. No sé que harán a partir de ahora.

      Un saludo!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: