Die Internetaktivisten der weltweiten Geheimorganisation Anonymous übergaben COMPUTERBILD Scan-Protokolle von Sony-Servern, die sie bereits vor dem Daten-Diebstahl erstellt hatten. Anonymous hatte die Sony-Server mit Belastungs-Angriffen (DDOS-Attacke) einem "Stresstest" unterzogen, um die Onlinedienste des Konzerns auszuschalten. Dazu hatten sie die Server vorab auf Schwachstellen geprüft. Die dabei erstellten Protokolle offenbaren eklatante Sicherheitslücken. Demnach nutzte Sony veraltete und damit unsichere Software- Versionen, deren Schwächen seit Jahren im Internet dokumentiert sind. So setzte Sony etwa zur Datenverschlüsselung den stark veralteten Dienst OpenSSH 4.4 ein, der zum Beispiel unberechtigte Zugriffe durch Angreifer erlaubt. Aktuell ist Version 5.7, in der diese Lücken geschlossen sind. Des Weiteren lief auf Sony-Servern zum Teil die veraltete Apache-Software 2.2.10. Deren seit 2008 geschlossene Sicherheitslücken erlauben Angreifern zum Beispiel Überlastungs-Attacken (DDoS). Aktuell ist Version 2.2.17.

Anonymous hat nach eigenen Angaben mit dem Diebstahl der Millionen Nutzerdaten nichts zu tun. Aber wer auch immer die Daten entwendet hat, musste angesichts der gravierenden Sicherheitslecks kein allzu großes Hindernis überwinden. Seit Sonntag sind einige Server des PlayStation-Networks in Europa wieder erreichbar. Sony verspricht deutlich höhere Sicherheitsstandards, diesmal hoffentlich mit aktueller Software.

Quelle: COMPUTERBILD